Analyse d'impact relative à la protection des données
Une analyse d'impact relative à la protection des données est un processus visant à déterminer l'impact et les risques d'opérations de traitement du point de vue des droits des personnes concernées et à définir des mesures d'atténuation appropriées.
Le traitement de données personnelles peut entraîner des dommages physiques, matériels ou un préjudice moral pour les personnes concernées, en particulier:
- lorsque le traitement peut donner lieu
- à une discrimination,
- à un vol ou une usurpation d'identité,
- à une perte financière,
- à une atteinte à la réputation,
- à une perte de confidentialité de données protégées par le secret professionnel,
- à un renversement non autorisé du processus de pseudonymisation
- ou à tout autre dommage économique ou social important;
- lorsque les personnes concernées pourraient être privées de leurs droits généraux ou empêchées d'exercer le contrôle sur leurs données personnelles.
Le degré de probabilité et de gravité des risques pour les droits généraux des individus peuvent varier en fonction de facteurs comme:
- lorsque le traitement concerne des données sensibles;
- lorsque les aspects liés aux personnes concernées sont évalués pour créer ou utiliser des profils individuels;
- lorsque le traitement porte sur des données personnelles relatives à des personnes âgées de moins de 16 ans;
- ou lorsque le traitement porte sur un volume important de données personnelles et touche un nombre important de personnes concernées.
Le service responsable effectue une analyse d'impact relative à la protection des données conformément à la procédure prévue par le Bureau de la protection des données, avant toute opération de traitement ayant une ou plusieurs des caractéristiques suivantes :
- elle inclut des données sensibles ;
- elle crée des risques élevés du point de vue des droits des personnes concernées ;
- elle s'accompagne d'un changement technologique significatif dans le traitement ;
- elle aboutit à un traitement à grande échelle ou récurrent.
Il incombe à la personne responsable de déterminer si une analyse d'impact relative à la protection des données est nécessaire ; en cas de doute, elle consulte le Bureau de la protection des données.
Une analyse unique peut être effectuée pour des opérations de traitement différentes qui posent des risques similaires.
Les analyses d'impact relatives à la protection des données doivent être communiquées au Bureau de la protection des données, qui en tient le registre. Si le Bureau de la protection des données considère que l'opération de traitement proposée n'est pas proportionnée à la finalité énoncée, il présente des recommandations sur la façon d'adapter l'opération de traitement. Si de telles adaptations ne sont pas possibles en pratique, le Bureau de la protection des données peut demander que l'opération de traitement ne soit pas entreprise
Liens utiles
Link Type | URL |
---|---|
Procédure | Analyse d'impact relative à la protection des données |