Bonjour à tous, c’est Manon DURAND, juriste santé au sein de l’entreprise Pharmaspecific.
On se retrouve aujourd’hui pour parler du Règlement Général sur la Protection des Données (le RGPD). Je tiens toujours à vous le rappeler, il s’agit du texte de référence en matière de protection des données à caractère personnel. Ce texte est entré en application au sein de l’Union Européenne le 25 mai 2018.
Est-il possible de mettre en œuvre une analyse d’impact sur la protection des données à postériori?
La question du jour est celle de savoir s’il est possible de mettre en œuvre une analyse d’impact sur la protection des données à postériori, c’est-à-dire une fois que le traitement a déjà commencé.
L’analyse d’impact, c’est un outil qui permet d’assurer sa conformité au RGPD. Elle s’adresse aux traitements qui pourraient engendrer des risques élevés pour les droits et libertés des personnes concernées. C’est-à-dire qu’elle vient mettre en balance les mesures de sécurité qui sont mises en œuvre par le responsable de traitement avec les droits et libertés des personnes concernées.
Quand réalise-t-on l’analyse d’impact?
Donc en pratique l’analyse d’impact se réalise comme vous le souhaitez. De plus, la CNIL met a disposition un logiciel qui s’appelle PIA. Le logiciel vous permet de réaliser votre analyse d’impact d’une manière très claire et très simple. Donc vous pouvez utiliser ce logiciel. C’est mieux pour toutes ces raisons de mettre en place l’analyse d’impact en amont de votre traitement. L’analyse vous permettra de trouver que certaines mesures de sécurité sont insuffisantes ou sont mal utilisées. Alors, vous pouvez adopter des corrections avant votre traitement.
Toutefois, le RGPD n’est pas toujours simple donc vous pouvez avoir oublié de mettre en œuvre votre analyse d’impact. Si c’est le cas rien ne vous empêche de la faire quand même pendant votre traitement. Cela vous permettra, si vous avez des corrections à effectuer sur certaines mesures de sécurité, de les identifier et de les mettre en place et, autrement, si vous identifiez une violation des données, vous pourrez tout de même la notifier a la CNIL pour être vraiment en conformité avec le RGPD.
En conclusion, l’analyse d’impact est préférablement mise en place en amont du traitement mais rien ne vous empêche de la mettre en place pendant votre traitement si vous n’avez pas pu le faire avant. Reportez vous au site de la CNIL pour savoir dans quel cas vous devez mettre en place de manière obligatoire votre analyse d’impact. Et je rappelle que c’est une responsabilité qui revient au responsable de traitement avec l’aide de son sous-traitant, le cas échéant.
Voilà, c’est fini pour cette vidéo j’espère qu’elle vous a plu. Si c’est le cas n’hésitez pas à vous abonner à notre chaîne et à aimer cette vidéo et vous trouverez en barre d’information les informations sur nos prestations et notamment la veille juridique mensuelle et le conseil juridique en recherche clinique. Quant à moi je vous retrouve bientôt pour une prochaine vidéo.
www.pharmaspecific-training.com
