Une AIPD est-elle obligatoire pour ma PME ?

Probablement pas pour vos traitements standards (gestion clients, administration du personnel, comptabilite). Une AIPD devient obligatoire pour les traitements a haut risque, comme le profilage a grande echelle, la surveillance systematique ou le traitement a grande echelle de categories speciales de donnees.

Que se passe-t-il si je ne realise pas d'AIPD alors que c'est obligatoire ?

L'autorite de controle peut imposer une amende. En pratique, c'est aussi un risque pour votre organisation : sans AIPD, vous n'avez pas cartographie les risques et prenez peut-etre des mesures insuffisantes.

Puis-je realiser moi-meme une AIPD ?

Oui, le RGPD ne prescrit pas de format specifique. Vous pouvez realiser une AIPD vous-meme avec un modele. Pour les traitements complexes, il est toutefois judicieux de demander conseil a un specialiste de la vie privee.

Combien de temps prend une AIPD ?

Cela depend de la complexite du traitement. Une AIPD simple pour un seul traitement peut etre realisee en quelques heures. Pour des systemes complexes, cela peut prendre des semaines.

AIPD Analyse d'Impact - Quand est-elle Obligatoire ?

Une AIPD (Analyse d'Impact relative a la Protection des Donnees) n'est obligatoire que pour les traitements a haut risque. Cet article explique quand vous en avez besoin, quand non, et comment la realiser.

Qu’est-ce qu’une AIPD ?

Une AIPD (Analyse d’Impact relative a la Protection des Donnees), en anglais “Data Protection Impact Assessment” (DPIA), est une evaluation des risques qu’un traitement de donnees personnelles fait peser sur les personnes concernees. Le RGPD l’exige a l’article 35 pour les traitements presentant un risque eleve pour les droits et libertes des personnes physiques.

En termes simples : vous evaluez a l’avance si un traitement peut causer des problemes pour les personnes dont vous traitez les donnees, et ce que vous faites pour limiter ces risques.

Quand une AIPD est-elle obligatoire ?

Le RGPD cite trois situations ou une AIPD est toujours requise :

1. Profilage systematique et approfondi avec des effets significatifs Par exemple : une banque qui decide automatiquement des demandes de credit sur la base de donnees de profil, ou un assureur qui calcule des primes sur la base d’une analyse comportementale approfondie.

2. Traitement a grande echelle de categories speciales de donnees Les categories speciales comprennent les donnees de sante, les donnees biometriques, les donnees sur la race ou la religion, et les donnees relatives aux condamnations penales. Un hopital gerant des dossiers de patients en releve. Une PME qui sait fortuitement qu’un employe est diabetique, non.

3. Surveillance systematique a grande echelle d’espaces accessibles au public L’exemple classique est un systeme de videosurveillance etendu dans un centre commercial ou un centre-ville.

De plus, les autorites de controle publient des listes de traitements pour lesquels une AIPD est obligatoire. Celles-ci incluent generalement :

Utilisation de donnees biometriques pour l’identification
Fusion de bases de donnees de differentes sources
Surveillance systematique des employes
Traitement a grande echelle de donnees de personnes vulnerables (enfants, personnes agees, patients)

Quand n’avez-vous PAS besoin d’une AIPD ?

La plupart des PME effectuent des traitements standards qui ne presentent pas de risque eleve. Quelques exemples :

Gestion de clients dans un CRM - vous stockez des coordonnees et un historique de commandes. Pas de categories speciales, pas de profilage. Pas d’AIPD necessaire.
Administration du personnel - nom, adresse, donnees salariales, contrats. Traitement standard. Pas d’AIPD necessaire.
Envoi de newsletters - adresses e-mail avec consentement. Pas d’AIPD necessaire.
Comptabilite et facturation - donnees de facturation de clients et fournisseurs. Pas d’AIPD necessaire.
Quelques cameras de securite dans vos locaux, tant que ce n’est pas a grande echelle et systematique. Generalement pas d’AIPD necessaire (mais pour des installations plus importantes, consultez notre guide sur la videosurveillance).

La regle de base : si vous traitez des donnees d’une maniere comparable a ce que font des milliers d’autres PME, il est peu probable que vous ayez besoin d’une AIPD.

Comment realiser une AIPD ?

Si vous devez realiser une AIPD, suivez ces etapes :

Etape 1 : Decrire le traitement

Documentez :

Quelles donnees personnelles vous traitez
La finalite
La base juridique (par ex. interet legitime, consentement)
Qui a acces
La duree de conservation des donnees
La technologie utilisee

Etape 2 : Evaluer la necessite et la proportionnalite

Posez-vous ces questions :

Ce traitement est-il vraiment necessaire pour la finalite ?
Puis-je atteindre la finalite avec moins de donnees ou une methode moins intrusive ?
La duree de conservation n’est-elle pas plus longue que necessaire ?

Etape 3 : Identifier les risques

Examinez les risques du point de vue de la personne concernee, pas de votre organisation. Considerez :

Que se passe-t-il si les donnees fuitent ? Quelle est la gravite pour la personne concernee ?
Que se passe-t-il si les donnees sont inexactes ? Quelles en sont les consequences ?
Les personnes concernees ont-elles un controle suffisant sur leurs donnees ?

Etape 4 : Determiner les mesures

Pour chaque risque, determinez les mesures a prendre pour le limiter :

Mesures techniques (chiffrement, controle d’acces, pseudonymisation)
Mesures organisationnelles (formations, procedures, contrats)
Limitations du traitement lui-meme (moins de donnees, duree de conservation plus courte)

Etape 5 : Documenter et maintenir

Consignez tout dans un document. Une AIPD n’est pas un exercice ponctuel ; vous devez la mettre a jour lorsque le traitement change, lorsque de nouveaux risques apparaissent ou lorsque la technologie evolue.

Conseils pratiques pour les PME

Consultez la liste de l’autorite de controle - verifiez si vos traitements figurent sur la liste obligatoire
Commencez par votre registre des traitements - s’il est en ordre, vous pouvez rapidement identifier les traitements qui pourraient necessiter une AIPD
Utilisez un modele - pas besoin de reinventer la roue. Les autorites de controle fournissent des modeles
Demandez conseil en cas de doute - si vous n’etes pas sur d’avoir besoin d’une AIPD, mieux vaut en realiser une que de l’ignorer

auto_awesome Savez-vous si vous avez besoin d'une AIPD ?

GDPRWise analyse vos activites de traitement et vous donne une reponse claire : AIPD necessaire ou non. Et si c'est le cas, nous vous aidons a demarrer.

Lancer votre scan gratuit