Le Règlement général sur la Protection des Données (RGPD) fixe le cadre légal du traitement des données personnelles des citoyens dans l’espace européen. Il se compose de plusieurs articles, dont l’article 35 qui aborde l’analyse d’impact relative à la protection des données.

L’article 35 pour réaliser une analyse d’impact

L’objectif du RGPD est de protéger aux mieux les personnes physiques quant au traitement de leurs données personnelles par les sites qui en font la collecte. C’est dans cette logique qu’en son article 35, le RGPD impose au responsable du traitement, en amont d’un traitement, la réalisation d’une analyse d’impact. Par sa nature, sa portée, son contexte et ses finalités, ce traitement nécessite le recours à de nouvelles technologies et peut potentiellement présenter un risque élevé pour les droits et libertés des personnes concernées. Notons qu’ici, une seule et même analyse peut aider à évaluer l’impact d’un ensemble de traitements similaires présentant un niveau élevé de risques.

Avec l’accompagnement d’un cabinet de conseil en RGPD, vous pouvez mieux appréhender les enjeux associés à cet article 35 du RGPD et à l’ensemble même de ce cadre légal. Un cabinet pourra par exemple attirer votre attention sur la nécessité pour le responsable du traitement, de demander conseil au délégué de la protection des données (DPO) s’il en existe, au moment d’effectuer une analyse d’impact dans le cadre de la protection des données.

que dit le RGPD en son article 35

Les cas où l’analyse d’impact est nécessaire

L’analyse d’impact dont nous parlions en amont est nécessaire dans plusieurs cas. Elle s’impose par exemple dans le cas de l’évaluation systématique et approfondie d’aspects personnels relatifs aux personnes physiques. Elle est basée sur un traitement automatisé, intégrant le profilage, et servant de repère à la prise de décisions ayant des effets juridiques vis-à-vis d’une personne physique ou l’affectant considérablement de façon similaire.

L’analyse d’impact s’avère en outre nécessaire dans le traitement à grande échelle de données de nature particulière mise en avant dans le paragraphe 1 de l’article 9 du RGPD. Elle doit également être réalisée pour traiter des données à caractère personnel. Celles-ci sont liées à des condamnations pénales et à des infractions mentionnées à l’article 10 du RGPD. Le dernier cas où l’analyse d’impact est requise, la surveillance systématique à grande échelle d’une zone accessible au public.

Le rôle de l’autorité de contrôle

Le RGPD a mis en place l’autorité de contrôle. Elle se charge d’établir et de publier une liste des types d’opérations de traitement pour lesquelles l’analyse d’impact s’avère impérative. Il communique ensuite cette liste au comité mentionné à l’article 68 du RGPD. Il lui revient également d’établir et de publier une liste des opérations ne nécessitant pas une analyse d’impact.

En amont de l’adoption des listes mentionnées ci-dessus, l’autorité de contrôle doit appliquer le mécanisme de contrôle de cohérence recommandé par l’article 63, notamment lorsque ces listes intègrent les activités de traitement liées à l’offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans différents États membres.

Le contenu de l’analyse d’impact

Une analyse d’impact qui se veut cohérente et respectueuse du RGPD doit contenir :

  • Une description claire des opérations de traitement visées, des finalités du traitement, et de l’intérêt légitime du traitement par le responsable,
  • Une évaluation des risques que présente le traitement pour les droits et libertés des personnes concernées,
  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement,
  • Les mesures envisagées pour contrer les risques, intégration faite des garanties, mesures et mécanismes de sécurité destinés à assurer la protection des données personnelles. Ils doivent également attester que le RGPD est respecté dans le cadre du droit et des intérêts des personnes concernées.

Les impératifs qui lient le responsable de traitement et les exceptions

Les responsables de traitement et les sous-traitants concernés sont tenus de respecter les codes de conduite mis en avant dans l’article 40. C’est en effet un impératif qui est pris en compte au moment de l’analyse d’impact effectuée par ces responsables de traitements ou ces sous-traitants. Le cas échéant, le responsable du traitement recueille les avis des personnes concernées ou de leurs représentants concernant le traitement prévu.

Par ailleurs, il existe une exception à l’application des prescriptions de l’article 35, notamment en ce qui concerne l’analyse d’impact, les cas dans lesquels elle s’impose, le rôle de l’autorité de contrôle et du contenu de l’analyse d’impact.

Ces prescriptions ne s’appliquent pas uniquement en vertu de l’article 6, paragraphe 1, point c ou e. Le traitement est juridiquement fondé selon le droit de l’Union ou selon le droit de l’État membre auquel le responsable de traitement est soumis. Ce droit régit l’opération de traitement ou l’ensemble des opérations de traitement et une analyse d’impact liée à la protection des données avait été réalisée dans le cadre de l’adoption de la base juridique évoquée. Ces prescriptions ne pourront s’appliquer que si les États membres estiment nécessaire qu’une analyse ait lieu en amont des opérations de traitement.

Vous pouvez lire également : le fonctionnement de GoogleActu

Les commentaires sont fermés.

A VOIR AUSSI

Utiliser le site www.lefil.com pour accéder facilement à l’espace client du Crédit Agricole Pyrénées Gascogne ?

Le Crédit Agricole Pyrénées Gascogne est connu pour la qualité des produits qu’il offre au…