Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (DPIA) pour une association sous le nouveau RGPD

L’article 35 du nouveau règlement sur la protection des données qui entrera en vigueur en mai 2018 (RGPD) dispose que lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement doit effectuer une analyse de l’impact sur la protection des données à caractère personnel (DPIA). Que faut-il savoir de cette analyse?

Quand est-ce qu’une association doit mener une analyse d’impact ?

Tous les traitements ne nécessitent cependant pas la mise en œuvre d’une analyse d’impact. En effet, selon l’article 35, une analyse d’impact doit être mené (uniquement) quand le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Pour plus d’information, lisez l’article suivant: Mon association doit-elle faire une analyse d’impact relative à la protection des données pour le RGPD?

Quels sont les modèles utiles pour formaliser l’étude de l’impact sur la protection des données?

La CNIL a publié de nombreux guides sur le DPIA et sur les modèles à mettre en place pour s’assurer de la conformité au RGPD. Vous pouvez trouver tous les modèles cnil-pia-2-fr-modeles sous format word, ce qui est plus facile à utiliser et remplir. Sinon la CNIL dispose de toutes les information nécessaires sur son site web.

Par exemple sur la description du traitement:

Description du traitement
Finalités du traitement
Enjeux du traitement
Responsable du traitement
Sous-traitant(s)

Description des données, destinataires et durées de conservation

Données Destinataires Durées de conservation
     
     
   

Sur la détermination et description des mesures pour le recueil du consentement:

 

Mesures pour le recueil du consentement

Modalités de mise en œuvre Justification des modalités ou de l’impossibilité de leur mise en œuvre
Consentement exprès à l’inscription    
Consentement segmenté par catégorie de données ou types de traitement    
Consentement exprès avant le partage de données avec des tiers    
Consentement présenté de manière compréhensible et adapté à la personne cible (notamment pour les enfants)    
Recueil du consentement des parents pour les mineurs de moins de 13 ans    
Pour une nouvelle personne, mise en œuvre d’un nouveau recueil de consentement    
Après une longue période sans utilisation, demande à la personne concernée de réaffirmer son consentement    
Si l’utilisateur a consenti au traitement de données particulières (par ex. sa localisation), l’interface signale clairement que ce traitement a lieu (icône, voyant lumineux)    
Si l’utilisateur change de contrat, les paramètres liés à son consentement sont maintenus  

Pour plus de details, n’hésitez pas a voir notre guide gratuit sur le RGPD!

 

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s