Qu'est-ce qu'un DPIA ?

Qu’est-ce qu’une analyse d’impact relative à la protection des données (en anglais, Data Protection Impact Assessment ou DPIA) ? Il s’agit d’un outil de gestion des risques que présentent les traitements de données à caractère personnel. Il est élaboré par l’organisme mettant en œuvre lesdits traitements.

Pourquoi un DPIA ?

L’article 35 du RGPD prévoit que le responsable du traitement sera tenu d’effectuer un DPIA lorsque « le traitement (…) est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». Le G29 précise que la référence aux droits et libertés des personnes concernées ne se limite pas aux droits contenus dans le RGPD et comprend également d’autres droits fondamentaux telle que la liberté d’expression.

C’est un outil important au regard du principe d’accountability dans la mesure où il va permettre à l’entité de démontrer et d’élaborer les mesures nécessaires à sa conformité. Soulignons qu’un DPIA est insuffisant à lui seul pour être conforme et qu’il s’agit d’un processus continu.

projet de loi

A quel moment réaliser un DPIA ?

Un DPIA doit être effectué avant la mise en œuvre du traitement des données à caractère personnel. A ce titre, il répond également aux principes de privacy by design et de privacy by default. Il va permettre à l’entité d’élaborer des mesures protectrices avant même la mise en œuvre du traitement. Mathias Avocats vous invite à lire son article sur les points clés du DPIA.

Quelles sont les questions à se poser avant de faire un DPIA ?

Mathias Avocats met à votre disposition une liste non-limitative des éléments à prendre en compte afin de vous guider dans l’élaboration de votre DPIA.

En amont, le personnel a-t-il été sensibilisé aux enjeux que présente un DPIA ?

Si un DPO a été désigné, est-il associé à l’élaboration du DPIA ?

Un processus a-t-il été défini pour effectuer un DPIA ? Quels documents ou procédures ont-été pris en compte ? Le G29 précise que les codes de conduite ou les certifications peuvent être pris en compte.

Le DPIA décrit-il la nature, l’étendue, le contexte et les finalités du traitement envisagé ?

Dans quelles situations l’organisme a-t-il prévu d’effectuer un DPIA aux regards des traitements qu’il compte mettre en œuvre ? Par exemple, un DPIA sera obligatoire en cas de profilage, de traitement à grande échelle ou lorsque le traitement implique l’utilisation de solutions techniques ou organisationnelles innovantes.

obligations-conception-traitement-rgpd-formation-mathias-avocats

La nécessité et la proportionnalité des opérations de traitement au regard des finalités sont-elles évaluées ?

Des mesures correctrices ont-elles été mises en œuvre pour répondre aux risques identifiés ?

Les sous-traitants collaborent-ils avec l’entité lorsque cette dernière effectue un DPIA ? Les obligations concernant le DPIA sont-elles prévues dans le contrat avec les sous-traitants ?

Quelle est la procédure de révision du DPIA ? A quelle fréquence aura-t-elle lieu ?

Quels outils pour le DPIA ?

Rappelons que l’autorité de contrôle compétente doit être consultée lorsque le risque aux droits et libertés des personnes concernées est élevé ou lorsque le responsable du traitement ne trouve pas les mesures adéquates à mettre en place. En France, il s’agit de la Commission Nationale de l’Informatique et des Libertés (CNIL). Cette dernière a mis en ligne un logiciel afin d’aider les responsables du traitement dans l’élaboration de leur DPIA.

D’autres autorités de contrôle ont également mis en place des outils relatif au DPIA. Par exemple, l’Information Commissioner’s Office (ICO), l’autorité de contrôle au Royaume-Uni, a mis en ligne un questionnaire qui recense les points clés à considérer lors d’un DPIA ou encore la Commission de la Protection de la Vie Privée (CPVP), autorité de contrôle Belge, a publié un article expliquant les étapes de l’élaboration d’un DPIA.  

Quelles sanctions si aucun DPIA n'a été réalisé alors qu'il était obligatoire ?

En cas de manquement, le responsable du traitement peut être condamné à une sanction financière pouvant s’élever à 10 000 000€ ou jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent (article 83 du RGPD).

Mathias Avocats reste à votre disposition pour tout question supplémentaire. Le cabinet peut également vous accompagner dans votre mise en conformité notamment dans l’élaboration d’un DPIA.