Avocat RGPD Nantes Paris

données personnelles

Suis-je tenu de réaliser une analyse d’impact ?

> La règle

 

Une analyse d’impact est obligatoire, depuis l’entrée en vigueur du RGPD, lorsque le traitement présente un « risque élevé » pour les droits et libertés des personnes concernées  (ex : profilage, surveillance systématique, collecte de données sensibles ou à large échelle, etc.).

Cette analyse d’impact comprend :

  • une description des opérations de traitement,
  • une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités,
  • une évaluation des risques pour les droits et libertés des personnes concernées,
  • les mesures envisagées pour faire face aux risques (garanties et mesures de sécurité).
Avocat Nantes La Roche sur Yon Paris

Si elle est nécessaire, cette analyse d’impact incombe au responsable du traitement et non au délégué à la protection des données (DPD). Ce dernier jouera cependant un rôle de conseil compte tenu de ses compétences en matière de données personnelles. Au besoin, le sous-traitant peut aussi apporter son assistance.

> L'exception

Une telle analyse d’impact ne sera cependant pas nécessaire, par exemple lorsque :

  • le traitement ne présente pas de risque élevé pour les droits et libertés des personnes concernées,
  • la nature, la portée, le contexte et les finalités du traitement envisagé sont très similaires à un traitement pour lequel une analyse d’impact a déjà été réalisée,
  • le traitement a une base juridique dans le droit de l’UE ou dans le droit de l’Etat membre auquel le responsable de traitement est soumis et une analyse d’impact générale a déjà été effectuée dans ce cadre,
  • le traitement correspond à une exception déterminée par la CNIL. A cet égard, la commission a publié une liste des opérations de traitement pour lesquelles une analyse d’impact n’est pas nécessaire, accessible sur son site internet.
Avocat Nantes La Roche sur Yon Paris

Si vous êtes par exemple amené à procéder à une surveillance systématique des activités de vos employés (y compris leur poste de travail, leur activité sur internet, etc.), une étude d’impact est potentiellement requise.

D’autres questions ? Voyez aussi…