Quand doit-on faire un DPIA ?

Rechercher un article

L'article 35, paragraphe 1, stipule que vous devez effectuer une DPIA lorsqu'un type de traitement estsusceptibles d'entraîner un risque élevéaux droits et libertés des personnes :

"Lorsqu'un type de traitement utilisant notamment les nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement procède, préalablement au traitement, à une évaluation de l'impact des traitements envisagés sur la protection des données à caractère personnel. Une seule évaluation peut porter sur un ensemble de traitements similaires présentant des risques élevés similaires."

Dans ce contexte, le risque concerne le potentiel de tout préjudice physique, matériel ou immatériel important pour les personnes. Voir Qu'est-ce qu'un DPIA ? pour plus d'informations sur la nature du risque.

Pour évaluer si quelque chose présente un « risque élevé », le RGPD du Royaume-Uni indique clairement que vous devez tenir compte à la fois de la probabilité et de la gravité de tout préjudice potentiel pour les personnes. Le « risque » implique une possibilité plus qu'infime d'un préjudice. « Risque élevé » implique un seuil plus élevé, soit parce que le préjudice est plus probable, soit parce que le préjudice potentiel est plus grave, ou une combinaison des deux. L'évaluation de la probabilité de risque dans ce sens fait partie du travail d'un DPIA.

Toutefois, la question à ces fins d'examen initial est de savoir si le traitement estd'un type susceptible d'entraînerun risque élevé.

Le RGPD britannique ne définit pas « susceptible d'entraîner un risque élevé ». Cependant, le point important ici n'est pas de savoir si le traitement présente réellement un risque élevé ou est susceptible d'entraîner un préjudice - c'est le travail de la DPIA elle-même d'évaluer en détail. Au lieu de cela, la question est un test de dépistage de plus haut niveau : y a-t-il des caractéristiques qui indiquent le potentiel de risque élevé ? Vous recherchez tout signal d'alarme indiquant que vous devez effectuer une DPIA pour examiner le risque (y compris la probabilité et la gravité des dommages potentiels) plus en détail.

L'article 35, paragraphe 3, énumère trois exemples de types de traitement qui nécessitent automatiquement une DPIA, et l'ICO a publié une liste en vertu de l'article 35, paragraphe 4, en énonçant dix autres. Il existe également des lignes directrices européennes avec certains critères pour vous aider à identifier d'autres traitements à haut risque probables.

Cela ne signifie pas que ces types de traitement présentent toujours un risque élevé ou sont toujours susceptibles de causer un préjudice - simplement qu'il existe une probabilité raisonnable qu'ils présentent un risque élevé et qu'une DPIA est donc nécessaire pour évaluer le niveau de risque plus en détail.

Si votre traitement prévu n'est pas décrit dans le cadre du RGPD britannique, de l'article 35, paragraphe 3, de la liste ICO ou des directives européennes, il vous appartient en définitive de décider si votre traitement est d'un type susceptible d'entraîner un risque élevé, en tenant compte de la nature, de la portée, du contexte et des finalités du traitement. En cas de doute, nous vous recommandons toujours de faire une DPIA pour garantir la conformité et encourager les meilleures pratiques.

L'article 35, paragraphe 3, énonce trois types de traitement qui nécessitent toujours une DPIA :

"a) toute évaluation systématique et approfondie des aspects personnels relatifs aux personnes physiques qui est fondée sur un traitement automatisé, y compris le profilage, et sur laquelle sont fondées des décisions produisant des effets juridiques concernant la personne physique ou affectant de manière significative la personne physique de manière similaire."

"b) le traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10."

"(c) une surveillance systématique d'une zone accessible au public à grande échelle."

Le groupe de travail de l'article 29 des autorités de protection des données de l'UE (WP29) a publié des lignes directrices avec neuf critères qui peuvent servir d'indicateurs d'un traitement à haut risque probable :

Pour plus d'informations sur ces facteurs, lisez les directives WP29 (WP248). Ils donnent des informations sur le raisonnement des indicateurs de risque élevé et des exemples de traitement susceptibles d'entraîner un risque élevé.

