Publication des lignes directrices du G29 sur les DPIA

18 octobre 2017

À l’occasion de l’adoption par le G29 des lignes directrices définitives concernant les (D)PIA :, la CNIL publie une infographie et une foire aux questions en français.

L’article 35 du RGPD prévoit la conduite d’une analyse d’impact sur la protection des données (DPIA - Data Protection Impact Assessment - Analyse d’impact relative à la protection des données), lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. Cette étude d’impact doit faire apparaître les caractéristiques du traitement, les risques et les mesures adoptées.

Afin d’expliquer l’article 35 et en proposer une interprétation commune, les autorités de protection des données européennes (le G29) ont adopté des « lignes directrices sur les DPIA et les traitements susceptibles d’engendrer des risques élevés », dont la version définitive vient d'être publiée.

Une foire aux questions (FAQ) en a été extraite afin de fournir des réponses pratiques et en français sur le sujet, et une infographie en explique les grands principes.

De son côté, la CNIL prépare des outils pour aider les professionnels à définir dans quels cas une analyse d’impact est obligatoire et les accompagner dans sa réalisation.

De nouveaux "guides PIA" et un logiciel libre seront prochainement disponibles !

La CNIL prévoit également de publier un cadre pour mener des DPIA sur des objets connectés et une étude de cas d'ici la fin d'année.

Enfin, pour compléter ces outils, les prochains travaux porteront sur la création de deux listes :

  • les traitements qui requièrent de mener un DPIA ;
  • les traitements qui n'ont pas besoin de faire l'objet d'un DPIA.

Le DPIA - Vue d'ensemble des obligations et de la méthode

(cliquer pour agrandir)

infographie : le DPIA (cliquer pour agrandir)