Le processus d’AIPD vise à garantir que les responsables du traitement gèrent de manière adéquate les risques que posent les opérations de traitement «à risque» pour la protection des données et de la vie privée. En proposant une réflexion structurée sur les risques pour les personnes concernées et sur la manière de les atténuer, l’AIPD aide les organisations à se conformer à l’exigence de la «protection des données dès la conception» dans les cas où elle est le plus nécessaire, c’est-à-dire pour les opérations de traitement «à risques».
Une AIPD est notamment requise pour:
- l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, fondée sur un traitement automatisé, y compris le profilage, et produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;
- le traitement à grande échelle de catégories particulières de données visées à l’article 10, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 11; ou
- la surveillance systématique à grande échelle d’une zone accessible au public.
Le Contrôleur européen de la protection des données a établi un modèle permettant aux responsables du traitement d’évaluer s’ils doivent effectuer une AIPD [annexe 6 de la partie I de la série d’outils «responsabilité» (accountability toolkit)]. En outre, le CEDP a dressé une liste ouverte des opérations de traitement soumises à l’exigence d’une AIDP. Voici la liste des opérations de traitement habituelles qui nécessiteront une AIPD, dans un souci de gain de temps pour les responsables du traitement:
(a) l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;
(b) le traitement à grande échelle de catégories particulières de données visées à l’article 10, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 11; ou
(c) la surveillance systématique à grande échelle d’une zone accessible au public.
L’évaluation comporte au moins:
- une description systématique des opérations de traitement envisagées et des finalités du traitement;
- une évaluation de la nécessité et de la proportionnalité des opérations de traitement par rapport aux finalités;
- une évaluation des risques pour les droits et libertés des personnes concernées visés à l’article 39, paragraphe 1, du règlement 2018/1725; et
- les mesures envisagées pour faire face aux risques, y compris les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.
Si nécessaire, le responsable du traitement procède à un examen afin d’évaluer si le traitement est effectué conformément à l’analyse d’impact relative à la protection des données, au moins en cas de modification du risque présenté par les opérations de traitement.
Si, à la suite de l’AIPD, les responsables du traitement ne sont pas sûrs que les risques soient atténués de manière appropriée, ils devront procéder à une consultation préalable conformément à l’article 40.