Art. 35
1. Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel.Une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires.
2. Lorsqu'il effectue une analyse d'impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné.
3. L'analyse d'impact relative à la protection des données visée au paragraphe 1 est, en particulier, requise dans les cas suivants:
a) l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire;
b) le traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10; ou
c) la surveillance systématique à grande échelle d'une zone accessible au public.
4. L'autorité de contrôle établit et publie une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise conformément au paragraphe 1. L'autorité de contrôle communique ces listes au comité visé à l'article 68.
5. L'autorité de contrôle peut aussi établir et publier une liste des types d'opérations de traitement pour lesquelles aucune analyse d'impact relative à la protection des données n'est requise. L'autorité de contrôle communique cette liste au comité
6. Avant d'adopter les listes visées aux paragraphes 4 et 5, l'autorité de contrôle compétente applique le mécanisme de contrôle de la cohérence visé à l'article 63, lorsque ces listes comprennent des activités de traitement liées à l'offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs États membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l'Union.
7. L'analyse contient au moins:
a) une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement;
b) une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;
c) une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1; et
d) les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées
8. Le respect, par les responsables du traitement ou sous-traitants concernés, de codes de conduite approuvés visés à l'article 40 est dûment pris en compte lors de l'évaluation de l'impact des opérations de traitement effectuées par lesdits responsables du traitement ou sous-traitants, en particulier aux fins d'une analyse d'impact relative à la protection des données.
9. Le cas échéant, le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement.
10. Lorsque le traitement effectué en application de l'article 6, paragraphe 1, point c) ou e), a une base juridique dans le droit de l'Union ou dans le droit de l'État membre auquel le responsable du traitement est soumis, que ce droit règlemente l'opération de traitement spécifique ou l'ensemble des opérations de traitement en question et qu'une analyse d'impact relative à la protection des données a déjà été effectuée dans le cadre d'une analyse d'impact générale réalisée dans le cadre de l'adoption de la base juridique en question, les paragraphes 1 à 7 ne s'appliquent pas, à moins que les États membres n'estiment qu'il est nécessaire d'effectuer une telle analyse avant les activités de traitement.
11. Si nécessaire, le responsable du traitement procède à un examen afin d'évaluer si le traitement est effectué conformément à l'analyse d'impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement.
|
1. Lorsque les traitements présentent des risques particuliers au regard des droits et libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités, le responsable du traitement ou le sous-traitant agissant pour le compte du responsable du traitement effectuent une analyse de l'impact des traitements envisagés sur la protection des données à caractère personnel.
2. Les traitements présentant les risques particuliers visés au paragraphe 1 sont notamment les suivants:
a) l'évaluation systématique et à grande échelle des aspects personnels propres à une personne physique ou visant à analyser ou à prévoir, en particulier, la situation économique de ladite personne physique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement, qui est fondée sur un traitement automatisé et sur la base de laquelle sont prises des mesures produisant des effets juridiques concernant ou affectant de manière significative ladite personne;
b) le traitement d'informations relatives à la vie sexuelle, à la santé, à l'origine raciale et ethnique ou destinées à la fourniture de soins de santé, à des recherches épidémiologiques ou à des études relatives à des maladies mentales ou infectieuses, lorsque les données sont traitées aux fins de l'adoption de mesures ou de décisions à grande échelle visant des personnes précises;
c) la surveillance de zones accessibles au public, en particulier lorsque des dispositifs opto-électroniques (vidéosurveillance) sont utilisés à grande échelle;
d) le traitement de données à caractère personnel dans des fichiers informatisés de grande ampleur concernant des enfants, ou le traitement de données génétiques ou biométriques;
e) les autres traitements pour lesquels la consultation de l'autorité de contrôle est requise en application à l'article 34, paragraphe 2, point b).
3. L'analyse contient au moins une description générale des traitements envisagés, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face aux risques, les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec le présent règlement, en tenant compte des droits et intérêts légitimes des personnes concernées par les données et des autres personnes touchées. 4. Le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ni de la sécurité des traitements.
5. Lorsque le responsable du traitement est une autorité ou un organisme publics, et lorsque le traitement est effectué en exécution d'une obligation légale conforme à l'article 6, paragraphe 1, point c), prévoyant des règles et des procédures relatives aux traitements et réglementées par le droit de l'Union, les paragraphes 1 à 4 ne s'appliquent pas, sauf si les États membres estiment qu'une telle analyse est nécessaire avant le traitement.
6. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et conditions applicables aux traitements susceptibles de présenter les risques particuliers visés aux paragraphes 1 et 2, ainsi que les exigences applicables à l’analyse prévue au paragraphe 3, y compris les conditions de modularité, de vérification et d'auditabilité. Ce faisant, la Commission envisage des mesures spécifiques pour les micro, petites et moyennes entreprises.
7. La Commission peut définir des normes et procédures pour la réalisation, la vérification et l’audit de l'analyse visée au paragraphe 3. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.
|
1. Lorsqu'un type de traitement, en particulier par le recours aux nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'exposer les personnes physiques à un risque élevé au regard de leurs droits et libertés, par exemple une discrimination, un vol ou une usurpation d'identité, une perte financière, une atteinte à la réputation, un renversement non autorisé de la pseudonymisation, une perte de confidentialité de données protégées par le secret professionnel ou tout autre dommage économique ou social important, le responsable du traitement (…) effectue avant le traitement une analyse de l'impact des traitements envisagés sur la protection des données à caractère personnel. (…)
1 bis. Lorsqu'il effectue une analyse d'impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné.
2. L'analyse d'impact relative à la protection des données visée au paragraphe 1 est en particulier requise dans les cas suivants:
a) l'évaluation systématique et à grande échelle (…) des aspects personnels propres à (…) des personnes physiques (…), qui est fondée sur le profilage et sur la base de laquelle sont prises des décisions produisant des effets juridiques concernant des personnes concernées ou affectant gravement lesdites personnes;
b) le traitement des catégories particulières de données à caractère personnel visées à l'article 9, paragraphe 1 (...), de données biométriques ou de données se rapportant à des condamnations ou des infractions pénales, ou encore à des mesures de sûreté connexes, lorsque les données sont traitées aux fins de l'adoption de (…) décisions à grande échelle visant certaines personnes;
c) la surveillance à grande échelle de zones accessibles au public, en particulier lorsque des dispositifs opto-électroniques (…) sont utilisés;
d) (…);
e) (…).
2 bis. L'autorité de contrôle établit et publie une liste des types de traitements soumis à l'obligation d'une analyse d'impact relative à la protection des données conformément au paragraphe 1. L'autorité de contrôle communique cette liste au comité européen de la protection des données.
2 ter. L'autorité de contrôle peut aussi établir et publier une liste des types de traitements pour lesquels aucune analyse d'impact relative à la protection des données n'est requise. L'autorité de contrôle communique cette liste au comité européen de la protection des données.
2 quater. Avant d'adopter les listes visées respectivement aux paragraphes 2 bis et 2 ter, l'autorité de contrôle compétente applique le mécanisme de contrôle de la cohérence prévu à l'article 57, lorsque ces listes comprennent des traitements liés à l'offre de biens ou de services à des personnes concernées ou à l'observation de leur comportement dans plusieurs États membres, ou susceptibles d'affecter sensiblement la libre circulation des données à caractère personnel au sein de l'Union.
3. L'analyse contient au moins une description générale des traitements envisagés, une évaluation du risque visé au paragraphe 1, les mesures envisagées pour faire face au risque y compris les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec le présent règlement, en tenant compte des droits et des intérêts légitimes des personnes concernées et des autres personnes touchées
3 bis. Le respect, par les responsables du traitement ou sous-traitants compétents, des codes de conduite approuvés visés à l'article 38 est dûment pris en compte lors de l'évaluation de la légalité et de l'impact des opérations de traitement effectuées par lesdits responsables ou sous-traitants, en particulier aux fins d'une analyse d'impact relative à la protection des données.
4. Le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ni de la sécurité des traitements (...).
5. (...) Lorsque le traitement visé à l'article 6, paragraphe 1, point c) ou e), a une base juridique dans le droit de l'Union ou dans la législation de l'État membre à laquelle le responsable du traitement est soumis, et que cette législation régit l'opération ou l'ensemble des opérations de traitement en question, les paragraphes 1 à 3 ne s'appliquent pas, sauf si les États membres estiment qu'une telle analyse est nécessaire avant le traitement.
6. (…)
|
Aucune disposition correspondante
|
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
Art. 62
Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018
Le responsable du traitement effectue préalablement à la mise en œuvre du traitement une analyse d'impact des opérations de traitement envisagées sur la protection des données à caractère personnel dans les conditions prévues à l'article 35 du règlement (UE) 2016/679 du 27 avril 2016.
|
Aucune disposition correspondante
|