Dans la plupart des cas, une combinaison de deux de ces facteurs indique la nécessité d'une DPIA. Cependant, ce n'est pas une règle stricte.

Vous pouvez être en mesure de justifier une décision de ne pas effectuer une DPIA si vous êtes convaincu que le traitement est néanmoins peu susceptible d'entraîner un risque élevé, mais vous devez documenter vos raisons.

D'un autre côté, dans certains cas, vous devrez peut-être faire une DPIA si un seul facteur est présent - et c'est une bonne pratique de le faire.

Lectures complémentaires - Comité européen de la protection des données

Le WP29 a produit des lignes directrices sur les analyses d'impact sur la protection des données, qui ont été approuvées par le comité européen de la protection des données.

Lien externe

L'ICO est tenue par l'article 35, paragraphe 4, de publier une liste des opérations de traitement qui nécessitent une DPIA. Cette liste complète et précise les critères mentionnés dans les lignes directrices européennes. Certaines de ces opérations nécessitent automatiquement une DPIA, et d'autres uniquement lorsqu'elles se produisent en combinaison avec l'un des autres éléments, ou l'un des critères des lignes directrices européennes mentionnées ci-dessus :

Vous devez également savoir que les autorités de protection des données des autres États membres de l'UE publieront des listes des types de traitement qui nécessitent une DPIA dans leur juridiction.

Plus en détail - Orientations de l'ICO

Pour des exemples indicatifs d'opérations qui nécessitent une DPIA, et plus de détails sur les critères à haut risque en combinaison avec d'autres, lisez notre liste d'opérations de traitement "susceptibles d'entraîner un risque élevé".

Lien externe

Le considérant 91 indique que la technologie innovante concerne les nouveaux développements des connaissances technologiques dans le monde en général, plutôt que la technologie qui est nouvelle pour vous, et son utilisation peut déclencher la nécessité de réaliser une DPIA. En effet, l'utilisation de ces technologies peut impliquer de nouvelles formes de collecte et d'utilisation des données, éventuellement avec un risque élevé pour les droits et libertés des individus. Les conséquences personnelles et sociales du déploiement d'une nouvelle technologie peuvent être inconnues, et un DPIA peut aider le responsable du traitement à comprendre un contrôle de ces risques.

Voici des exemples de traitement utilisant une technologie innovante :

Ce ne sont pas seulement les technologies de pointe qui peuvent être qualifiées d'innovantes. Si un responsable du traitement met en œuvre une technologie existante d'une nouvelle manière, cela pourrait entraîner des risques élevés qui, à moins qu'une DPIA ne soit effectuée, pourraient ne pas être identifiés et traités. Par exemple, faire une DPIA dans le cadre d'un projet de conception et de déploiement d'un système de base de données à grande échelle qui traite les détails des clients pourrait :

La liste ICO des opérations de traitement à haut risque nécessite une DPIA si votre traitement implique une technologie innovante en combinaison avec un autre critère des lignes directrices européennes (par exemple, évaluation ou notation, ou données sensibles).

Cependant, dans certains cas, vous pouvez décider que votre utilisation prévue d'une technologie innovante nécessite une DPIA sans aucun autre facteur. En tant que responsable du traitement, si aucune obligation impérative ne s'applique, vous êtes responsable d'évaluer si votre traitement prévu est "susceptible d'entraîner un risque élevé".

Lectures complémentaires

Lisez notre article sur papier sur le big data, l'intelligence artificielle, l'apprentissage automatique et la protection des données. Il contient des orientations supplémentaires sur l'application de ces technologies dans un contexte de protection des données.

Lien externe

Encore une fois, le RGPD britannique ne définit pas « systématique » ou « systématique et étendu ».

Il existe des indications sur la signification de « systématique » dans les lignes directrices européennes sur les dispositions relatives au DPO. Les lignes directrices du DPO indiquent que "systématique" signifie que le traitement :

Le terme «extensif» implique que le traitement couvre également une vaste zone, implique un large éventail de données ou affecte un grand nombre d'individus.

