Si vous traitez des données à caractère personnel en tant que responsable du traitement, vous êtes tenu, dans certains cas, de réaliser une analyse d’impact relative à la protection des données (en abrégé, « AIPD » ou « DPIA ») en vertu du Règlement général sur la protection des données (« RGPD »).
L’analyse d’impact est une étude qui s’inscrit dans une logique de gestion des risques. Elle doit être réalisée lorsqu’un traitement de données envisagé est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
Il n’est cependant pas toujours évident de déterminer si le traitement de données que vous envisagez doit faire l’objet d’une analyse d’impact en raison de la portée délibérément générale du RGPD et des décisions et lignes directrices prises en exécution de celui-ci.
Dans ce cadre, il est essentiel de documenter les motifs sur lesquels repose votre éventuelle décision de ne pas effectuer d’analyse d’impact, le cas échéant. Cette obligation de documentation est fondée sur le principe d’accountability, qui impose au responsable du traitement de justifier de la conformité de ses activités de traitement de données avec les exigences du RGPD.
Le principe d’accountability occupe également une place importante dans le cadre de la réalisation d’analyses d’impact. En effet, l’intervention de certains acteurs dans l’analyse d’impact doit être documentée. Par exemple, le DPO doit obligatoirement être consulté et l’avis des personnes concernées doit, dans certains cas, être recueilli. La documentation joue en outre un rôle essentiel dans la justification du caractère approprié du contenu de l’analyse d’impact et de la méthodologie suivie.
Our advice:
Si vous envisagez d’effectuer un traitement de données, vérifiez si ce traitement doit faire l’objet d’une analyse d’impact. Si vous décidez de ne pas en réaliser, pensez à documenter les raisons pour lesquelles vous avez pris cette décision. Si, au contraire, vous décidez de réaliser une analyse d’impact, ne négligez pas l’importance d’établir une documentation d’accountability appropriée tout au long du processus.
Pour plus d’informations sur la façon de réaliser une analyse d’impact, nous vous invitons à visionner notre formation earlegal sur le sujet : RGPD : comment réaliser une analyse d’impact ?.
Le respect de ces obligations vous permettra d’éviter de lourdes sanctions. En effet, l’amende administrative pouvant aller jusqu’à 10 millions d’euros ou 2% de votre chiffre d’affaires annuel en cas de violation de l’obligation de réaliser une analyse d’impact et jusqu’à 20 millions d’euros ou 4% de votre chiffre d’affaires annuel en cas de non-respect du principe d’accountability.
N’hésitez pas à nous contacter si vous souhaitez des informations complémentaires au sujet des modalités pratiques de réalisation d’une analyse impact.