Inter'MedOffice | Document Unique cabinet d'etudes - conseils & services aux entreprises
Inter'MedOffice | Document Unique

PIA / DPO, Qui est concerné ?

Certaines données ou certains types de traitements demandent une vigilance toute particulière. Il s’agit des données dites « sensibles ». 

Que sont les données sensibles au sens de la loi ?

  • Donnée indiquant une origine « prétendument » raciale ou ethnique.
  • Donnée révélant des opinions politiques, philosophiques ou religieuses.
  • Donnée relative à l’appartenance syndicale.
  • Donnée concernant la santé ou l’orientation sexuelle.
  • Donnée génétique ou biométrique.
  • Donnée informant des condamnations pénales ou infractions.
Lady justice 2388500 1920

Transfert des données hors Union Européenne

  • Vérifier si le pays destinataire dispose d’une législation de protection des données.
  • Si oui, vérifier si cette législation est reconnue par la Commission Européenne.
  • Si non, mettre en place un encadrement spécifique de protection des transferts des données.

Note : Si l’entreprise se trouve dans cette situation, il est conseillé d’approfondir la réglementation du RGPD et de la Loi Informatique et Libertés en vue de d’établir les mesures appropriées

Quand faire une étude d’impact (PIA) ? Privacy Impact Assesment

  • L’évaluation d’aspects personnels ou notation d’une personne (exemple : scoring financier).
  • Une prise de décision automatisée.
  • La surveillance systématique de personnes (exemple : télésurveillance).
  • Le traitement de données sensibles (exemple : santé, biométrie, etc.).
  • Le traitement de données concernant des personnes vulnérables (exemple : mineurs).
  • Le traitement à grande échelle de données personnelles.
  • Le croisement d’ensembles de données.
  • Des usages innovants ou l’application de nouvelles technologies (exemple : objet connecté). 
  • L’exclusion du bénéfice d’un droit, d’un service ou contrat (exemple : « black liste »)

Si les traitements de données répondent à 2 de ces 9 critères, l’entreprise doit réaliser une étude d’impact sur la protection des données avant de lancer les opérations de traitement. 

Note : Cette analyse vient donc en complément de l’édition du registre et de la description du traitement et aura pour effet de détecter les risques associés à ces données personnelles.

Quand nommer un DPO *Délégué à la protection des données

Selon le type de données personnelles à traiter, certaines entreprises opérant des traitements à grande échelle et présentant des risques particuliers et renforcés, devront désigner un délégué à la protection des données.

La nomination d’un délégué (DPO) est recommandée si l’activité de l’entreprise lui impose de mener une analyse approfondie du RGPD.

Le délégué peut être nommé en interne (salarié) ou en externe. 

Si l’entreprise est éventuellement concernée par des risques spécifiques au regard de la protection des données, il est préférable de s’adresser directement auprès de la CNIL.

Note : les sous-traitants ont une obligation d’alerte et de conseil en matière de protection des données. Il est conseillé de les contacter