Table of Contents
Aussi connu comme EFVP ( « PIA »), PIA sont obligatoires en vertu du nouveau règlement sur la protection des données générales de l’ UE ( «RGPD ») où un « type de traitement en particulier en utilisant les nouvelles technologies, et en tenant compte de la nature, la portée, risque de porter gravement atteinte aux droits et libertés des personnes physiques, le responsable du traitement procède, avant le traitement, à une évaluation de l’impact du traitement envisagé sur la protection des données personnelles données « .
Qu’est-ce que cela signifie?
Un PIA est essentiellement une évaluation des risques liés au traitement proposé de données à caractère personnel. Si votre organisation traite des données à caractère personnel susceptibles d’entraîner un risque élevé pour les droits de la personne concernée, un exemple de PIA doit être effectué avant de commencer ce traitement. Voir ici un exemple pia rgpd.
Quand doit-on effectuer un PIA?
Outre les risques élevés pour les droits de la personne concernée, un PIA est obligatoire pour les situations suivantes:
- Lorsqu’il existe une évaluation systématique et approfondie des aspects personnels liés aux personnes physiques, qui repose sur un traitement automatisé, y compris le profilage, et sur laquelle sont fondées les décisions qui produisent des effets juridiques concernant la personne physique ou qui affectent de manière significative la personne physique.
- Traitement à grande échelle de données à caractère personnel sensibles et de données à caractère personnel relatives à des condamnations pénales et à des infractions. Par exemple, les fournisseurs de soins de santé, les compagnies d’assurance.
- Surveillance systématique d’une zone accessible au public à grande échelle. Par exemple, les autorités locales qui utilisent la vidéosurveillance dans les espaces publics, un opérateur de loisirs avec la vidéosurveillance en dehors des discothèques, des bars, des restaurants et des centres commerciaux.
Consultation préalable
En tant que responsable du traitement ou traitement de données, vous devez consulter l’autorité de surveillance avant le traitement, dans le cas où une évaluation des facteurs relatifs à la vie privée indique que le traitement entraînerait un risque élevé pour la sécurité des données à caractère personnel. Lorsque l’autorité de surveillance estime que le traitement enfreindrait le RGPD, elle fournira un avis écrit au responsable du traitement ou au responsable du traitement. Dans le cadre du processus de consultation, l’autorité de surveillance exigera ce qui suit:
- Les responsabilités du contrôleur et / ou du sous-traitant
- Les finalités et les moyens du traitement prévu
- Les mesures et garanties en place pour protéger les données personnelles
- Coordonnées du délégué à la protection des données (DPD)
Comment se déroule un PIA ?
Une mission de PIA peut varier en fonction de la nature et de la complexité des opérations de traitement. Le processus implique généralement plusieurs parties prenantes clés au sein d’une organisation et est supervisé par un « sponsor interne » qui est le DPD actuel ou qui est censé assumer ce rôle à moyen terme. Avant de commencer un PIA, les conditions et les mesures suivantes doivent être prises en compte pour déterminer la pertinence et la pratique du processus:
- Lorsque le traitement est susceptible de présenter un risque pour les données
- L’implication du DPD
- Une évaluation systématique du traitement proposé
- Identification du risque
- Un aperçu des mesures prises pour atténuer ces risques
- Un aperçu des structures et des mesures prévues pour assurer la conformité
Lorsqu’un risque important est identifié, le responsable du traitement doit vérifier auprès de l’autorité de surveillance.
Le non-respect de vos obligations en matière de PIA en vertu du RGPD pourrait entraîner une amende pouvant aller jusqu’à 10 millions d’euros, soit 2% du chiffre d’affaires annuel mondial total réalisé pour l’exercice précédent, le montant le plus élevé étant retenu.