Veille active Cayenne
UniversConvergents
Veille juridique · IT × IP
Données personnelles

Liste des traitements pour lesquels une Analyse d’Impact relative à la Protection des Données (AIPD) est requise

L’article 35 du RGPD prévoit la conduite d’une analyse d’impact relative à la protection des données (AIPD - Data Protection Impact Assessment ou PIA - Privacy Impact Assessment), lorsqu’un traitement de données personnelles est…

Liste des traitements pour lesquels une Analyse d’Impact relative à la Protection des Données (AIPD) est requise
Image à la une — UniversConvergents.

L’article 35 du RGPD prévoit la conduite d’une analyse d’impact relative à la protection des données (AIPD - Data Protection Impact Assessment ou PIA - Privacy Impact Assessment), lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Une AIPD doit obligatoirement être mené quand le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées » dans les cas suivants:

  1. le traitement figure dans la liste CNIL ;
  2. le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 :
  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles données à caractère hautement personnel ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat.

  L’AIPD se décompose en trois parties :

  1. Description détaillée du traitement (aspects techniques et opérationnels) ;
  2. Evaluation juridique de la nécessité et de la proportionnalité au regard des principes RGPD (finalité, données et durées de conservation, information et droits des personnes, etc.);
  3. Etude technique des risques et impacts potentiels sur la sécurité des données (confidentialité, intégrité et disponibilité) permettant de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

  La CNIL a publié des guides de bonnes pratiques et notamment des modèles d’AIPD dont et un exemple applicable aux IoT.  

Consulter le document (PDF)

Consulter le document (PDF)

Consulter le document (PDF)

Consulter le document (PDF)

https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-avec-aipd-requise.pdf   https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037559521&dateTexte=&categorieLien=id   https://www.cnil.fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-aipd   https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf   https://www.cnil.fr/fr/PIA-privacy-impact-assessment   https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-captoo-fr.pdf   https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-piaf-connectedobjects-fr.pdf   https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-piaf-connectedobjects-fr.pdf   https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-2-fr-modeles.pdf   https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-3-fr-basesdeconnaissances.pdf

FM

Frédéric Mouillère

Éditeur d'UniversConvergents — veille juridique IT & IP

Frédéric Mouillère assure une veille régulière sur le droit du numérique, la propriété intellectuelle et l'intelligence artificielle, à l'attention des professionnels, à la convergence des technologies et de la création.

À lire également