Lectures complémentaires – Comité européen de la protection des données

Le groupe de travail de l'article 29 des autorités européennes de protection des données a adopté des lignes directrices sur les délégués à la protection des données («DPD») (WP243) qui contiennent des orientations sur la signification du terme «systématique».

Lien externe

Le RGPD du Royaume-Uni ne définit pas le concept d'effet juridique ou d'effet significatif similaire. Toutefois, les lignes directrices du groupe de travail « Article 29 » sur cette phrase dans le contexte des dispositions relatives au profilage donnent des indications supplémentaires.

En bref, c'est quelque chose qui a un impact notable sur un individu et peut affecter de manière significative sa situation, son comportement ou ses choix.

Un effet juridique est quelque chose qui affecte le statut juridique ou les droits juridiques d'une personne. Un effet tout aussi significatif peut inclure quelque chose qui affecte la situation financière, la santé, la réputation, l'accès aux services ou d'autres opportunités économiques ou sociales d'une personne.

Les décisions qui ont généralement peu d'impact pourraient néanmoins affecter de manière significative les personnes les plus vulnérables, telles que les enfants.

Plus en détail - Orientations de l'ICO

Lisez nos conseils sur le profilage et la prise de décision automatisée pour en savoir plus sur les effets juridiques et similaires.

Lisez nos conseils sur les enfants et le RGPD du Royaume-Uni pour en savoir plus sur les effets significatifs concernant spécifiquement les enfants et leurs données personnelles.

Lectures complémentaires – Comité européen de la protection des données

Lisez les lignes directrices du WP29 sur la prise de décision individuelle automatisée et le profilage aux fins du règlement 2016/679 (WP251). Ils contiennent des indications sur les effets juridiques et les effets significatifs similaires.

Lien externe

Un "traitement invisible" se produit lorsque vous obtenez des données personnelles ailleurs que directement auprès de la personne elle-même et que vous ne lui fournissez pas les informations de confidentialité requises par l'article 14. Le traitement est "invisible" car la personne ne sait pas que vous collectez et utilisez ses données personnelles, même si vous publiez un avis de confidentialité sur votre site Web.

Ce traitement entraîne un risque pour les intérêts de la personne car elle ne peut exercer aucun contrôle sur l'utilisation que vous faites de ses données. En particulier, ils ne peuvent pas utiliser leurs droits de protection des données s'ils n'ont pas connaissance du traitement. Cela est vrai même s'il est peu probable que le traitement lui-même ait un effet négatif.

Vous pouvez également courir le risque d'enfreindre les exigences d'équité et de transparence du premier principe de protection des données si le traitement, ou tout résultat de celui-ci, ne peut pas être raisonnablement prévu par la personne.

Pour ces raisons, le traitement de cette manière n'est autorisé par le RGPD du Royaume-Uni que dans des circonstances limitées. Ceux-ci incluent où fournir les informations de confidentialité prouventimpossibleou impliquerait uneffort disproportionné.

Les circonstances dans lesquelles il est impossible de garantir la confidentialité ne se produiront que rarement, par exemple lorsque vous n'avez pas les coordonnées des personnes et que vous n'avez aucun moyen raisonnable de les obtenir.

Il est important que vous puissiez démontrer que vous respectez le droit des personnes à être informées. Ainsi, si vous proposez des opérations de traitement qui impliquent l'utilisation de données obtenues auprès de tiers, vous devez d'abord examiner attentivement si vous pouvez fournir des informations de confidentialité aux personnes concernées. Si vous avez l'intention de vous prévaloir de l'exception pour effort disproportionné, vous devez être en mesure de le justifier et vous devez prendre d'autres mesures pour protéger les droits des personnes. En particulier, vous devez toujours publier vos informations de confidentialité et effectuer une DPIA.

Votre DPIA vous aidera à évaluer et à démontrer si vous adoptez une approche proportionnée. Cela vous aidera à déterminer comment atténuer au mieux l'impact sur la capacité des individus à exercer un contrôle sur leurs données et si vous pouvez prendre d'autres mesures pour soutenir l'exercice de leurs droits. Cela vous aidera également à démontrer comment vous vous conformez aux exigences d'équité et de transparence.

