Le texte de l’article 35 – Analyse d’impact relative à la protection des données
”Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires. Lorsqu’il effectue une analyse … Si nécessaire, le responsable du traitement procède à un examen afin d’évaluer si le traitement est effectué conformément à l’analyse d’impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement. ”
article 35
L’analyse de l’article : Analyse d’impact relative à la protection des données
L’article 35 du RGPD présente l’analyse d’impact relative à la protection des données.
En lien avec la protection et le respect des droits et libertés des personnes, il est réalisé une analyse complète des opérations réalisées, notamment concernant les nouvelles technologiques.
Le responsable du traitement effectue en effet une vérification des informations diffusées pour s’assurer que celles-ci ne portent pas atteinte aux personnes et à leurs données.
Ce responsable du traitement peut se faire seconder par le délégué à la protection des données.
Obligatoire dans quels cas?
L’analyse d’impact relative à la protection des données du RGPD est obligatoire dans les cas suivants :
- analyse systématique sur les informations produisant des effets juridiques.
- analyse systématique sur les informations en rapport avec les articles 9 et 10.
- analyse systématique sur les informations accessible au public.
L’autorité de contrôle (La CNIL) liste les opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est nécessaire. Elle publie ensuite cette liste au comité.
La CNIL se réserve également le droit de publier les opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas obligatoire auprès du comité.
Contenu de l’analyse d’impact
L’analyse d’impact relative à la protection des données comporte les éléments suivants :
- une description des opérations de traitement ainsi que ses finalités.
- une évaluation des opérations de traitement ainsi que ses finalités.
- une évaluation des risques pour les droits et libertés des données des personnes.
- les mesures à mettre en place pour la protection des droits et libertés des personnes.
L’adoption des listes diffusées par l’autorité de contrôle passe donc nécessairement par ces différentes étapes.
Le responsable du traitement demande également l’avis des personnes concernées concernant l’utilisation de ces informations.
