Conseil independant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y Leon) pour toute l'Espagne.

Conseil indépendant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y León) pour toute l'Espagne.

L'AIPD (Analyse d'Impact relative a la Protection des Données) est obligatoire lorsque le traitement présenté un risque eleve pour la personne concernee (art. 35 RGPD).

L'AIPD (Analyse d'Impact relative a la Protection des Données), ou DPIA en anglais, est l'instrument que le RGPD prevoit pour évaluer les risques qu'un traitement de données personnelles peut présenter pour les droits et libertes des personnes concernees, et pour determiner les mesures nécessaires pour attenuer ces risques. Elle n'est pas requise pour tous les traitements, mais lorsqu'elle l'est, son absence peut entrainer des sanctions importantes. Ce guide vous explique quand vous devez la réaliser et comment proceder en pratique.

Quand l'AIPD est-elle obligatoire ?

L'article 35 du RGPD dispose que l'AIPD est obligatoire lorsqu'un traitement, en particulier au moyen de nouvelles technologies, est susceptible d'engendrer un risque eleve pour les droits et libertes des personnes physiques. Le Reglement mentionne trois cas spécifiques : l'évaluation systematique et approfondie d'aspects personnels fondee sur un traitement automatise (profilage ou décisions automatisees aux effets juridiques ou significatifs), le traitement a grande echelle de catégories particulieres de données (sante, données biometriques, données genetiques, origine raciale, orientation sexuelle) ou de données relatives a des condamnations et infractions penales, et la surveillance systematique a grande echelle d'une zone accessible au public (videosurveillance massive).

En complement, l'AEPD a publie une liste de types de traitement qui exigent une AIPD en Espagne. Cette liste inclut les traitements impliquant profilage ou notation, décisions automatisees a effets juridiques, observation ou surveillance systematique, traitement a grande echelle de catégories particulieres, combinaison de jeux de données de sources differentes, données de personnes vulnerables (mineurs, personnes handicapees, salariés), usage de nouvelles technologies ou usages innovants de technologies existantes, et traitements empechant l'exercice d'un droit ou l'acces a un service.

Regle générale : si votre traitement remplit deux critères ou plus, l'AIPD est obligatoire. S'il en remplit un seul, elle est recommandee.

Méthodologie pas a pas

Étape 1 : description du traitement

Documentez en détail quelles données seront traitees, de qui, pour quelle finalite, avec quelle base legale, comment elles seront collectees, stockees et traitees, qui y aura accès, si elles seront transferees a des tiers ou hors UE, pendant combien de temps elles seront conservees, et quelles technologies seront utilisees.

Étape 2 : analyse de nécessite et de proportionnalite

Evaluez si le traitement est nécessaire a la finalite poursuivie (les memes resultats pourraient-ils être obtenus avec moins de données ou un traitement moins intrusif ?) et s'il est proportionne a l'impact sur les droits des personnes concernees.

Étape 3 : évaluation des risques pour les droits et libertes

Identifiez les risques spécifiques que le traitement peut faire peser sur les personnes concernees. Les risques courants incluent la discrimination (si les données servent a des décisions affectant des personnes), l'usurpation d'identité (en cas de violation portant sur des données d'identification), le prejudice physique ou materiel (si les données compromettent la sécurité des personnes), l'atteinte a la reputation (en cas de divulgation de données sensibles), la perte de confidentialité (accès non autorise a des données sensibles), et la perte de contrôle sur ses propres données (traitement opaque ou excessif).

Pour chaque risque, evaluez la probabilité de survenance et la gravite de l'impact.

Étape 4 : mesures d'attenuation

Pour chaque risque identifie, determinez les mesures qui ramenent le risque a un niveau acceptable. Les mesures peuvent être techniques (chiffrement, pseudonymisation, contrôle d'acces, supervision), organisationnelles (politiques, formation, procédures, audits), juridiques (clauses contractuelles, consentement renforce, transparence supplementaire) ou par conception (minimisation des données, restriction d'acces, suppression anticipee).

Étape 5 : documentation et revision

Documentez l'ensemble du processus et les conclusions dans un rapport d'AIPD. Si, après application des mesures d'attenuation, le risque residuel demeure eleve, vous devez consulter l'AEPD avant de demarrer le traitement (consultation prealable, article 36 du RGPD).

L'outil Gestiona RGPD de l'AEPD

L'AEPD a développé l'outil gratuit Gestiona RGPD qui guide l'utilisateur dans l'évaluation des risques et la determination du besoin d'AIPD. L'outil pose des questions sur le traitement, évalué le niveau de risque, indique si une AIPD est requise et, le cas echeant, guide sa realisation.

C'est un outil particulierement utile pour les PME qui n'ont pas d'expérience prealable en analyses d'impact et souhaitent un point de depart structure.

Lien avec ISO 27001 et la gestion des risques

L'AIPD partage de nombreux éléments avec l'analyse de risques d'ISO 27001 et d'ISO 31000. Si votre entreprise dispose déjà d'un système de management de la sécurité de l'information conforme a ISO 27001, une grande partie du travail d'analyse de risques est déjà faite. L'approche intégrée est la plus efficace : une seule demarche d'analyse de risques couvrant a la fois les risques pour l'organisation (ISO 27001) et les risques pour les droits des personnes concernees (RGPD).

Besoin de réaliser une Analyse d'Impact relative a la Protection des Données ? Parlons-en. Je vous accompagne tout au long du processus.

Références: AENOR · BOE · ISO

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro