Avant de traiter des données à caractère personnel, vous, en tant que responsable du traitement, devez vérifier si le traitement présente ou non un risque significatif pour les libertés et les droits des personnes concernées. Le RGPD appelle cette procédure Data Privacy Impact Assessment ou DPIA, l’évaluation ou l’analyse de l’impact relative sur la protection des données. Cette procédure est essentielle pour comprendre les risques liés au traitement et la manière dont ils peuvent être gérés.
La plupart des PME peuvent ne pas être tenues de mener une analyse d’impact. Veuillez visiter le site de votre autorité nationale de protection des données pour connaître les exigences.
Si votre traitement ne figure pas sur votre liste d’autorités, vous devez tout de même vérifier si le traitement envisagé se rapporte à l’une des activités ci-dessous, car s’il s’agissait d’une AIPD doit toujours être effectuée.
- une évaluation des aspects personnels tels que le profilage, suivie d’une décision concernant la personne physique impliquée;
- un traitement à grande échelle de catégories spéciales de données à caractère personnel telles que visées à l’article 9 ou 10 du RGPD;
- Surveillance systématique et à grande échelle des espaces accessibles au public
A titre d’exemple, nous ajoutons ci-dessous la liste des traitements pour lesquels l’autorité belge (GBA) demande une analyse d’impact.
- lorsque le traitement utilise des données biométriques dans le but d’identifier de manière unique les personnes concernées qui se trouvent dans un lieu public ou dans des zones privées accessibles au public;
- lorsque des données personnelles sont collectées auprès de tiers pour être ultérieurement prises en compte dans la décision de refuser ou de résilier un contrat de service spécifique avec une personne physique;
- lorsque les données de santé d’une personne concernée sont collectées automatiquement au moyen d’un établissement médical actif;
lorsque des données sont collectées à grande échelle auprès de tiers afin d’analyser ou de prévoir la situation économique, la santé, les préférences ou intérêts personnels, la fiabilité ou le comportement, la localisation ou les mouvements de personnes physiques; - lorsque des catégories particulières de données personnelles au sens de l’article 9 du RGPD ou des données à caractère très personnel (telles que des données sur la pauvreté, le chômage, l’implication de l’aide à la jeunesse ou du travail social, des données sur les activités domestiques et privées, la localisation données) systématiquement échangées entre plusieurs contrôleurs;
- lors d’un traitement à grande échelle de données générées par des appareils dotés de capteurs qui transmettent des données via Internet ou via un autre support (applications ‘Internet des objets’, telles que téléviseurs intelligents, appareils électroménagers intelligents, jouets connectés, villes intelligentes , compteurs d’énergie intelligents, etc.) et ce traitement sert à analyser ou à prévoir la situation économique, la santé, les préférences ou intérêts personnels, la fiabilité ou le comportement, la localisation ou les mouvements de personnes physiques;
- lorsqu’il y a un traitement à grande échelle et / ou systématique de données de téléphonie, d’Internet ou d’autres données de communication, de métadonnées ou de données de localisation provenant ou traçables par des personnes physiques (par exemple, suivi WiFi ou traitement des données de localisation des voyageurs dans les transports publics ) lorsque le traitement n’est pas strictement nécessaire pour un service demandé par la personne concernée;
- lorsqu’il existe un traitement à grande échelle de données à caractère personnel par lequel le comportement des personnes physiques est systématiquement observé, collecté, enregistré ou influencé par un traitement automatisé, y compris à des fins publicitaires.
Si vous effectuez des opérations de traitement figurant sur la liste, vous êtes obligé de réaliser une AIPD avant le début de votre traitement. Le résultat peut également conduire à la conclusion qu’une consultation préalable de votre autorité nationale est nécessaire.
Toutes les opérations de traitement pour lesquelles une AIPD préalable est effectuée ne nécessitent pas l’avis préalable de l’autorité de protection des données. Vous êtes tenu de consulter votre autorité nationale avant de commencer votre traitement si votre AIPD révèle un risque résiduel élevé. Un tel risque existe lorsqu’il persiste malgré les mesures que vous avez prises ou que vous allez prendre pour atténuer le risque. Pour plus d’informations, consultez le site Web de votre autorité nationale .
