Comment savoir si un traitement de données doit faire l’objet d’une AIPD ?
Afin de savoir si vous devez ou non procéder à une AIPD, vous devez tenir compte, notamment, des types et du nombre de données à caractère personnel, des catégories et du nombre de personnes concernées, de la nature, du contexte, de la portée et de la finalité du traitement, du recours à de nouvelles technologies et des catégories de personnes pouvant y avoir accès.
Vous pouvez soumettre l’ensemble de vos projets de traitements de données à caractère personnel à une AIPD, par mesure de précaution et de documentation de vos activités de traitements.
Vous y serez toutefois tenus dans 3 cas de figure.
Tout d’abord, au regard de l’article 35.3 du RGPD, si votre projet de traitement implique
- une évaluation d’aspects personnels tel que le profilage suivi d’une décision concernant la personnes physique concernée,
- un traitement à grande échelle de catégories particuloères de données relevant des articles 9 ou 10 du RGPD,
- une surveillance systématique à grande échele d’une zone accessible au public.
Ensuite, si votre projet de traitement figure dans la liste des opérations de traitement devant faire l’objet d’une AIPD, adoptée par l’APD confomément à l’article 35.4 du RGPD.
Enfin, si votre projet de traitement ne figure pas dans les liste sde catégories de traitement ci-dessus, il devra tout même faire l’objet d’une AIPD préalable s’il rencontre les critères édictés par le Groupe de Travail Article 29 pour déterminer le caractère à haut risque d’un traitement pour les droits et libertés des personnes concernées.