Recommandation d'initiative concernant l'analyse d'impact relative à la protection des données (n° 01/2018)

Une des nouvelles obligations figurant dans le RGPD concerne l'obligation de réaliser - dans certaines circonstances - une "analyse d'impact relative à la protection des données" (AIPD). Une AIPD est un processus dont l’objet est de décrire le traitement de données à caractère personnel, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques qui y sont liés en les évaluant et en déterminant les mesures nécessaires pour y faire face.

Le but de cette recommandation est de fournir des explications plus détaillées concernant :

  • les circonstances dans lesquelles une AIPD est obligatoire (section 3) ;
  • les éléments essentiels d’une AIPD (section 5) ;
  • les circonstances dans lesquelles une consultation préalable est obligatoire (section 6) ;
  • les acteurs qui doivent être impliqués dans une AIPD (section 7) ; 
  • plusieurs dispositions particulières (section 8).

Un précédent projet de recommandation avait été soumis à une consultation publique du 20 décembre 2016 au 28 février 2017. L'Autorité a reçu 31 réactions dans le cadre de cette consultation publique, pour un total de 132 remarques. Le projet actuel tient compte des remarques et suggestions qui ont été formulées par des entreprises, des fédérations sectorielles et des universitaires, ainsi que de la version finale des lignes directrices du Groupe de protection des données Article 29, promulguées en octobre 2017.

Par rapport au projet qui avait été soumis à la consultation publique, les adaptations suivantes ont été apportées :

1. complément à la lumière de la version définitive des lignes directrices du Groupe Article 29 relatives à l'AIPD, en particulier en ce qui concerne :

  • les 9 critères servant à déterminer si un traitement est "susceptible d’engendrer un risque élevé" ;
  • les éléments essentiels d'une AIPD ;
  • les activités de traitement existantes.

2. précision concernant les autorisations existantes

3. adaptation des projets de listes des types d'opérations de traitement pour lesquelles une AIPD est requise ou non.