Qui est responsable de la réalisation d’une AIPD ?

“Le responsable du traitement est chargé de veiller à ce que l’AIPD soit réalisée (article 35, paragraphe 2). La réalisation de l’AIPDpeut être effectuée par quelqu’un d’autre, à l’intérieur ou à l’extérieur de l’organisation, mais le responsable du traitement reste responsable en dernier ressort de cette tâche.”^[1] Notez que le DPD doit être consultée pour un AIPD dans un rôle consultatif, mais n’est jamais responsable.

Qui doit être impliqué dans la réalisation d’une AIPD ?

Ce qui suit fournit d’abord une réponse juridique ancrée dans le RGPD, puis des conseils supplémentaires sur les personnes qui peuvent être impliquées dans le processus d’une analyse d’impact.

D’un point de vue juridique, le groupe de travail Article 29 donne l’avis suivant qui fait autorité :

• “Le responsable du traitement doit également demander l’avis du délégué à la protection des données (DPD), lorsqu’il est désigné (article 35, paragraphe 2), et cet avis, ainsi que les décisions prises par le responsable du traitement, doivent être documentés dans le cadre de l’AIPD. Le DPD doit également surveiller l’exécution de l’AIPD (article 39(1)(c)).”^[2]
• “Si le traitement est effectué en tout ou en partie par un sous-traitant de données, celui-ci doit aider le responsable du traitement à réaliser l’évaluation préliminaire des risques et fournir toutes les informations nécessaires (conformément à l’article 28, paragraphe 3, point f)).” ^[3]
• “Le responsable du traitement doit “recueillir l’avis des personnes concernées ou de leurs représentants” (article 35, paragraphe 9), “le cas échéant”. “^[4] Cela peut prendre diverses formes selon le contexte, notamment des études génériques, la participation de représentants (tels que des organisations de consommateurs) et des enquêtes. Le consentement n’est pas une forme valable.

Au-delà de ces implications légalement requises, le groupe de travail Article 29 recommande de couvrir toutes les disciplines (expertise) et responsabilités (décisions) pertinentes^[5] . Cela peut conduire à l’implication de personnel interne et d’experts externes. Cela peut par exemple inclure les éléments suivants :

• L’unité commerciale qui utilise l’application, donne des instructions aux employés concernés, prend des décisions sur les périodes de stockage, le contrôle d’accès, etc.
• Le service informatique qui installe et exploite l’application et certaines mesures d’atténuation techniques (comme par exemple les pare-feu ou les systèmes de sauvegarde).
• Le département des ressources humaines qui peut organiser des campagnes de sensibilisation et des formations, ainsi que gérer les accords de non-divulgation avec les employés.
• Le service juridique qui rédige les clauses contractuelles spécifiques pour transmettre les obligations aux sous-traitants.
• L’éditeur de logiciel qui fournit l’application et peut proposer des mises à jour (de sécurité), une maintenance et une évolution.

Comme l’indique explicitement le groupe de travail Article 29 pour les DPD, il est recommandé de documenter les interactions avec les parties concernées, les conseils fournis et les décisions prises dans le cadre de l’AIPD. Il s’agit d’un aspect important de la démonstration de la conformité en vertu de l’article 5, paragraphe 2, du RGPD.

 

1. wp248rev.01, page 14, section III.D.b), 1er paragraphe ↑
2. wp248rev.01, page 15, section III.D.b), 1er paragraphe, surlignage par les auteurs. ↑
3. wp248rev.01, page 15, section III.D.b), 2e paragraphe, surlignage par les auteurs. ↑
4. wp248rev.01, page 15, section III.D.b), 3e paragraphe, surlignage par les auteurs, changement des guillemets pour une meilleure lisibilité. ↑
5. wp248rev.01, page 15, section III.D.b), deuxième moitié de la page. ↑