Une analyse d’impact sur la protection des données ou AIPD est une évaluation écrite que votre organisme devrait effectuer pour évaluer l’impact d’une opération de traitement planifiée. Il vous aide à identifier les mesures appropriées pour faire face aux risques et à démontrer votre conformité.

S’il est toujours préférable d’anticiper l’impact des opérations de traitement planifiées de votre organisme en effectuant une AIPD, il est obligatoire d’effectuer une AIPD lorsque le traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des individus.

En particulier, c’est le cas lorsque le traitement envisagé implique :

• le traitement – à grande échelle – de données personnelles sensibles ou de données relatives à des condamnations pénales ; 
• l’évaluation systématique et approfondie des aspects personnels d’une personne fondée sur un traitement automatisé, y compris le profilage, et sur laquelle sont fondées les décisions qui produisent des effets juridiques à l’égard de l’individu en question ou qui affectent les individus de manière significative ;
• la surveillance systématique d’une zone accessible au public à grande échelle.

Le CEPD a élaboré des lignes directrices qui énumèrent les critères à prendre en compte pour évaluer si une AIPD est obligatoire ou non. Les autorités chargées de la protection des données ont également publié des listes d’opérations de traitement qui font l’objet d’une AIPD. De plus, plusieurs autorités ont développé des guides, des logiciels ou des outils d’autoévaluation pour vous aider dans votre évaluation (par exemple la CNIL en France).

Plus d’informations :

• Se mettre en conformité

Le RGPD donne aux particuliers le contrôle du traitement de leurs données personnelles. La transparence est donc essentielle. Cela signifie que vous devez informer les personnes dont vous traitez les données concernant sur vos opérations de traitement et les finalités poursuivies. En d’autres termes, vous devez expliquer qui traite leurs données, mais aussi comment et pourquoi. Ce n’est que si l’utilisation des données personnelles est « transparente » pour les personnes concernées qu’elles peuvent évaluer les risques éventuels et prendre des décisions concernant leurs données personnelles.
En vertu du RGPD, vous êtes tenu de partager les informations suivantes avec des particuliers :

• l’identité et les coordonnées du responsable du traitement ;
• les finalités du traitement ;
• la base légale du traitement (si l’intérêt légitime, les informations spécifiques sur quels intérêts légitimes se rapportent au traitement spécifique et sur l’entité qui poursuit chaque intérêt légitime).
• les coordonnées du responsable du traitement ;
• les coordonnées du DPD (s’il existe) ;
• les destinataires ou catégories de destinataires des données ;
• les informations sur les transferts de données personnelles en dehors de l’Espace économique européen (EEE) (dans ce cas : l’existence ou non d’une décision d’adéquation ou d’une référence aux garanties appropriées et la manière dont ces informations peuvent être mises à la disposition des personnes concernées ;
• les catégories de données personnelles traitées, lorsque les données ne sont pas obtenues de la personne concernée.

En outre, le RGPD exige que votre organisme fournisse les informations suivantes pour assurer un traitement équitable et transparent :

• la durée de conservation ou, lorsque cela n’est pas possible, les critères utilisés pour déterminer cette durée ;
• le droit de demander l’accès, l’effacement, la rectification, la restriction, l’opposition et la portabilité des données personnelles;
• le droit d’introduire une réclamation auprès d’une autorité de protection des données ;
• si la base légale du traitement est le consentement : le droit de retirer son consentement à tout moment ;
• dans le cas d’une prise de décision automatisée, des informations pertinentes sur la logique sous-jacente et les conséquences prévues du traitement pour la personne concernée ;
• la source des données personnelles (si vous ne les recevez pas directement de la part de la personne concernée) ;
• si la personne est tenue de fournir les données personnelles (par la loi ou pour former ou exécuter un contrat), ainsi que les conséquences du refus de fournir les données.

Plus d’informations :

• Respecter les droits des individus

Un traitement de données personnelles désigne tout type d’activité (opération de traitement) effectuée sur, ou avec, les données personnelles des personnes physiques. Cela inclut la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction de données personnelles.

Les DPD peuvent remplir d’autres missions au sein de l’organisation, mais cela ne peut pas entraîner un conflit d’intérêts. Cela implique que le DPD ne peut pas avoir une position dans laquelle il détermine les finalités et les moyens des activités de traitement. Les fonctions contradictoires comprennent principalement des postes de direction (chef de la direction, chef des opérations, chef des finances, chef des ressources humaines, chef de l’informatique, directeur général), mais peuvent également concerner d’autres fonctions si elles conduisent à la détermination des finalités et des moyens de traitement.
Le DPD doit être en mesure d’exercer ses fonctions et missions de manière indépendante. Cela signifie que votre organisme :

• ne peut pas donner d’instructions au DPD en ce qui concerne l’exercice de ses fonctions ;
• ne peut sanctionner ou licencier le DPD pour l’accomplissement de ses missions.

Plus d’informations :

• Le délégué à la protection des données

Un contrat valide entre le responsable du traitement et le sous-traitant est obligatoire en vertu du RGPD. Une infraction peut faire l’objet d’une amende administrative pouvant aller jusqu’à 10 millions d’euros ou jusqu’à 2 % du chiffre d’affaires annuel total d’une entreprise, le montant le plus élevé étant retenu.