Plus en détail - Orientations de l'ICO

Lisez les directives de l'OIC sur le droit d'être informé, qui comprennent une section sur les efforts disproportionnés et d'autres exceptions et exemptions.

Lectures complémentaires – Comité européen de la protection des données

Voir les lignes directrices du WP29 sur la transparence, qui ont été approuvées par l'EDPB.

Lien externe

Les individus peuvent être vulnérables lorsque les circonstances peuvent restreindre leur capacité à consentir librement ou à s'opposer au traitement de leurs données personnelles, ou à comprendre ses implications.

De toute évidence, les enfants sont considérés comme vulnérables au traitement de leurs données personnelles car ils peuvent être moins en mesure de comprendre comment leurs données sont utilisées, d'anticiper comment cela pourrait les affecter et de se protéger contre toute conséquence indésirable. Cela peut également être vrai pour d'autres segments vulnérables de la population, comme les personnes âgées ou les personnes souffrant de certains handicaps.

Même si les individus ne font pas partie d'un groupe que vous pourriez automatiquement considérer comme vulnérable, un déséquilibre de pouvoir dans leur relation avec vous peut entraîner une vulnérabilité à des fins de protection des données s'ils estiment qu'ils seront désavantagés si le traitement n'a pas lieu.

Un groupe qui peut être considéré comme vulnérable dans ce sens sont les employés. Les lignes directrices européennes sur les DPIA (WP248) expliquent pourquoi les employés pourraient être considérés comme des personnes vulnérables lorsqu'un déséquilibre de pouvoir signifie qu'ils ne peuvent pas facilement consentir ou s'opposer au traitement de leurs données par un employeur. Ce type de vulnérabilité peut également survenir en raison de la situation financière d'un individu (par exemple, la solvabilité) ou du contexte spécifique du traitement (par exemple, les patients recevant des soins médicaux). Si vous pensez que votre traitement impliquera des personnes vulnérables, une DPIA sera requise si l'un des autres critères ou opérations de notre liste est engagé.

Exemple

Une entreprise de vente fournit des voitures de société à ses employés et a l'intention de déployer des véhicules dotés de fonctions de géolocalisation, permettant aux responsables de surveiller à tout moment les déplacements et les allées et venues de leurs employés. Les employés sont également autorisés à utiliser les véhicules à leurs fins privées en dehors des heures de travail.

Le traitement vise à tracer la géolocalisation de chaque individu, dans un contexte où il est vulnérable à un déséquilibre de pouvoir avec le responsable du traitement. Cela implique donc l'exigence d'une DPIA pour identifier et atténuer les risques pour les droits et libertés des employés.

Lien externe

Plus en détail - Orientations de l'ICO

Lisez nos conseils sur les enfants et le RGPD britannique pour en savoir plus sur le consentement et les protections supplémentaires pour les enfants.

Lectures complémentaires – Comité européen de la protection des données

Le WP29 a produit des lignes directrices sur les analyses d'impact sur la protection des données, qui ont été approuvées par le comité européen de la protection des données.

Lisez l'avis WP29 2/2017 sur le traitement des données au travail pour en savoir plus sur le traitement des données personnelles dans un contexte d'emploi.

Encore une fois, le RGPD britannique ne contient pas de définition du traitement à grande échelle, mais pour décider si le traitement est à grande échelle, vous devez considérer :

Voici des exemples de traitement à grande échelle :

Les professionnels individuels qui traitent les données des patients ou des clients ne traitent pas à grande échelle.

Lien externe

Lectures complémentaires– Comité européen de la protection des données

Le WP29 a produit des lignes directrices sur les analyses d'impact sur la protection des données, qui ont été approuvées par le comité européen de la protection des données.

Lisez également les lignes directrices du WP29 sur les délégués à la protection des données (DPD) (WP243)

Vous ne devrez peut-être pas effectuer de DPIA si :

Lien externe

Lectures complémentaires– Comité européen de la protection des données

Le WP29 a produit des lignes directrices sur les analyses d'impact sur la protection des données, qui ont été approuvées par le comité européen de la protection des données.