Principe général
Le RGPD prévoit l’obligation pour les responsables de traitement de mener une analyse d’impact relative à la protection des données (AIPD) préalablement à la mise en œuvre de tout traitement de données personnelles susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
Son objectif est de démontrer que le traitement est respectueux du RGPD et que les risques associés à ce traitement ont été identifiés et sont maitrisés.
Principe appliqué au service
Une AIPD doit être menée par le service si l’objectif poursuivi par le fichier ou la base de données suppose l’utilisation :
- d’un volume important de données personnelles ;
- de données sensibles ou hautement personnelles ;
- d’informations relatives à des personnes considérées comme vulnérables, dans la mesure où l’utilisation des données intervient dans un environnement de travail.
Le service déploie les outils nécessaires à la réalisation des analyses d’impact relatives à la protection des données. Il identifie les traitements nécessitant une AIPD sur la base du registre des traitements, réalise l’AIPD et pilote les plans d’actions associés.