- RGPD Article 35 : une EIDD est obligatoire lorsque le traitement est « susceptible d'entraîner un risque élevé » pour les particuliers
- Doit être fait avant le début du traitement — pas après la mise en œuvre
- Trois scénarios nécessitent toujours un DPIA: profilage systématique, données de grande catégorie, suivi systématique du public
- Si le risque résiduel est toujours élevé après l'atténuation, vous devez consulter votre autorité de surveillance avant de procéder
Une analyse d'impact sur la protection des données (IDPD) est un processus systématique permettant d'identifier et de minimiser les risques pour la protection des données d'un nouveau projet, d'un nouveau système ou d'un changement de traitement. Il n'est pas facultatif en cas de traitement à haut risque — l'article 35 du RGPD le rend obligatoire, et le fait de ne pas en effectuer un au besoin peut lui-même attirer des mesures réglementaires.
Voie d'achat HubSecure connexe
AML/KYC & Inboarding guide client logiciel de bord module AML/KYC Sumsub comparaison guide logiciel de conformité AML/KYC Guide Bibliothèque réserver une démo workflow
Ressources connexes en matière de sécurité, de protection de la vie privée et de gouvernance
Continuer avec HubSecure centre de sécurité et de confiance , accord de traitement de données , sous-processeurs , flux de travail de conformité , opérateur AI régi .
Cas d'utilisation connexe
Ce guide appartient au cluster Workspace Alternatives and Tool Consolidation Guides. Continuer avec le moyeu produit pour les alternatives d'espace de travail et la consolidation des outils .
Quand une DPIA est-elle requise?
Une DPIA est requise lorsque le traitement est « susceptible d'entraîner un risque élevé » pour les droits et libertés des individus. RGPD L'article 35, paragraphe 3, précise trois cas qui nécessitent toujours une DPI:
- Profilage systématique et étendu ayant des effets significatifs (y compris la prise de décisions automatisées)
- Traitement à grande échelle de données de catégorie spéciale (santé, biométrie, infractions pénales, etc.)
- Surveillance systématique à grande échelle des zones accessibles au public (CCTV, suivi)
Les autorités nationales de surveillance publient des listes d'opérations de traitement qui exigent un DPIA dans leur juridiction. L'EDPB a publié des critères : si deux ou plusieurs des facteurs suivants s'appliquent, une EDPIA devrait être effectuée :
- Évaluation ou notation (y compris profilage)
- Prise de décisions automatisée avec effet significatif
- Surveillance systématique
- Données sensibles ou très personnelles
- Données traitées à grande échelle
- Correspondance ou combinaison des ensembles de données
- Données concernant les sujets vulnérables (enfants, employés, patients)
- Utilisation novatrice de la technologie (AI, biométrie, IdO)
- Traitement qui empêche les particuliers d'exercer leurs droits ou d'accéder aux services
Questions relatives au calendrier : Une EIDD doit être remplie avant le début du traitement. La conduire rétrospectivement — après la mise en œuvre — ne satisfait pas à l'exigence et ne peut pas annuler une violation qui s'est déjà produite.
Ce qu'un DPIA doit contenir
RGPD L'article 35, paragraphe 7, définit la teneur minimale:
- Description du traitement — quelles données, dans quel but, par quels moyens, par qui
- Appréciation de la nécessité et de la proportionnalité — Le traitement est-il nécessaire et proportionné à l'objectif recherché?
- Évaluation des risques — aux droits et libertés des personnes concernées, y compris la probabilité et la gravité
- Mesures de lutte contre les risques — garanties techniques et organisationnelles, avec évaluation des risques résiduels
Comment mener une DPIA : étape par étape
Étape 1 : Déterminer le besoin
Écraner le traitement proposé en fonction des critères ci-dessus. Si deux facteurs ou plus s'appliquent, procéder à une EDP complète. Documenter la décision de présélection même si vous concluez une EIDD n'est pas nécessaire.
Étape 2: Décrivez le traitement
Carter les flux de données: quelles données personnelles seront collectées, à qui, comment elles seront stockées, qui aura accès, quelles décisions seront prises et à qui elles pourront être divulguées. Inclure les sous-traitants.
Étape 3: Évaluer la nécessité et la proportionnalité
Existe-t-il une façon moins envahissante d'atteindre le même but? Pourriez-vous utiliser moins de données, de données anonymes ou traiter des données localement au lieu de les envoyer dans le cloud ? Documentez votre raisonnement.
Étape 4 : Identifier et évaluer les risques
Pour chaque risque, évaluer la probabilité et la gravité des dommages potentiels pour les personnes. Les préjudices comprennent l'incapacité d'accéder aux services, la perte financière, les dommages à la réputation, la discrimination, le vol d'identité, la perte de confidentialité des données sur les privilèges professionnels.
Étape 5: Identifier les mesures d'atténuation
Pour chaque risque, identifier les contrôles techniques et organisationnels qui réduisent la probabilité ou la gravité. Exemples: cryptage, contrôles d'accès, pseudonymisation, formation du personnel, garanties contractuelles, minimisation des données.
Étape 6: Documenter le risque résiduel et décider
Après avoir appliqué les mesures d'atténuation, quel risque subsiste? Si le risque résiduel est acceptable, vous pouvez procéder — et devrait documenter cette conclusion. Si le risque résiduel est encore élevé, vous devez consulter votre autorité de surveillance avant le traitement.
Étape 7: Impliquer le DPD et les personnes concernées
Lorsqu'un DPD est nommé, son avis doit être sollicité. Les opinions des personnes concernées ou de leurs représentants devraient également être recherchées dans la mesure du possible (article 35, paragraphe 9).
Document vivant : L'IADP n'est pas un exercice ponctuel. Il doit être revu et mis à jour chaque fois que la nature, la portée, le contexte ou les objectifs du traitement changent considérablement, y compris lorsque vous adoptez de nouvelles technologies ou que vous vous étendez à de nouveaux cas d'utilisation.
Les PME doivent-elles mener des EIDD?
Oui, si le traitement répond aux critères à risque élevé. L'obligation s'applique à tous les contrôleurs quelle que soit leur taille. Les exemptions du RGPD pour les PME concernent principalement le relevé des activités de transformation (article 30), et non les DPI.
Qu'est-ce que la consultation préalable?
Si le DPIA présente un risque résiduel élevé qui ne peut être atténué, l'article 36 vous oblige à consulter votre autorité de surveillance avant de commencer à traiter. L'AS a jusqu'à 8 semaines (extendable à 14 semaines) pour répondre par écrit.
Modèles DPIA et documentation sur la conformité
Le module de conformité de HubSecure comprend des modèles d'IDGP, des cadres de notation des risques et le contrôle de la version des documents pour garder vos évaluations prêtes à l'audit.
Réservez une démoExamen des équipes réglementées
Préparé par l'équipe de rédaction HubSecure à l'intention des exploitants, des responsables de la conformité et des examinateurs de TI qui évaluent les logiciels d'exploitation sécurisés des clients.
Auteurs · évaluateurs · Politique éditoriale