Analyse d'impact relative à la protection des données

Terminology

 

Le service responsable effectue une analyse d'impact relative à la protection des données conformément à la procédure prévue par le Bureau de la protection des données, avant toute opération de traitement ayant une ou plusieurs des caractéristiques suivantes :

  • elle inclut des données sensibles ;
  • elle crée des risques élevés du point de vue des droits des personnes concernées ;
  • elle s'accompagne d'un changement technologique significatif dans le traitement ;
  • elle aboutit à un traitement à grande échelle ou récurrent.

Il incombe à la personne responsable de déterminer si une analyse d'impact relative à la protection des données est nécessaire ; en cas de doute, elle consulte le Bureau de la protection des données.

Une analyse unique peut être effectuée pour des opérations de traitement différentes qui posent des risques similaires.

Les analyses d'impact relatives à la protection des données doivent être communiquées au Bureau de la protection des données, qui en tient le registre. Si le Bureau de la protection des données considère que l'opération de traitement proposée n'est pas proportionnée à la finalité énoncée, il présente des recommandations sur la façon d'adapter l'opération de traitement. Si de telles adaptations ne sont pas possibles en pratique, le Bureau de la protection des données peut demander que l'opération de traitement ne soit pas entreprise