Liste de contrôle des analyses d'impact relatives à la protection des données pour fondateurs et responsables conformité

Une analyse d'impact relative à la protection des données, ou AIPD, est le processus utilisé avant un traitement de données personnelles susceptible d'engendrer un risque élevé. L'article 35 du RGPD exige de décrire le traitement, d'évaluer sa nécessité et sa proportionnalité, d'analyser les risques pour les personnes et de documenter les mesures prévues.

Pour une équipe SaaS, l'enjeu est opérationnel: repérer le risque tôt, décider avec des faits, attribuer les contrôles et garder des preuves.

1. Confirmer si une AIPD est nécessaire

Commencez par un screening court. Vérifiez si le projet introduit des données sensibles, des données d'employés ou de mineurs, du profilage, des scores, des décisions automatisées, une surveillance systématique, une combinaison de jeux de données, un nouveau fournisseur, une nouvelle région ou un changement de conservation ou d'accès. Si le risque élevé n'apparaît pas, documentez la décision. Sinon, ouvrez l'AIPD avant le traitement.

2. Nommer le responsable

Une AIPD peut impliquer produit, engineering, sécurité, juridique, privacy et vendor management, mais elle doit avoir un propriétaire unique. Notez qui pilote, qui fournit les informations techniques, qui valide les aspects privacy et qui peut approuver ou bloquer le lancement.

3. Décrire le traitement

Documentez le nom du projet, la finalité, les catégories de données, les personnes concernées, les systèmes, fournisseurs, intégrations, rôles ayant accès, règles de conservation, transferts, informations utilisateur et date de revue. Évitez les formules vagues comme "analytics" ou "fonction IA".

4. Tester nécessité et proportionnalité

Avant de choisir des contrôles, demandez si l'objectif peut être atteint avec moins de données, une conservation plus courte, de l'agrégation, de la pseudonymisation, moins de rôles, des paramètres par défaut plus sûrs ou des instructions fournisseur plus strictes. Ce travail rejoint la protection des données dès la conception et par défaut.

5. Évaluer le risque pour la personne

L'AIPD ne porte pas seulement sur le risque pour l'entreprise. Elle doit considérer les conséquences pour les personnes: information sensible révélée, traitement injuste, score inexact, surveillance inattendue, accès trop large, perte de contrôle ou difficulté à exercer ses droits.

6. Choisir des contrôles vérifiables

Un contrôle doit être concret. Utilisez par exemple minimisation, accès par rôle, chiffrement, journalisation, limites contractuelles fournisseur, suppression planifiée, revue humaine des sorties automatisées, mise à jour de la notice et blocage du lancement tant que les risques critiques restent ouverts.

7. Clore par une décision

La conclusion doit dire si le traitement peut démarrer, quelles mesures sont obligatoires avant lancement, qui accepte le risque résiduel, si une consultation préalable peut être nécessaire et quand l'AIPD sera revue.

8. Conserver les preuves

Joignez screening, diagramme de flux, revue fournisseur, configuration d'accès, règle de suppression, notice de confidentialité, revue sécurité, décision produit, registre de risques et approbation.

FAQ

Quel est l'objectif pratique?

Identifier les traitements à haut risque avant leur démarrage, réduire les risques pour les personnes et conserver une décision défendable.

Quand cela concerne-t-il une équipe SaaS?

Lorsqu'il existe données sensibles, profilage, évaluation automatisée, surveillance systématique, IA, traitement à grande échelle ou combinaison inattendue de données.

À faire maintenant

• Ajoutez des déclencheurs AIPD dans la planification produit, l'intake fournisseur, la revue sécurité et la préparation au lancement.
• Définissez un responsable, un champ de décision et une liste de preuves.
• Revoyez le prochain changement de données à risque avant que le lancement soit figé.