[Brèves] Lignes directrices du G29 sur les DPIA

L'article 35 du "RGDP" (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) prévoit la conduite d'une analyse d'impact sur la protection des données (DPIA - data protection impact assessment ou analyse d'impact relative à la protection des données), lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. Cette étude d'impact doit faire apparaître les caractéristiques du traitement, les risques et les mesures adoptées. Afin d'expliquer l'article 35 et en proposer une interprétation commune, les autorités de protection des données européennes (le G29) ont adopté des lignes directrices sur les DPIA et les traitements susceptibles d'engendrer des risques élevés (document en anglais), dont la version définitive a été publiée le 4 octobre 2017. Par ailleurs, à cette occasion, la CNIL publie une infographie qui en explique les grands principes et une foire aux questions en français sur le sujet. Elle prépare également des outils pour aider les professionnels à définir dans quels cas une analyse d'impact est obligatoire et les accompagner dans sa réalisation. De nouveaux "guides PIA" et un logiciel libre seront prochainement disponibles. La CNIL prévoit aussi de publier un cadre pour mener des DPIA sur des objets connectés et une étude de cas d'ici la fin d'année. Enfin, pour compléter ces outils, les prochains travaux porteront sur la création de deux listes :
- les traitements qui requièrent de mener un DPIA ;
- les traitements qui n'ont pas besoin de faire l'objet d'un DPIA.
(source : CNIL, communiqué du 18 octobre 2017).

© Reproduction interdite, sauf autorisation écrite préalable