Le G 29 a publié ses lignes directrices destinées à préciser les contours de l’obligation de réaliser des analyses d’impact prévue par l’article 35 du RGPD.
Ces lignes directrices ont apporté des précisions sur les traitements concernés par cette obligation et les modalités de mise en œuvre de ces analyses d’impact.
Quand et comment effectuer un DPIA
Elles ont élaboré des critères permettant d’apprécier si « un risque élevé pour les droits et libertés des personnes » existe, et, le cas échéant, si une analyse d’impact doit être menée.
Elles ont aussi précisé les cas dans lesquels une analyse d’impact ne sera pas nécessaire.
S’agissant des traitements mis en œuvre avant le 25 mai 2018, elles ont indiqué qu’ils n’étaient pas concernés par l’obligation de réaliser une analyse d’impact, même si il est fortement recommandé de le faire.
Elles ont aussi apporté des précisions sur le moment auquel il faut mener l’analyse d’impact, les personnes qui doivent s’en charger et la méthode à suivre pour mener à bien cette analyse.