Data Protection Impact Assessment (AIPD) – Information de fond
Circonstances dans lesquelles une AIPD est obligatoire
Le RGPD ne requiert pas que le responsable du traitement procède à une AIPD pour chaque traitement de données à caractère personnel
Commentaires:
- Un AIPD est recommandé pour un traitement dans lequel les nouvelles technologies sont utilisées.
- l’obligation de conduire une analyse d’impact préalable ne s’applique pas aux traitements de données à caractère personnel de patients ou de clients effectués par un médecin, un autre professionnel de la santé ou encore un avocat
Pour clarifier le concept de “susceptible d’engendrer un risque élevé”
deux listes (non exhaustive) ont été établies. Liste des types d’opérations de traitement pour lesquelles une AIPD est requise:
1.lorsque le traitement utilise la biométrie afin d’identifier les personnes concernées ;
2.lorsque le traitement utilise des données génétiques ;
3.lorsque des données à caractère personnel sont collectées auprès de tiers afin d’être prises ensuite en considération dans le cadre de la décision de refuser ou de cesser le service ;
4.lorsque le traitement sert à évaluer la solvabilité financière de la personne concernée ou à générer tout autre profil de risque de la personne concernée qui est pris en considération dans le service à la personne concernée (ou dans le cadre de la décision de refuser ou de cesser un service) ;
5.lorsque le traitement est de nature à ce qu’une violation des données à caractère personnel puisse compromettre la santé physique de la personne concernée ;
6.lorsque le traitement concerne des données à caractère personnel financières ou sensibles qui sont (ré)utilisées pour une (des) finalité(s) autre(s) que celle(s) pour laquelle (lesquelles) elles ont été collectées, sauf lorsque le traitement est soit basé sur le consentement de la personne concernée, soit nécessaire pour remplir une obligation légale qui incombe au responsable du traitement ;
7.lorsque le traitement donne lieu à une communication ou à une mise à disposition du public de données à caractère personnel relatives à un grand nombre de personnes concernées ;
8.lorsque des aspects personnels sont évalués pour notamment analyser ou prévoir des prestations professionnelles, une situation économique, la santé, des préférences ou intérêts personnels, la fiabilité ou le comportement, la localisation ou les déplacements ;
9.lorsque des profils de personnes physiques sont établis à grande échelle ;
10.en cas de traitement à grande échelle de données à caractère personnel de personnes physiques vulnérables, à savoir les enfants, pour une (des) finalité(s) autre(s) que celle(s) pour laquelle (lesquelles) elles ont été collectées ;
11.lorsque plusieurs responsables du traitement envisagent de créer une application ou un environnement de traitement communs à tout un secteur ou segment professionnel, ou pour une activité transversale largement utilisée et pour lesquels des données sensibles sont utilisées ;
12.lorsque le traitement vise à enregistrer les connaissances, les prestations, les aptitudes ou l’état de santé mentale d’élèves et à assurer le suivi de l’évolution de ceux-ci, notamment à l’aide de systèmes de suivi des élèves, que ces élèves soient dans l’enseignement primaire, secondaire, tertiaire ou universitaire.
Pour clarifier le concept de “susceptible d’engendrer un risque élevé”
deux listes (non exhaustive) ont été établies. Liste des types d’opérations de traitement pour lesquelles aucune AIPD n’est requise
1.Les traitements de données à caractère personnel qui concernent uniquement des données qui sont nécessaires à
- l’administration des salaires de personnes en service ou actif pour le compte du responsable du traitement
- l’administration du personnel en service ou actif pour le compte du responsable du traitement
- la comptabilité
- l’administration des actionnaires et associés
- l’enregistrement de visiteurs dans le cadre d’un contrôle d’accès lorsque les données traitées restent limitées au nom et à l’adresse professionnelle du visiteur, à l’identification de son employeur, à l’identification du véhicule du visiteur, au nom, à la section et à la fonction de la personne visitée et au moment de la visite
lorsque le traitement porte uniquement sur des données nécessaires à cette administration, lorsque ces données concernent uniquement des personnes dont les données sont nécessaires à cette administration, lorsque les données sont communiquées à des tiers uniquement dans le cadre de l’application d’une disposition légale ou réglementaire et que les données à caractère personnel ne sont pas conservées plus longtemps que le temps nécessaire à la réalisation des finalités du traitement
2.Les traitements de données à caractère personnel effectués par une fondation, association ou toute autre institution sans but lucratif dans le cadre de ses activités habituelles, pour autant que le traitement porte uniquement sur des données à caractère personnel relatives à ses propres membres, relatives aux personnes avec lesquelles le responsable du traitement entretient des contacts réguliers et relatives aux bénéficiaires de la fondation, association ou institution et qu’aucune personne ne soit enregistrée sur la base de données obtenues de tiers et que les données à caractère personnel traitées ne soient pas conservées plus longtemps que le temps nécessaire à l’administration des membres, des personnes de contact et des bénéficiaires et soient uniquement communiquées à des tiers dans le cadre de l’application d’une disposition légale ou réglementaire ;
3.Les traitements de données à caractère personnel effectués par des établissements d’enseignement en vue de la gestion de leurs relations avec leurs élèves ou étudiants dans le cadre de leurs missions d’enseignement, dans la mesure où le traitement ne porte que sur des données à caractère personnel relatives à des élèves ou étudiants potentiels, actuels et anciens de l’établissement d’enseignement en question et qu’aucune personne ne soit enregistrée sur la base de données obtenues de tiers et que ces données soient uniquement communiquées à des tiers dans le cadre de l’application d’une disposition légale ou réglementaire et ne soient pas conservées plus longtemps que le temps nécessaire à la gestion de la relation avec l’élève ou l’étudiant.
Quand une consultation préalable est-elle nécessaire?
Ce n’est que lorsqu’il s’avère que le traitement envisagé présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures efficaces d’atténuation des risques que le traitement doit préalablement être soumis à l’autorité de contrôle. Si le risque peut être limité efficacement à l’aide de mesures techniques et organisationnelles appropriées, aucune consultation préalable ne doit avoir lieu
Si l’autorité de contrôle est d’avis que le traitement envisagé n’est pas conforme au règlement ou que les risques ne sont pas suffisamment identifiés ou atténués, elle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant. Ce délai de 8 semaines peut être prolongé de six semaines
(*) En matière de gestion des risques, on peut en règle générale faire une distinction entre le risque “inhérent” et le risque “résiduel”. Le risque “inhérent” renvoie à la probabilité qu’un impact négatif se produise lorsqu’aucune mesure de protection n’est prise. Le risque “résiduel” renvoie au contraire à la probabilité qu’un impact négatif se produise, malgré les mesures qui sont prises pour influencer (limiter) le risque (inhérent)