Une analyse d’impact sur la protection des données à caractère personnel est une étude qui doit être menée lorsqu’un traitement de données est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
Cette étude permet au Responsable de traitement de réaliser un traitement de données personnelles respectueux du Règlement Général sur la Protection des Données (RGPD), et de mesurer les impacts sur la vie privée des personnes concernées.
SITUATIONS CONCERNÉES PAR L’ANALYSE D’IMPACT
Une analyse d’impact est obligatoire dans certains cas (article 35 du RGPD) :
- L’évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques ;
- Le traitement à grande échelle de catégories particulières de données dites « sensibles » ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ;
- La surveillance systématique à grande échelle d'une zone accessible au public.
L’analyse d’impact doit être menée avant la mise en œuvre du traitement, et doit être mise à jour tout au long du cycle de vie du traitement.
CONTENU DE L’ANALYSE D’IMPACT
Une analyse d’impact doit contenir à minima les informations suivantes :
- Une description systématique des opérations de traitements envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le Responsable du traitement ;
- Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
- Une évaluation des risques pour les droits et libertés des personnes concernées ;
- Les mesures envisagées en cas de risques, y compris les garanties, mesures et mécanismes de sécurité.