Qu’est-ce qui peut faciliter la réalisation d’une AIPD ?
Home » RGPD » Principaux outils et actions » AIPD » Qu’est-ce qui peut faciliter la réalisation d’une AIPD ?

Vous trouverez ci-dessous une liste de moyens susceptibles de faciliter la réalisation d’une AIPD.

  • Dans certains cas, lorsque le traitement a une base légale fondée sur le droit de l’Union ou d’un État membre (c’est-à-dire l’article 6, paragraphe 1, point c) ou e) du RGPD), il se peut qu’une AIPD ait déjà été effectuée par le législateur. Dans ce cas, à moins qu’un État membre ne considère qu’une AIPD par chaque responsable du traitement est nécessaire, ou à moins que la législation ne laisse une marge de mise en œuvre significative au responsable du traitement d’une manière qui affecte les risques pour les personnes concernées, l’AIPDn’a pas à être exécutée (voir l’article 35(10) du RGPD pour plus de détails).
    • Un exemple peut être trouvé dans la législation autrichienne sur les “organisations de recherche”[1] qui fournit déjà des AIPD[2] pour ses articles.
  • “Il existe des circonstances dans lesquelles il peut être raisonnable et économique que l’objet d’une analyse d’impact sur la protection des données soit plus large qu’un projet unique” (considérant 90 du RGPD). Cela facilite évidemment les activités de traitement unique qui peuvent alors se référer à l’”AIPD large”. Ceci est confirmé par l’article 35(1) qui stipule : “Une évaluation unique peut porter sur un ensemble de traitements similaires présentant des risques élevés similaires.” Le groupe de travail Article 29 fournit des orientations supplémentaires[3] en indiquant qu'”[u]ne seule analyse de l’impact sur la protection des données peut être utilisée pour évaluer plusieurs opérations de traitement similaires en termes de nature, de portée, de contexte, de finalité et de risques“. Elle indique en outre que “les AIPD visent à étudier systématiquement les nouvelles situations susceptibles d’entraîner des risques élevés pour les droits et libertés des personnes physiques, et qu’il n’est pas nécessaire de réaliser une AIPD dans les cas (c’est-à-dire les opérations de traitement effectuées dans un contexte spécifique et pour une finalité spécifique) qui ont déjà été étudiés.” Dans ces cas, il est possible de se rabattre sur l’”AIPD large” ou au moins de lui déléguer des parties importantes d’un AIPD individuel. Si une “AIPD large” n’est pas disponible, il peut toujours exister des AIPD individuelles d’activités de traitement similaires qui aident à en mener une soi-même.
  • Le groupe de travail indique qu'”une AIPD peut également être utile pour évaluer l’impact sur la protection des données d’un produit technologique[4] . Ainsi, si un fournisseur de technologie a déjà réalisé une AIPD, ” le responsable du traitement des données qui déploie le produit reste obligé de réaliser sa propre AIPD en ce qui concerne la mise en œuvre spécifique, mais celle-ci peut être éclairée par une AIPD préparée par le fournisseur du produit. “
  • Le groupe de travail souligne la possibilité qu’une AIPD soit facilitée par l’existence d’un cadre AIPD spécifique au secteur : “Le WP29 encourage le développement de cadres AIPD spécifiques au secteur. En effet, ceux-ci peuvent s’appuyer sur des connaissances sectorielles spécifiques, ce qui signifie que l’AIPD peut aborder les spécificités d’un type particulier de traitement (par exemple : types particuliers de données, patrimoine de l’entreprise, impacts potentiels, menaces, mesures).”[5]
  • Un autre moyen potentiel de faciliter une AIPD est d’exploiter des approches systématiques utilisées dans de multiples activités de traitement. L’article 24, paragraphe 2, donne l’exemple des “politiques de protection des données” à l’échelle de l’entreprise. L’article 24, paragraphe 3, ajoute la “certification approuvée” (conformément à l’article 42 du RGPD) et les “codes de conduite approuvés” (conformément à l’article 40 du RGPD). Ce dernier point est également mentionné spécifiquement à l’article 35, paragraphe 8, du RGPD.

 

  1. voir la loi fédérale sur l’ensemble des droits de propriété intellectuelle au sens de l’art. 89 DSGVO et l’organisation de la recherche (Forschungsorganisationsgesetz – FOG).

    StF : BGBl. Nr. 341/1981 idF BGBl. Nr. 448/1981 (DFB) (NR : GP XV RV 214 AB 778 S. 81. BR : S. 413.), en allemand, https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10009514 (dernière visite le 30/01/2020).

  2. Voir les annexes 4 à 21.
  3. wp248rev.01, page 7, section III. A., 2e paragraphe, mise en évidence ajoutée par les auteurs.
  4. wp248rev.01, page 8, section III. A., 2e paragraphe.
  5. wp248rev.01, page 17, section III. D.c), 2e dernier paragraphe.

 

Aller au contenu principal