L’article 35 du Règlement général pour la protection des données (RGPD) impose la réalisation d’une étude d’impact relative à la protection des données (AIPD) lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes concernées.
Une AIPD ?
L’AIPD vise deux objectifs principaux : aider les organismes à bâtir des traitements de données respectant la vie privée des personnes fichées et à démontrer que ces traitements sont bien conformes aux règles édictées par le RGPD. Concrètement, il s’agit d’un document comprenant :- un descriptif détaillé du traitement mis en œuvre (aspects techniques et opérationnels) ;- une évaluation démontrant qu’il respecte les principes juridiques fondamentaux (finalité, durée de conservation, information des personnes fichées, proportionnalité des risques par rapport à l’intérêt du traitement…) ;- une étude technique sur la sécurité des données (confidentialité, intégrité…).
Une liste de traitements
Estimer si le traitement que l’on entend mettre en œuvre dans son entreprise est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes concernées n’est pas toujours évident. Raison pour laquelle la Cnil vient de publier . On y trouve, notamment, les traitements de données de santé, les traitements établissant des profils de personnes à des fins de gestion des ressources humaines, ou encore des traitements de profilages visant, par exemple, à personnaliser les publicités en ligne.