L’Analyse d'Impact relative à la Protection des Données ou AIPD (article 35 et 36 du RGPD) est une démarche de prévention des risques réalisée sur un traitement de données à caractère personnel.
Elle responsabilise les différents acteurs et les amène à construire un traitement des données à caractère personnel conforme au RGPD, donc respectueux de la vie privée de la personne.

L’étude est obligatoire quand le traitement de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées (voir l’article 35 paragraphe 1 du RGPD).

La CNIL a publié une liste de 14 traitements soumis à analyse d’impact,

La liste montre que les traitements de données de santé, de données concernant les ressources humaines, les assurances, les logements sociaux, la géolocalisation à grande échelle sont concernés par l’obligation de réalisation d’analyse d’impact. La liste montre aussi que les établissements médico-sociaux devront systématiquement effectuer une analyse d’impact sur leurs traitements, tout particulièrement quand les personnes concernées sont des personnes dites vulnérables (enfants, personnes âgées, patients par exemple).

Par ailleurs, la CNIL a aussi publié une liste de 12 traitements non soumis à l'analyse d'impact.

Attention !

Une structure est passible d’une sanction pouvant atteindre les 10 millions d’euros ou les 2% du chiffre d’affaires mondial globalisé dans les cas suivants :

• la structure ne réalise pas l'AIPD quand nécessaire,
• l'AIPD n'est pas correctement réalisée,
• la structure ne consulte pas l'autorité de contrôle après une AIPD montrant des risques significatifs.

À noter : analyse d’impact relative à la protection des données, AIPD (Data Protection Impact Assessment, terme retenu dans le RGPD) et PIA (Privacy Impact Assessment, terme plus commun utilisé dans d’autres régions du monde) sont synonymes.

Source :
https://www.cnil.fr
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
https://afcdp.net/

Mon avis de DPD/DPO

Pour réaliser l'AIPD :

• Appuyez-vous sur la liste de 14 traitements soumis à l'AIPD et sur la liste de 12 traitements non soumis à l'AIPD pour faire le choix de la réaliser ou non,
• Sollicitez l'avis des différents acteurs professionnels. Vous apprendrez plus vite !
• Sollicitez l'avis des personnes concernées,
• Réalisez une AIPD en cas de doute,
• Utilisez l'outil conçu par la CNIL,
• Utilisez l'outil conçu par la CNIL et enrichissez-le de modules ou adaptez-le à votre secteur si besoin, il est open source,
• Apprivoisez la démarche en pratiquant,
• Opérez une veille pour actualiser vos pratiques suite aux décisions et aux positions adoptées par les autorités de protection des données européennes et le Comité européen de la protection des données.

L'AIPD vous aidera à vous poser les bonnes questions. Vous évoluerez en évaluant :-). Elle vous aidera à mettre en oeuvre votre veille. De fait, elle vous motivera et renforcera la responsabilisation des équipes en prenant conscience des risques encourus ainsi que la confiance des personnes concernées.

Globalement l'AIPD vous accompagne dans l'amélioration de la gestion des risques au sein de votre structure. Alors, n'en faites pas l'impasse, de plus au risque d'être sanctionné.