Parmi les nouveautés du RGPD devenu pleinement applicable le 25 mai 2018, l'analyse d'impact fait partie de ces procédures documentaires que tout responsable de traitement de données se doit de connaître, de conduire et de conserver dans de nombreux cas de traitements de données personnelles.
Il faut déjà un certain doigté et une bonne connaissance juridique pour décrypter les règles qui régissent l'analyse d'impact, à commencer par comprendre dans quel cas celle-ci s'impose pour ne pas être hors des clous et risquer un rappel à l'ordre par la Cnil, voire des sanctions.
Un article didactique pour s'y retrouver
Pour s'y retrouver de manière synthétique, un article de Landry Ebouah, juriste, a été publié sur le site du Village de la justice le 8 septembre sous le titre "Analyse d’impact et traitement de données à caractère personnel".
Cet article présente de manière didactique les cas de figure de traitement de données qui rendre une analyse d'impact obligatoire et les cas où cela n'est pas obligatoire.
En savoir plus
Rappelons que la Cnil avait publié, dès le 18 octobre 2017, les lignes directrices émises par ce qui était encore le G29 (devenu CEPD, Comité européen de la protection des données) sur les analyses d'impact, nommées dans le jargon de ces instances DPIA, pour Data Protection Impact Assessment (notre actualité du 7 novembre 2017) qui donnaient déjà des pistes pour s'y retrouver.
Le Village de la Justice avait également publié, le 19 mars 2018 un article intitulé "Données personnelles : quand faut-il réaliser une analyse d’impact ?" sous la plume de Me Anaïs Olivier, avocate (notre actualité du 17 avril 2018)
Voir toutes nos actualités sur les Données à caractère personnel et sur le RGPD.