Avant de traiter des données à caractère personnel, vous, en tant que responsable du traitement, devez vérifier si le traitement présente ou non un risque significatif pour les libertés et les droits des personnes concernées. Le RGPD appelle cette procédure Data Privacy Impact Assessment ou DPIA, l’évaluation ou l’analyse de l’impact relative sur la protection des données. Cette procédure est essentielle pour comprendre les risques liés au traitement et la manière dont ils peuvent être gérés.

La plupart des PME peuvent ne pas être tenues de mener une analyse d’impact. Veuillez visiter le site de votre autorité nationale de protection des données pour connaître les exigences.

Si votre traitement ne figure pas sur votre liste d’autorités, vous devez tout de même vérifier si le traitement envisagé se rapporte à l’une des activités ci-dessous, car s’il s’agissait d’une AIPD doit toujours être effectuée.

A titre d’exemple, nous ajoutons ci-dessous la liste des traitements pour lesquels l’autorité belge (GBA) demande une analyse d’impact.