Qu’est-ce qu’une analyse d’impact et qui en est tenu ?
Parmi les obligations imposées au responsable du traitement, l’article 35 du RGPD impose qu’une analyse d’impact relative à la protection des données soit effectuée avant le traitement lorsque ce dernier est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Cette procédure permet d’évaluer à la fois les risques encourus et la manière dont ils peuvent être maîtrisés.
Votre AIPD soumet votre projet de traitement à une évaluation des risques élevés potentiels que celui-ci peut présenter envers les personnes concernées, au regard de l’ensemble des droits et libertés dont celles-ci disposent. Une seule et même AIPD peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires. Vous devez évaluer la probabilité et la gravité particulières du risque élevé compte tenu de la nature, de la portée, du contexte et des finalités du traitement et des sources du risques. Votre AIPD devrait comprendre, notamment, les mesures, garanties et mécanismes envisagés pour atténuer ce risque, assurer la protection des données à caractère personnel et démontrer le respect du RGPD.
Pour réaliser votre AIPD, faites-vous aider, le cas échéant, par votre DPO mais également, lorsque cela le requiert, demandez l’avis des personnes concernées ou de leurs représentants au sjet du traitement prévu.