Quand une analyse d’impact relative à la protection des données (AIPD) est-elle requise ?

Réponse

Une AIPD est requise lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. Une AIPD est requise au minimum dans les cas suivants:

• une évaluation systématique et approfondie des aspects personnels concernant une personne, y compris le profilage;
• le traitement à grande échelle de données sensibles;
• la surveillance systématique à grande échelle de zones accessibles au public.

Les autorités de protection des données (APD) nationales, en concertation avec le comité européen de la protection des données, peuvent fournir des listes de cas pour lesquels une AIPD serait nécessaire. L’AIPD devrait être menée avant le traitement et être considérée comme un outil vivant et non comme une simple opération ponctuelle. En cas de risques résiduels qui ne peuvent être atténués par la mise en place de mesures, l’APD doit être consultée avant le début du traitement.

Exemples

AIPD requise
Une banque qui sélectionne ses clients à partir d’une base de données de référence en matière de crédit; un hôpital sur le point de mettre en œuvre une nouvelle base de données reprenant des informations sur la santé et des données relatives à la santé de ses patients; un exploitant de bus sur le point d’installer des caméras à bord pour surveiller le comportement de ses chauffeurs et des passagers.

AIPD non requise
Un médecin traite les données à caractère personnel de ses patients. Dans ce cas, une AIPD n’est pas nécessaire étant donné que le traitement par le médecin n’est pas à grande échelle et que le nombre de patients est limité.

Références

• Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD)
• Articles 35, 36; Considérants 89, 90, 91, 92, 93, 94, 95, 96

DPIA required
A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour.

DPIA not required
A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited.

• EDPB Guidelines on Data Protection Impact Assessment (DPIA)
• Articles 35 and 36 and Recitals (89) to (96) of the GDPR