Vous êtes dans une zone habituellement réservée aux stagiaires RGPD de « LE NET EXPERT FORMATIONS ». Afin des fins pédagogiques d’intérêt général, nous avons libéré l’accès à cette page et avons le plaisir de partager avec vous ce contenu.
Vous souhaitez suivre une formation sur le RGPD ou la CYBER ? Contactez-nous
L’AIPD un outil qui permet de construire un traitement conforme au RGPD et respectueux de la vie privée, lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
Quand est-ce qu’une analyse d’impact est obligatoire ?
Une AIPD doit obligatoirement être menée quand le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».
- Soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données.
- Soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 :
- évaluation/scoring (y compris le profilage) ;
- décision automatique avec effet légal ou similaire ;
- surveillance systématique ;
- collecte de données sensibles ou données à caractère hautement personnel ;
- collecte de données personnelles à large échelle ;
- croisement de données ;
- personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
- usage innovant (utilisation d’une nouvelle technologie) ;
- exclusion du bénéfice d’un droit/contrat.
Exemple : une entreprise met en place un traitement publicitaire visant à collecter les données de géolocalisation de plusieurs millions d’individus pour créer des profils publicitaires et leur afficher de la publicité ciblée en fonction de leurs déplacements ; ce traitement remplit le critère de la collecte à grande échelle et celui de la collecte de données sensibles (données de localisation), donc la réalisation d’une AIPD sera nécessaire.
Sommaire du Chapitre « 36. L’ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNÉES »
- 36.1 Ce qu’il faut savoir sur l’analyse d’impact (AIPD)
- 36.1.1 Qu’est-ce qu’une analyse d’impact relative à la protection des données (AIPD) ?
- 36.1.2 Qu’est-ce qu’un risque sur la vie privée ?
- 36.1.3 Une analyse d’impact peut-elle porter sur un ou plusieurs traitements ?
- 36.1.4 Quand est-ce qu’une analyse d’impact n’est pas obligatoire ?
- 36.1.5 Quand est-ce qu’une analyse d’impact est obligatoire ?
- 36.1.6 À quel moment faut-il mener une analyse d‘impact ?
- 36.1.7 Faut-il mener une analyse d’impact pour les traitements déjà mis en œuvre au 25 mai 2018 ?
- 36.1.8 Qui intervient dans la réalisation d’une analyse d’impact ?
- 36.1.9 Comment fait-on une analyse d’impact, existe-t-il une méthode pour faire une analyse d’impact ?
- 36.1.10 Faut-il publier l’analyse d’impact ?
- 36.1.11 Quand faut-il transmettre son analyse d’impact à la CNIL ?
- 36.1.12 Comment envoyer son analyse d’impact (AIPD) à la CNIL ?
- 36.1.13 Quel est le montant des sanctions prévues par le règlement en cas de manquements aux dispositions relatives aux analyses d’impact ?
- 36.1.14 Infographie de la CNIL – Dois-je faire une AIPD ?
- 36.1.15 Documents et outils complémentaires
Source : CNIL : Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD)