Suis-je tenu de réaliser une analyse d'impact ?

La règle

 

Une analyse d'impact est obligatoire à compter du 25 mai 2018 lorsque le traitement présente un « risque élevé » pour les droits et libertés des personnes concernées  (ex : profilage, surveillance systématique, collecte de données sensibles ou à large échelle, etc.).

Cette analyse d'impact comprend :

  • une description des opérations de traitement ;
  • une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
  • une évaluation des risques pour les droits et libertés des personnes concernées ;
  • les mesures envisagées pour  faire face aux risques (garanties et mesures de sécurité).

Doyoono ?

Si elle est nécessaire, cette analyse d'impact incombe au responsable du traitement, et non au Délégué à la Protection des Données (DPD). Ce dernier jouera cependant un rôle de conseil compte tenu de ses compétences en matière de données personnelles. Au besoin, le sous-traitant peut aussi apporter son assistance. 


L'exception

 

Une telle analyse n'est pas nécessaire par exemple lorsque :

  • le traitement ne présente pas de risque élevé pour les droits et libertés des personnes concernées ;
  • la nature, la portée, le contexte et les finalités du traitement envisagé sont très similaires à un traitement pour lequel une analyse d'impact a déjà été réalisée ;
  • le traitement a une base juridique dans le droit de l'UE ou dans le droit de l'Etat membre auquel le responsable de traitement est soumis et une analyse d'impact générale a déjà été effectuée dans ce cadre ;
  • le traitement correspond à une exception déterminée par la CNIL (liste à venir).

Because yoonozelo

Si vous êtes par exemple amené à procéder à une surveillance systématique des activités de vos employés (y compris leur poste de travail, leur activité sur internet, etc.), une étude d'impact est potentiellement requise.


-->