Le Comité européen de la protection des données donne un avis sur les projets de liste AIPD

La nouvelle législation en matière de protection de la vie privée (le RGPD) impose l'obligation de procéder dans certaines circonstances à une "analyse d'impact relative à la protection des données" - en abrégé "AIPD" (ou "DPIA" en anglais pour Data Protection Impact Assessment). Une AIPD est une procédure destinée à évaluer si un traitement de données à caractère personnel comporte des risques pour les droits et libertés de la personne dont les données sont traitées et à évaluer la manière dont ces risques peuvent être maîtrisés.

Le RGPD détermine les circonstances dans lesquelles l'exécution d'une AIPD est obligatoire. En principe, une AIPD n'est requise que lorsque le traitement de données, compte tenu de sa nature, de sa portée, de son contexte et de ses finalités, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. En outre, le RGPD oblige chaque autorité de contrôle à établir au niveau national une liste des types d'opérations de traitement pour lesquelles une AIPD est requise et à communiquer ensuite cette liste au Comité européen de la protection des données (CEPD) pour avis.

En juin 2018, l'Autorité de protection des données a transmis au CEPD son projet de liste des types d'opérations de traitement de données pour lesquelles une AIPD est requise. Le 25 septembre 2018, le CEPD a émis son avis sur ce projet de liste, ainsi que sur les projets de liste de 21 autres autorités.

Dès réception de la version finale de cet avis, l'Autorité de protection des données disposera d'une période de 2 semaines pour adapter, si nécessaire, le projet de liste à la lumière de cet avis. L'Autorité de protection des données publiera alors peu de temps après la version définitive de sa liste des types d'opérations de traitement pour lesquelles une AIPD est requise.

Vous trouverez plus d'informations sur l'AIPD dans notre dossier thématique sur le site Internet.