Suis-je tenu de réaliser une analyse d'impact ?
La règle
Une analyse d'impact est obligatoire à compter du 25 mai 2018 lorsque le traitement présente un « risque élevé » pour les droits et libertés des personnes concernées (ex : profilage, surveillance systématique, collecte de données sensibles ou à large échelle, etc.).
Cette analyse d'impact comprend :
- une description des opérations de traitement ;
- une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
- une évaluation des risques pour les droits et libertés des personnes concernées ;
- les mesures envisagées pour faire face aux risques (garanties et mesures de sécurité).
Doyoono ?
Si elle est nécessaire, cette analyse d'impact incombe au responsable du traitement, et non au Délégué à la Protection des Données (DPD). Ce dernier jouera cependant un rôle de conseil compte tenu de ses compétences en matière de données personnelles. Au besoin, le sous-traitant peut aussi apporter son assistance.
L'exception
Une telle analyse n'est pas nécessaire par exemple lorsque :
- le traitement ne présente pas de risque élevé pour les droits et libertés des personnes concernées ;
- la nature, la portée, le contexte et les finalités du traitement envisagé sont très similaires à un traitement pour lequel une analyse d'impact a déjà été réalisée ;
- le traitement a une base juridique dans le droit de l'UE ou dans le droit de l'Etat membre auquel le responsable de traitement est soumis et une analyse d'impact générale a déjà été effectuée dans ce cadre ;
- le traitement correspond à une exception déterminée par la CNIL (liste à venir).
Because yoonozelo
Si vous êtes par exemple amené à procéder à une surveillance systématique des activités de vos employés (y compris leur poste de travail, leur activité sur internet, etc.), une étude d'impact est potentiellement requise.