L’ Analyse d’Impact sur la Protection des Données (AIPD) devient obligatoire
Après trois ans de dispense, l’APID devient obligatoire ! A partir du 25 mai 2021, les entreprises devront effectuer une Analyse d’Impact sur la Protection des Données et ce, dès lors qu’un traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes concernées.

L’AIPD, que l’on trouve également sous la dénomination Etude d’Impact sur la Vie Privée (EIVP) ou encore Privacy Impact Assessment (PIA), est un dispositif prévu par l’article 35 du RGPD. Aux termes de cet article, une étude d’impact doit obligatoirement être effectuée dès lors qu’un traitement sur des données personnelles est susceptible de présenter un risque élevé pour les droits et libertés des personnes concernées.

Ce nouvel outil revête donc une importance particulière dans la responsabilisation des organismes concernant le respect de la vie privée des internautes. Il permettra notamment aux entreprises de pouvoir justifier de leur conformité au RGPD.*

 

Qu’entend-on par risque sur la vie privée ?

Le risque élevé pour les droits et libertés des personnes concernées est un élément phare du RGPD. Il est le critère absolu d’engagements de procédures, notamment lors de la notification de violation de données personnelles.

Aucune définition précise de ce qu’est un « risque élevé » n’est donnée dans le Règlement. Un début de réponse est donné dans les considérants n°75, 76 et 85 du règlement. Généralement, on considère que le risque élevé est présent dès lors que les données personnelles pourraient faire l’objet d’une subtilisation, d’une modification ou encore d’une destruction.

L’évaluation des risques doit être réalisées par le DPO qui examinera l’étendu de la gravité et de la probabilité de survenance des conséquences que pourrait entraîner ce traitement pour les personnes concernées.

 

Quand est-ce QUE L’AIPD EST obligatoire ?

L’AIPD n’est pas systématique. Sa réalisation est obligatoire dans le cas où le traitement entraîne un risque élevé pour la vie privée.

Le troisième paragraphe de l’article 35 nous donne les cas où cette analyse devient impérative :

  • Les traitements à grand échelle de données sensibles (département / région / pays) ;
  • Les surveillances systématiques à grande échelle d’une zone accessible au public ;
  • L’évaluation systématique et approfondie d’aspects personnels, y compris le profilage ;
  • L’activité automatisée dont le but est d’évaluer systématiquement et de manière approfondie, les aspects personnels de personnes sur lesquelles des décisions sont prises en entraînant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire.

Pour plus de clarté, vous pouvez vous consulter la liste établie par la CNIL.

 

Sous quelle forme doit se présenter l’AIPD ?

L’AIPD se divise en trois parties distinctes :

  • Une description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels
  • L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;
  • L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

 

qui est en charge de l’AIPD ?

La personne habilitée à réaliser l’analyse doit être désignée par le DPO.

 

Et dans la pratique, ça donne quoi ?

Maintenant que vous savez ce qu’est une AIPD, il est essentiel d’aborder la question de sa mise en œuvre !

De nombreux logiciels existent sur le marché. Véritable gain de temps, ces logiciels sont là pour vous faciliter la tâche et garantir la conformité des traitements au RGPD. Certains sont gratuits, d’autres sont payants, avec chacun leurs avantages et leurs inconvénients.

La CNIL a même développé son propre logiciel open source PIA destiné aux débutants. Vous pouvez retrouver le processus en détails ici[2].

 

Conclusion

A partir du 25 mai 2021, tout traitement de données personnelles engendrant un risque élevé pour les droits et libertés de la personne concernées sera obligatoirement soumis à une Analyse d’Impact sur la Protection des Données. Cette analyse devra respecter le cadre prévu par le RGPD. Vous pouvez retrouver tous les détails et explications du process sur le site de la CNIL. N’hésitez pas à utiliser les logiciels mis à votre disposition.

L’obligation de mettre en place une AIPD ne vient que conforter l’application effective du RGPD. Votre entreprise doit veiller à rendre l’intégralité de ces traitements conforme au Règlement sous peine de recevoir une sanction.

