Mises à jour sur le site Internet de l’APD (source).
En vertu du RGPD, il est obligatoire, dans certaines circonstances, de procéder à une « AIPD » (ou « DPIA » en anglais). Une AIPD est une procédure destinée à évaluer si un traitement de données à caractère personnel comporte des risques pour les droits et libertés de la personne dont les données sont traitées et à évaluer la manière dont ces risques peuvent être maîtrisés. Cette nouvelle obligation soulève plusieurs questions pratiques.
Une AIPD n’est requise que lorsque le traitement de données, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. En outre, le nouveau règlement énumère un certain nombre de cas où une AIPD est toujours requise :
- en cas de profilage ;
- en cas de traitement à grande échelle de catégories particulières de données à caractère personnel ou de données relatives à ces condamnations pénales et à des infractions ;
- en cas de surveillance systématique à grande échelle d’une zone accessible au public.
Enfin, le RGPD offre aux contrôleurs nationaux la possibilité d’établir des listes. l’APD a établi un liste des types d’opérations de traitement pour lesquelles une AIPD est requise.
