Comme largement repris dans la presse spécialisée, en matière de protection des données personnelles, un nouveau Règlement (UE) 2016/679 (ou RGPD) a vocation à s’appliquer à compter du 25 mai 2018.

De la même manière, un nouveau concept verra le jour : celui d’analyse d’impact relative à la protection des données (AIPD ou DPIA pour « Data Protection Impact Assessment »).

Qu’est ce que le DPIA ?

Le DPIA est un processus permettant de décrire le traitement des données, d’en évaluer la proportionnalité et ainsi de pouvoir mieux gérer les risques liés aux droits et libertés des personnes physiques dont les données sont traitées.

Pourquoi mettre en place un DPIA ?

Le DPIA est mis en place afin d’assurer la conformité aux dispositions du RGPD.

En effet, grâce à la description du processus et de sa proportionnalité par rapport au cas d’espèce, il sera possible, d’une part, d’évaluer les impacts sur la vie privée des personnes concernées, et, d’autre part, d’effectuer un contrôle précis du traitement des données.

Le DPIA permet donc de mettre en place un traitement des données qui respecte la vie privée des personnes, sujets dudit traitement. Il constitue également un excellent moyen de preuve dans les mains du responsable du traitement des données en cas de litige.

La nécessité d’insérer dans le RGPD ledit processus fait suite aux éventuels impacts que peut avoir ce traitement de données sur la vie privée des personnes concernées et les conséquences en cas de violation.

Ces impacts peuvent être importants et sont de plusieurs ordres : corporels (allant d’un simple maux de tête à une agression effective), matériels (de la perte de temps pour réitérer des démarches à l’impossibilité de travailler) et moraux (allant d’une atteinte à la réputation jusqu’au harcèlement moral).

Quand est-il requis ?

Cette analyse ne concerne que quelques traitements et ne constitue donc pas une procédure généralisée à tout traitement de données personnelles.

En principe, un DPIA n’est requis que lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques (article 35.1 RGPD).

Le RGPD fait état d’une liste non limitative de critères entraînant la mise en place d’un DPIA. Dès lors, l’utilisation des données en vue de réaliser des évaluations/profilages impose la mise en place d’un DPIA.

Il en est de même en cas de surveillance systématique, de traitement à grande échelle, de l’utilisation de nouvelles technologies ou encore en cas de transfert des données hors de l’Union Européenne. C’est enfin également le cas lorsque les données sont considérées sensibles, lorsqu’elles concernent des personnes vulnérables ou encore lorsque le processus rend plus difficile l’exercice d’un droit.

Qui met en place le DPIA ?

Selon le RGPD, la responsabilité de la mise en place d’un DPIA pèse sur le responsable du traitement (article 35.2). Lorsqu’il effectue cette analyse, il est tenu de demander conseil au délégué à la protection des données qui a pour tâche de vérifier la bonne exécution de la procédure. Les experts sectoriels (juridiques, éthiques ou économiques) assistent enfin le responsable du traitement afin d’assurer la conduite sérieuse du processus d’analyse.

Le sous-traitant qui réalise le traitement, même partiellement est également tenu d’aider le responsable du traitement à réaliser l’analyse (article 28.3 f.).

Des exemptions sont-elles prévues ?

Le RGPD prévoit des exceptions. Ainsi, la procédure n’est pas nécessaire lorsque le traitement n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ou lorsqu’un DPIA similaire existe déjà. Il n’est également pas nécessaire lorsque le traitement figure dans la liste des opérations de traitement établie par chaque autorité de contrôle nationale (article 35.5 RGPD).

A noter enfin que le DPIA peut être demandé par l’autorité de contrôle, à savoir la CNPD, et également être rendu disponible au public.

L’Étude MARTIN AVOCATS, membre de l’Association pour la Protection des données au Luxembourg (« APDL »), œuvre dès à présent pour vous soutenir dans le cadre de vos démarches, solutions de diagnostic et mise en conformité de vos traitements au RGPD, et se met à votre disposition pour répondre efficacement à toutes vos questions, adapter tous vos contrats et faire le point sur la procédure la plus adaptée à votre activité.