Retour aux articles

Lignes directrices du G29 sur les DPIA : publication d'une infographie et d'une FAQ par la CNIL

Affaires - Immatériel
Tech&droit - Objets connectés, Données
06/11/2017
Le 18 octobre 2017, la Commission nationale de l'Informatique et des Libertés (CNIL) a publié une infographie et une foire aux questions (FAQ) en français, à l'occasion de l’adoption par le G29 des lignes directrices définitives concernant les DPIA.
L'article 35 du règlement n° 2016/679 du 27 avril 2016 ("RGDP") prévoit la conduite d'une analyse d'impact sur la protection des données (DPIA - data protection impact assessment ou analyse d'impact relative à la protection des données), lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.

Cette étude d'impact doit faire apparaître les caractéristiques du traitement, les risques et les mesures adoptées. Afin d'expliquer l'article 35 et en proposer une interprétation commune, les autorités de protection des données européennes (le G29) ont adopté des lignes directrices sur les DPIA et les traitements susceptibles d'engendrer des risques élevés (document en anglais), dont la version définitive a été publiée le 4 octobre 2017.

Par ailleurs, à cette occasion, la CNIL publie une infographie qui en explique les grands principes et une foire aux questions en français sur le sujet. Elle prépare également des outils pour aider les professionnels à définir dans quels cas une analyse d'impact est obligatoire et les accompagner dans sa réalisation. De nouveaux "guides PIA" et un logiciel libre seront prochainement disponibles.

La CNIL prévoit aussi de publier un cadre pour mener des DPIA sur des objets connectés et une étude de cas d'ici la fin d'année. Enfin, pour compléter ces outils, les prochains travaux porteront sur la création de deux listes :
– les traitements qui requièrent de mener un DPIA ;
– les traitements qui n'ont pas besoin de faire l'objet d'un DPIA.

Par Vincent Téchené
Source : Actualités du droit