Que dit l'article 35 du RGPD ? - Cadres et Dirigeants Magazine - Business | Digital | Emploi | Marketing | Juridique | Tech

Le Règlement général sur la Protection des Données (RGPD) fixe le cadre légal du traitement des données personnelles des citoyens dans l’espace européen. Il se compose de plusieurs articles, dont l’article 35 qui aborde l’analyse d’impact relative à la protection des données.

Sommaire

L’article 35 pour réaliser une analyse d’impact

L’objectif du RGPD est de protéger aux mieux les personnes physiques quant au traitement de leurs données personnelles par les sites qui en font la collecte. C’est dans cette logique qu’en son article 35, le RGPD impose au responsable du traitement, en amont d’un traitement, la réalisation d’une analyse d’impact. Par sa nature, sa portée, son contexte et ses finalités, ce traitement nécessite le recours à de nouvelles technologies et peut potentiellement présenter un risque élevé pour les droits et libertés des personnes concernées. Notons qu’ici, une seule et même analyse peut aider à évaluer l’impact d’un ensemble de traitements similaires présentant un niveau élevé de risques.

Avec l’accompagnement d’un cabinet de conseil en RGPD, vous pouvez mieux appréhender les enjeux associés à cet article 35 du RGPD et à l’ensemble même de ce cadre légal. Un cabinet pourra par exemple attirer votre attention sur la nécessité pour le responsable du traitement, de demander conseil au délégué de la protection des données (DPO) s’il en existe, au moment d’effectuer une analyse d’impact dans le cadre de la protection des données.

Les cas où l’analyse d’impact est nécessaire

L’analyse d’impact dont nous parlions en amont est nécessaire dans plusieurs cas. Elle s’impose par exemple dans le cas de l’évaluation systématique et approfondie d’aspects personnels relatifs aux personnes physiques. Elle est basée sur un traitement automatisé, intégrant le profilage, et servant de repère à la prise de décisions ayant des effets juridiques vis-à-vis d’une personne physique ou l’affectant considérablement de façon similaire.

L’analyse d’impact s’avère en outre nécessaire dans le traitement à grande échelle de données de nature particulière mise en avant dans le paragraphe 1 de l’article 9 du RGPD. Elle doit également être réalisée pour traiter des données à caractère personnel. Celles-ci sont liées à des condamnations pénales et à des infractions mentionnées à l’article 10 du RGPD. Le dernier cas où l’analyse d’impact est requise, la surveillance systématique à grande échelle d’une zone accessible au public.

Le rôle de l’autorité de contrôle

Le RGPD a mis en place l’autorité de contrôle. Elle se charge d’établir et de publier une liste des types d’opérations de traitement pour lesquelles l’analyse d’impact s’avère impérative. Il communique ensuite cette liste au comité mentionné à l’article 68 du RGPD. Il lui revient également d’établir et de publier une liste des opérations ne nécessitant pas une analyse d’impact.

En amont de l’adoption des listes mentionnées ci-dessus, l’autorité de contrôle doit appliquer le mécanisme de contrôle de cohérence recommandé par l’article 63, notamment lorsque ces listes intègrent les activités de traitement liées à l’offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans différents États membres.

Le contenu de l’analyse d’impact

Une analyse d’impact qui se veut cohérente et respectueuse du RGPD doit contenir :

Une description claire des opérations de traitement visées, des finalités du traitement, et de l’intérêt légitime du traitement par le responsable,
Une évaluation des risques que présente le traitement pour les droits et libertés des personnes concernées,
Une évaluation de la nécessité et de la proportionnalité des opérations de traitement,
Les mesures envisagées pour contrer les risques, intégration faite des garanties, mesures et mécanismes de sécurité destinés à assurer la protection des données personnelles. Ils doivent également attester que le RGPD est respecté dans le cadre du droit et des intérêts des personnes concernées.

Les impératifs qui lient le responsable de traitement et les exceptions

Les responsables de traitement et les sous-traitants concernés sont tenus de respecter les codes de conduite mis en avant dans l’article 40. C’est en effet un impératif qui est pris en compte au moment de l’analyse d’impact effectuée par ces responsables de traitements ou ces sous-traitants. Le cas échéant, le responsable du traitement recueille les avis des personnes concernées ou de leurs représentants concernant le traitement prévu.

Par ailleurs, il existe une exception à l’application des prescriptions de l’article 35, notamment en ce qui concerne l’analyse d’impact, les cas dans lesquels elle s’impose, le rôle de l’autorité de contrôle et du contenu de l’analyse d’impact.

Ces prescriptions ne s’appliquent pas uniquement en vertu de l’article 6, paragraphe 1, point c ou e. Le traitement est juridiquement fondé selon le droit de l’Union ou selon le droit de l’État membre auquel le responsable de traitement est soumis. Ce droit régit l’opération de traitement ou l’ensemble des opérations de traitement et une analyse d’impact liée à la protection des données avait été réalisée dans le cadre de l’adoption de la base juridique évoquée. Ces prescriptions ne pourront s’appliquer que si les États membres estiment nécessaire qu’une analyse ait lieu en amont des opérations de traitement.

Vous pouvez lire également : le fonctionnement de GoogleActu

Aurélie Michel

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Que dit l’article 35 du RGPD ?

L’article 35 pour réaliser une analyse d’impact

Les cas où l’analyse d’impact est nécessaire

Le rôle de l’autorité de contrôle

Le contenu de l’analyse d’impact

Les impératifs qui lient le responsable de traitement et les exceptions

Les arnaques aux fausses offres d’emploi créées par l’intelligence artificielle sont une véritable menace

7 astuces de DAF pour élaborer un budget prévisionnel réaliste

les 7 P du marketing : définition et application

Définition de l’expression “post bad”

Comment bien utiliser tweetdeck

Comment choisir le meilleur scanner pour votre entreprise ?

A VOIR AUSSI

Définition de l’expression “post bad”

DIGITAL