Vous êtes dans une zone habituellement réservée aux stagiaires RGPD de « LE NET EXPERT FORMATIONS ». Afin des fins pédagogiques d’intérêt général, nous avons libéré l’accès à cette page et avons le plaisir de partager avec vous ce contenu.
Vous souhaitez suivre une formation sur le RGPD ou la CYBER ? Contactez-nous
L’AIPD un outil qui permet de construire un traitement conforme au RGPD et respectueux de la vie privée, lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
Faut-il mener une analyse d’impact pour les traitements déjà mis en œuvre au 25 mai 2018 ?
Une étude d’impact ne sera pas exigée pour :
- les traitements qui ont fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018, ou qui étaient dispensés de formalité.
- les traitements qui ont été consignés au registre d’un correspondant « informatique et libertés ».
Cette dispense d’obligation de réaliser une AIPD, pour les traitements existants et régulièrement mis en œuvre, sera limitée à une période de 3 ans : à l’issue de ce délai, les responsables de traitement devront avoir effectué une telle étude si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.
En revanche, l’étude d’impact devra être réalisée, sans attendre l’issue de ce délai de trois ans, dans tous les autres cas, dès lors que le traitement présente un risque élevé :
- pour tout nouveau traitement mis en œuvre après le 25 mai 2018 ;
- pour les traitements antérieurs n’ayant pas fait l’objet de formalités préalables auprès de la CNIL ;
- pour les traitements, antérieurs au 25 mai et qui ont été dispensés d’étude d’impact en raison de l’accomplissement d’une formalité préalable auprès de la CNIL, mais qui font l’objet d’une modification significative.
La réalisation d’une AIPD constitue, dans tous les cas, une bonne pratique facilitant la démarche de mise en conformité avec les conditions de fond prévues par le RGPD.
Sommaire du Chapitre « 36. L’ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNÉES »
- 36.1 Ce qu’il faut savoir sur l’analyse d’impact (AIPD)
- 36.1.1 Qu’est-ce qu’une analyse d’impact relative à la protection des données (AIPD) ?
- 36.1.2 Qu’est-ce qu’un risque sur la vie privée ?
- 36.1.3 Une analyse d’impact peut-elle porter sur un ou plusieurs traitements ?
- 36.1.4 Quand est-ce qu’une analyse d’impact n’est pas obligatoire ?
- 36.1.5 Quand est-ce qu’une analyse d’impact est obligatoire ?
- 36.1.6 À quel moment faut-il mener une analyse d‘impact ?
- 36.1.7 Faut-il mener une analyse d’impact pour les traitements déjà mis en œuvre au 25 mai 2018 ?
- 36.1.8 Qui intervient dans la réalisation d’une analyse d’impact ?
- 36.1.9 Comment fait-on une analyse d’impact, existe-t-il une méthode pour faire une analyse d’impact ?
- 36.1.10 Faut-il publier l’analyse d’impact ?
- 36.1.11 Quand faut-il transmettre son analyse d’impact à la CNIL ?
- 36.1.12 Comment envoyer son analyse d’impact (AIPD) à la CNIL ?
- 36.1.13 Quel est le montant des sanctions prévues par le règlement en cas de manquements aux dispositions relatives aux analyses d’impact ?
- 36.1.14 Infographie de la CNIL – Dois-je faire une AIPD ?
- 36.1.15 Documents et outils complémentaires
Source : CNIL : Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD)