Lignes directrices du G29 relatives à l’analyse d’impact

Le 4 avril 2017, le G29 a publié ses lignes directrices sur l’analyse d’impact relative à la protection des données personnelles (AIPD), obligation prévue par l’article 35 du Règlement général sur la protection des données personnelles (RGPD). Ces AIPD consistent à décrire un traitement, évaluer la nécessité de sa mise en œuvre et sa proportionnalité, et aider à la gestion des risques d’atteinte aux droits et libertés des personnes physiques concernées. A ce titre, les AIPD doivent être mises en œuvre préalablement à tout traitement qui présenterait un risque élevé d’atteinte à ces droits et libertés. Elles ne devront être mises en œuvre que pour les traitements initiés postérieurement à l’entrée en application du RGPD – soit le 25 mai 2018 –, mais le G29 recommande malgré tout de les mettre en œuvre également pour les traitements actuellement en cours. Dans ces lignes directrices, le G29 précise notamment quels sont les traitements susceptibles de faire l’objet d’une AIPD et selon quelles modalités.

Pour lire les lignes directrices du G29 (en anglais)

Projet de recommandation relative à l’analyse d’impact

Le 20 décembre 2016, la Commission belge de la protection de la vie privée a publié un projet de recommandation, soumis à consultation publique jusqu’au 28 février 2017, relative à l’analyse d’impact, nouvelle obligation prévue par le règlement sur la protection des données (RGPD) lorsque le traitement présente un “risque élevé pour les droits et libertés des personnes physiques”. La Commission y apporte des précisions sur les éléments essentiels que doit contenir l’analyse d’impact, tels que la description des opérations de traitement et des finalités, qui doit être claire et complète sans renvoyer à des finalités générales, ou encore le contrôle de la proportionnalité des opérations de traitement, à propos duquel la Commission recommande d’indiquer non seulement les raisons qui justifient la nécessité du traitement mais aussi la justification des moyens choisis. Enfin, la Commission fournit des explications sur les circonstances dans lesquelles l’analyse d’impact est obligatoire et sur la consultation préalable de l’autorité de contrôle.

Pour lire le projet de recommandation de la Commission belge de la protection de la vie privée