Pour vous guider lors de la mise en place d’un accord responsable du traitement des données, les autorités danoises et slovènes chargées de la protection des données, ainsi que la Commission européenne, ont élaboré des modèles de contrat.

Plus d’informations :

• Responsable du traitement des données ou sous-traitant
   

La tâche du DPD comprend, entre autres :

• informer et conseiller l’organisme et ses employés sur la conformité à la protection des données ;
• contrôler la conformité à la protection des données;
• fournir des conseils sur les demandes concernant l’analyse d’impact sur la protection des données (AIPD);
• agir en tant que point de contact pour l’autorité de protection des données compétente et coopérer avec elle ;
• agir comme point de contact pour les particuliers.

En outre, la présence du DPD est généralement recommandée lorsque des décisions ayant des implications en matière de protection des données sont prises. Le DPD devrait également être consulté rapidement une fois qu’une violation de données ou un autre incident s’est produit.

Plus d’informations :

• Le délégué à la protection des données

Le respect du RGPD est contrôlé par les autorités nationales de protection des données. Les autorités de protection des données peuvent mener des enquêtes et imposer des sanctions si nécessaire. Ces autorités disposent d’un certain nombre d’outils, dont des amendes allant jusqu’à 20 millions d’euros, soit 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu), des rappels à l’ordre et des interdictions de traitement temporaires ou permanentes.

Vous trouverez les coordonnées de toutes les autorités de protection des données de l’EEE sur le site web du CEPD : Membres

Plus d’informations :

• Les autorités de protection des données & vous
   

Les responsables du traitement des données ne peuvent traiter des données personnelles que dans l’une des circonstances suivantes :

• avec le consentement des personnes concernées;
• lorsque le traitement est nécessaire à l’exécution d’un contrat (contrat entre votre organisation et un particulier);
• pour satisfaire à une obligation légale en vertu de la législation de l’UE ou de la législation nationale;
• lorsque le traitement est nécessaire à l’exécution d’une mission effectuée dans l’intérêt public en vertu de la législation de l’UE ou de la législation nationale;
• protéger les intérêts vitaux d’un individu;
• pour les intérêts légitimes de votre organisation – sauf si les droits et libertés des individus l’emportent sur vos intérêts.

En outre, le RGPD établit des conditions supplémentaires pour le traitement des données sensibles.

Plus d’informations :

• Traiter les données personnelles de manière licite

• Tout traitement de données personnelles doit être licite, équitable et transparent.
• Ne recueillent des données personnelles qu’à des fins spécifiées, explicites et légitimes. Le traitement des données d’une personne doit être strictement limité à la ou aux finalités initialement établies, et donc ne pas être traité à des fins ultérieures ou autres qui sont incompatibles avec les finalités initiales.
• Ne traitent que les données personnelles nécessaires et proportionnées à la lumière de l’objectif envisagé.
• Toutes les données personnelles que vous traitez doivent être exactes et mises à jour. Les données personnelles inexactes doivent être rectifiées ou effacées.
• Le stockage des données personnelles des personnes physiques doit être limité dans le temps, compte tenu de la finalité pour laquelle ces données ont été collectées et traitées. En tant que telles, les données personnelles des personnes doivent être supprimées ou anonymisées une fois que ces données ne sont plus nécessaires.
• Le traitement des données personnelles doit se faire de manière sécurisée. En ce sens, de solides contrôles de cybersécurité doivent être mis en place pour garantir une protection adéquate des données des individus.

Enfin, le responsable du traitement est responsable. Cela signifie qu’il est responsable et doit être en mesure de démontrer le respect des principes ci-dessus.

Plus d’informations:

• Les bases de la protection des données

Le RGPD impose des obligations à tous les organismes qui traitent des données personnelles, qu’il s’agisse de responsables du traitement ou de sous-traitants de données.
En particulier, vous devriez :

• Demandez-vous si la finalité pour laquelle des données personnelles peuvent être collectées sont justifiées et ne recueillent que les données personnelles nécessaires à la ou aux finalité(s) spécifique(s) envisagée(s) ;
• Assurer l’exactitude et la mise à jour des données personnelles des personnes physiques et les supprimer lorsqu’elles ne sont plus nécessaires;
• Respecter les droits des personnes en les informant sur les modalités et les raisons du traitement de leurs données et en leur permettant d’exercer leurs droits;
• Vérifiez si vous disposez d’une base juridique appropriée pour le traitement des données personnelles. Si vous avez l’intention de vous fier au consentement d’individus, demandez leur consentement avant de traiter leurs données personnelles;
• Veiller à ce que les données personnelles des personnes soient traitées de manière sécurisée;
• Tenir un registre des opérations de traitement.

Les sous-traitants devront respecter les responsabilités énoncées dans le contrat sous-traitant, et ils ne doivent pas traiter les données autrement que conformément aux instructions du responsable du traitement.

Plus d’informations:

• Être conforme
• Responsable du traitement des données ou sous-traitant
• Bases de la protection des données