Il n’y a pas d’approche unique pour mener une AIPD, car le processus variera en fonction du contexte et des objectifs spécifiques. Cependant, certaines étapes générales peuvent être suivies :
-
Définir la portée de la PIA. Cela comprend l’identification de l’activité de collecte ou de traitement des données qui sera couverte par l’évaluation.
-
Identifiez les parties prenantes qui seront affectées par l’activité. Cela inclut les personnes dont les données seront collectées ou traitées, ainsi que tout autre groupe susceptible d’être concerné (par exemple, les entreprises, les organisations, etc.).
-
Identifier les risques associés à l’activité. Cette étape consistera à évaluer les implications potentielles de l’activité sur la vie privée et à identifier les risques qui pourraient en résulter.
-
Identifier les moyens d’atténuer les risques. Cette étape consistera à identifier et à mettre en œuvre des mesures qui peuvent aider à atténuer les risques identifiés.
-
Documenter les résultats du PIA. Cela comprend la documentation des conclusions de l’évaluation, ainsi que toutes les mesures qui ont été prises pour atténuer les risques.
Exemples d’AIPD
Le RGPD impose la réalisation d’études d’impact pour les traitements suivants :
-
Traitements de données de santé à grande échelle : Un PIA est requis pour tout traitement de données susceptible d’entraîner un risque élevé pour les droits et libertés des personnes
-
Données liées à des infractions : elle sera requise pour tout traitement de données susceptible d’entraîner un risque élevé pour les droits et libertés des personnes, tel que le traitement de données criminelles.
-
Données financières sensibles : la PIA sera requise pour tout traitement de données susceptible d’entraîner un risque élevé pour les droits et libertés des personnes, tel que le traitement de données financières.
