RGPD : Quels sont les enjeux de l’analyse d’impact ?
17 avril 2018 | Lecture : 4 mins | Data Gouvernance
par Jessica, Tech writer
Avec l’article 35, le RGPD demande au responsable des traitements de conduire une analyse d’impact sur la protection des données (DPIA – Data Protection Impact Assessment), dès qu’un traitement de données personnelles est susceptible d’entraîner un risque élevé pour les droits et libertés des individus concernés.
L’objectif de cette analyse d’impact est de prévenir une fuite de données ou des risques élevés pour les droits des personnes concernées.
Cet outil est important pour les organismes, leur permettant de contrôler les traitements de données en les rendant respectueux de la vie privée en amont (Security by Default).
Enfin, l’analyse d’impact sert aussi à prouver la conformité des traitements réalisés au RGPD. Voilà pourquoi cette analyse est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.
Le DPIA permet donc de protéger les citoyens européens contre les risques pour la vie privée.
L’analyse d’impact en pratique
Une analyse d’impact (DPIA) est réalisée en mettant en place plusieurs points :
Description systématique des opérations de traitement prévues et des finalités envisagées, en précisant l’intérêt légitime du responsable de traitement
Mise en place d’une évaluation de la nécessité et de la proportionnalité des opérations de traitement vis-à-vis du but recherché
Analyse précise des risques pesants
sur les droits et libertés des individus concernés, des mesures de protection et garanties pour pallier les risques, des mesures pour assurer une protection des données personnelles, pour être en conformité réglementaire.
Dans quelles situations l’analyse d’impact n’est pas obligatoire ?
Une organisation n’est pas dans l’obligation de réaliser un DPIA dans les cas ci-dessous :
A partir du moment où le traitement ne présente pas de risque important pour les droits et libertés des individus en question
Quand les traitements, dans leur nature, leur portée, leur contexte et leurs finalités envisagées sont fortement semblables à un traitement pour lequel un DPIA a déjà été mené.
Lorsque le traitement résulte d’une obligation légale, obligatoire dans l’exercice d’une mission de service public (art 6.1.c 6.1.e), sous réserve des conditions ci-dessous :
- Ce droit réglemente cette opération de traitement
- Une base juridique dans le droit de l’UE ou d’un État membre
- Qu’un PIA ait déjà été fait au moment de l’adoption de cette même base juridique
Pour finir, quand le traitement rentre dans la liste des exceptions déterminées par la CNIL, conformément à l’article 35(5)
Dans quelles situations l’analyse d’impact est obligatoire ?
L’analyse d’impact (DPIA) est absolument nécessaire dans le cas où un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».
DataGalaxy
Une compréhension partagée et fiable de la donnée est essentielle pour toute organisation data-driven.
Le catalog DataGalaxy centralise les actifs dispersés dans un espace collaboratif. Il enrichit les métadonnées avec des informations clés : propriété, lignage, définitions, qualité… pour passer moins de temps à chercher et plus à délivrer.
Voir le data catalogPour savoir si un traitement nécessite un DPIA, il faut vérifier si celui-ci remplit au moins deux des critères ci-dessous :
- Une collecte de données sensibles
- Scoring / évaluation / profilage
- Une surveillance systématique
- La collecte de données personnelles à grande échelle
- Une décision automatique avec effet légal ou similaire
- Le croisement de données
- Les usages innovants (technologie novatrice)
- L’exclusion du bénéfice d’un droit / contrat
- Les personnes vulnérables (enfants, patients, personnages âgés, etc.)
A titre d’exemple : Une organisation met en place une offre à destination des enfants avec l’analyse des données résultants de celle-ci. Le traitement remplit donc le critère de surveillance systématique et celui des données concernant des individus vulnérables (ici des enfants), la mise en place d’un DPIA est donc obligatoire et nécessaire.
Questions à se poser
Quels types de traitements sont réalisés par mon organisation ?
Le responsable des traitements est-il au fait de l’obligation d’un DPIA dans certains cas ?
FAQ
- Comment démarrer un projet de MDM dans une organisation ?
-
Commencez par définir un périmètre restreint (ex. données clients), impliquer les métiers, choisir les bons outils, et établir des règles de gouvernance claires.
- Comment détecter les biais dans un modèle d’IA ?
-
En analysant les résultats par groupe démographique, en auditant les données d’entraînement et en utilisant des outils comme SHAP ou AI Fairness 360.
- Comment devenir Data Custodian ?
-
Un background en IT, sécurité et gestion de bases de données est un bon point de départ, complété par une formation en gouvernance des données.
- Comment devenir Data Governance Manager ?
-
Parcours en data management, conformité, ou pilotage de projets data, complété par une expertise réglementaire et leadership.
- Comment devenir Data Quality Manager ?
-
Expérience en data management, maîtrise des outils qualité et gouvernance, compétences en management et communication.
À propos de l'auteur
Passionnée par la transformation de la complexité des données en clarté, Jessica Sandifer est une gestionnaire de contenu expérimentée qui conçoit des histoires qui résonnent auprès d'audiences techniques et commerciales. Chez DataGalaxy, elle crée des messages de marketing de contenu et de produit qui démystifient la gouvernance des données et rendent la préparation à l'IA réalisable.
Articles liés