 

Chez Garoé Avocats nous travaillons en synergie avec les membres de notre écosystème, partenaires, clients et entreprises passionnés qui ont besoin de notre assistance technique et de notre expertise dans de nombreux domaines.

Si vous souhaitez en discuter avec nous, n’hésitez pas à nous contacter via notre page contact ou par mail à contact@garoe-law.com .

Notre actualité

Les NFT sont-ils dangereux ?

Les NFT sont-ils dangereux ?

Les NFT représentent-ils un danger pour la propriété intellectuelle ? C’est ce que laisse entendre le rapport remis au ministère de la Culture par le Conseil Supérieur de la propriété littéraire et artistique (CSPLA).

Legal Lunch Day – Comment donner du sens à son business?

Legal Lunch Day – Comment donner du sens à son business?

Notre célèbre Legal Lunch Day revient pour une troisième édition !   Notre associée Maître Delphine GALLIN vous donne rendez-vous le jeudi 19 mai entre 12h30 et 13h30 pour un webinar intitulé "Donner du sens à mon business ? A quoi ça sert ?".  Les crises...

Garoé est entreprise à mission

Garoé est entreprise à mission

Notre cabinet est entreprise à mission depuis le 1er janvier 2022 ! Désormais, nous nous engageons à inscrire l’activité juridique dans un écosystème responsable, respectueux des valeurs sociétales et environnementales.

Est-il légal de faire de la publicité pour un acte médical?

Est-il légal de faire de la publicité pour un acte médical?

A une époque où le paraître est roi, il est devenu rare de trouver une personne de notre entourage n’ayant jamais eu recours à de la chirurgie ou de la médecine esthétique. Lorsque la communication sur les interventions reste dans la sphère privée, les problématiques relevées restent simplement de l’ordre de la moralité. Cependant, lorsqu’elles deviennent publiques, plusieurs questions déontologiques et juridiques se posent.

Suspension du contrat de travail : véritable avantage pour l’employeur ?

Suspension du contrat de travail : véritable avantage pour l’employeur ?

L’Assemblée nationale a définitivement adopté dans la nuit de dimanche à lundi l’extension du passe sanitaire à de nouvelles activités professionnelles. L’une des mesures phares de cette loi concerne l’obligation pour les salariés des secteurs concernés de présenter...

Mon patron peut-il me licencier si je refuse de me faire vacciner ?

Mon patron peut-il me licencier si je refuse de me faire vacciner ?

Au mois de juin, au Houston Methodist Hospital, dans l’Etat du Texas, 178 professionnels de la santé qui refusent de se faire vacciner ont été suspendus par leur supérieur. Leur responsable laisse également planer au-dessus de leur tête la menace d’un licenciement. Cette actualité remet sur le tapis la question de savoir si un employeur peut contraindre et/ou sanctionner les salariés qui refuseraient de se faire vacciner.

Garoé vous donne aujourd’hui la réponse à cette question !

Comment optimiser votre relation avocat client ?

Comment optimiser votre relation avocat client ?

Chaque relation client/avocat est différente. Nous avons la chance de travailler avec des clients incroyables que nous admirons tant professionnellement qu’humainement. C’est une relation enrichissante qui nous permet d’apprendre mutuellement les uns et des autres et d’optimiser au maximum le travail que nous faisons ensemble.

L’ARPP lance son « Certificat de l’Influence Responsable »

L’ARPP lance son « Certificat de l’Influence Responsable »

La seconde édition de l’Observatoire de l’Influence Responsable vient d’être publiée. Dans le même temps, l’ARPP a décidé de lancer son certificat sur l’influence responsable attestant de la connaissance des bonnes pratiques par les différents acteurs concernés. Garoé vous donne quelques explications !

Contactez-nous

Contactez-nous

Nous sommes là pour vous aider.
Entrez les informations ci-dessous et un membre de notre équipe vous contactera rapidement.
(* obligatoire)

RGPD

Actualités

8 + 12 =