Analyse d'impact relative à la protection des données

Une analyse d'impact relative à la protection des données (AIPD) est un processus requis en vertu de l'article 35 du RGPD pour évaluer et atténuer les risques des activités de traitement de données proposées qui sont susceptibles d'entraîner un risque élevé pour les droits et libertés des individus. Une AIPD est obligatoire lorsque le traitement implique un profilage systématique et étendu avec des effets significatifs, un traitement à grande échelle de données sensibles, ou un suivi systématique à grande échelle de zones accessibles au public (comme la vidéosurveillance). Les autorités de contrôle peuvent également publier des listes d'opérations de traitement supplémentaires nécessitant des AIPD.

Une AIPD doit inclure une description systématique des opérations de traitement et de leurs finalités, une évaluation de la nécessité et de la proportionnalité du traitement par rapport aux finalités, une évaluation des risques pour les droits et libertés des personnes concernées, et les mesures prévues pour traiter ces risques. L'avis du DPO doit être sollicité pendant le processus d'AIPD. Si l'évaluation révèle que le traitement entraînerait un risque élevé ne pouvant être atténué, l'organisation doit consulter l'autorité de contrôle avant de procéder. Les AIPD doivent être révisées et mises à jour lorsque les opérations de traitement changent.