DPIA — Data Protection Impact Assessment : quand l'effectuer, quand s'en passer ?

Une DPIA semble réservée aux grandes entreprises. Pour une PME, elle est rarement nécessaire — mais indispensable dans quelques situations précises. Voici l'arbre de décision.

Une DPIA est une analyse de risques structurée appliquée aux traitements présentant un risque élevé pour la vie privée. L'autorité de protection des données publie une liste des situations où une DPIA est obligatoire.

Quand est-elle obligatoire ?

• Traitement à grande échelle de « catégories particulières » (données médicales, origine ethnique, religion).
• Surveillance systématique d'un lieu accessible au public (vidéosurveillance d'un site en centre-ville).
• Profilage ayant des effets juridiques sur les personnes concernées (prise de décision automatisée).
• Biométrie à des fins d'identification (verrouillage par empreinte digitale, reconnaissance faciale).
• Géolocalisation à grande échelle.
• Croisement de données personnelles provenant de sources différentes (data matching).

Quand n'est-elle probablement pas nécessaire ?

• Administration RH standard.
• CRM client standard.
• Facturation.
• Newsletter avec consentement explicite.

Comment réaliser une DPIA ?

1. Description du traitement : pourquoi, comment, quelles données.
2. Évaluation de la nécessité et de la proportionnalité.
3. Identification des risques pour les personnes concernées.
4. Mesures permettant de réduire le risque.
5. Risque résiduel et évaluation finale.

Qui consulter ?

• Le DPO, s'il est désigné.
• Les personnes concernées (représentation du personnel pour les traitements RH).
• La direction valide et signe.

Consultation préalable de l'autorité de contrôle

En cas de risque résiduel significatif après la DPIA : vous êtes tenu de consulter l'autorité de protection des données AVANT de démarrer le traitement. Le délai de traitement est généralement de 6 à 10 semaines.

Voir aussi : pilier GDPR, gestion des risques.