{:fr}

Bonjour à tous, c’est Manon DURAND, juriste santé au sein de l’entreprise Pharmaspecific.

On se retrouve aujourd’hui pour parler du Règlement Général sur la Protection des Données (le RGPD). Je tiens toujours à vous le rappeler, il s’agit du texte de référence en matière de protection des données à caractère personnel. Ce texte est entré en application au sein de l’Union Européenne le 25 mai 2018.

Est-il possible de mettre en œuvre une analyse d’impact sur la protection des données à postériori?

La question du jour est celle de savoir s’il est possible de mettre en œuvre une analyse d’impact sur la protection des données à postériori, c’est-à-dire une fois que le traitement a déjà commencé.

L’analyse d’impact, c’est un outil qui permet d’assurer sa conformité au RGPD. Elle s’adresse aux traitements qui pourraient engendrer des risques élevés pour les droits et libertés des personnes concernées. C’est-à-dire qu’elle vient mettre en balance les mesures de sécurité qui sont mises en œuvre par le responsable de traitement avec les droits et libertés des personnes concernées.

Quand réalise-t-on l’analyse d’impact?

Donc en pratique l’analyse d’impact se réalise comme vous le souhaitez. De plus, la CNIL met a disposition un logiciel qui s’appelle PIA.  Le logiciel vous permet de réaliser votre analyse d’impact d’une manière très claire et très simple. Donc vous pouvez utiliser ce logiciel. C’est mieux pour toutes ces raisons de mettre en place l’analyse d’impact en amont de votre traitement. L’analyse vous permettra de  trouver que certaines mesures de sécurité sont insuffisantes ou sont mal utilisées. Alors, vous pouvez adopter des corrections avant votre traitement.

Toutefois, le RGPD n’est pas toujours simple donc vous pouvez avoir oublié de mettre en œuvre votre analyse d’impact. Si c’est le cas rien ne vous empêche de la faire quand même pendant votre traitement. Cela vous permettra, si vous avez des corrections à effectuer sur certaines mesures de sécurité, de les identifier et de les mettre en place et, autrement, si vous identifiez une violation des données, vous pourrez tout de même la notifier a la CNIL pour être vraiment en conformité avec le RGPD.

En conclusion, l’analyse d’impact est préférablement mise en place en amont du traitement mais rien ne vous empêche de la mettre en place pendant votre traitement si vous n’avez pas pu le faire avant. Reportez vous au site de la CNIL pour savoir dans quel cas vous devez mettre en place de manière obligatoire votre analyse d’impact. Et je rappelle que c’est une responsabilité qui revient au responsable de traitement avec l’aide de son sous-traitant, le cas échéant.

Voilà, c’est fini pour cette vidéo j’espère qu’elle vous a plu. Si c’est le cas n’hésitez pas à vous abonner à notre chaîne et à aimer cette vidéo et vous trouverez en barre d’information les informations sur nos prestations et notamment la veille juridique mensuelle et le conseil juridique en recherche clinique. Quant à moi je vous retrouve bientôt pour une prochaine vidéo.

www.pharmaspecific-training.com{:}{:en}

Hello everyone, this is Manon DURAND, health lawyer at Pharmaspecific. We are meeting today to talk about the General Data Protection Regulation (the GDPR) which is, I remind you, the reference text in terms of personal data protection and which came into force in the European Union on May 25, 2018.

The question of the day is whether it is possible to implement a data protection impact assessment a posteriori, i.e. once the processing has already begun. The impact assessment is a tool to ensure compliance with the GDPR and is intended for processing operations that could generate high risks for the rights and freedoms of the data subjects, i.e., it balances the security measures implemented by the data controller with the rights and freedoms of the data subjects.

So, in practice, the impact assessment can be done as you wish, but the CNIL provides a software called PIA that allows you to perform your impact assessment in a very clear and simple way. So, you can use this software and it is better for all these reasons to set up the impact assessment before your processing because it will allow you, if you find that some security measures are insufficient or are badly used, to adopt corrections before your processing.

However, the GDPR is not always straightforward so you may have forgotten to implement your impact assessment. If this is the case, there is nothing to stop you from doing it anyway during your processing. This will allow you, if you have corrections to make on certain security measures, to identify and implement them and, otherwise, if you identify a data breach, you can still notify the CNIL to be truly in compliance with the GDPR.

In conclusion, the impact assessment is preferably set up before the processing, but nothing prevents you from setting it up during your processing if you have not been able to do it before. Please refer to the CNIL website to know in which case you have to set up an impact assessment. And I remind you that this is the responsibility of the data controller with the help of his processor, if necessary.

That’s it for this video, I hope you liked it. If you did, don’t hesitate to subscribe to our channel and to like this video and you will find in the information bar information on our services and in particular the monthly legal watch and the legal advice in clinical research. As for me, I’ll see you soon for a new video.{:}