Article 35

Analyse d’impact relative √† la protection des donn√©es

  • Lorsqu’un type de traitement, en particulier par le recours √† de nouvelles technologies, et compte tenu de la nature, de la port√©e, du contexte et des finalit√©s du traitement, est susceptible d’engendrer un risque √©lev√© pour les droits et libert√©s des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des op√©rations de traitement envisag√©es sur la protection des donn√©es √† caract√®re personnel. Une seule et m√™me analyse peut porter sur un ensemble d’op√©rations de traitement similaires qui pr√©sentent des risques √©lev√©s similaires.
  • Lorsqu’il effectue une analyse d’impact relative √† la protection des donn√©es, le responsable du traitement demande conseil au d√©l√©gu√© √† la protection des donn√©es, si un tel d√©l√©gu√© a √©t√© d√©sign√©.
  • L’analyse d’impact relative √† la protection des donn√©es vis√©e au paragraphe¬†1 est, en particulier, requise dans les cas suivants:
    • a) l’√©valuation syst√©matique et approfondie d’aspects personnels concernant des personnes physiques, qui est fond√©e sur un traitement automatis√©, y compris le profilage, et sur la base de laquelle sont prises des d√©cisions produisant des effets juridiques √† l’√©gard d’une personne physique ou l’affectant de mani√®re significative de fa√ßon similaire;
    • b) le traitement √† grande √©chelle de cat√©gories particuli√®res de donn√©es vis√©es √† l’article¬†9, paragraphe¬†1, ou de donn√©es √† caract√®re personnel relatives √† des condamnations p√©nales et √† des infractions vis√©es √† l’article¬†10; ou
    • c) la surveillance syst√©matique √† grande √©chelle d’une zone accessible au public.
  • L’autorit√© de contr√īle √©tablit et publie une liste des types d’op√©rations de traitement pour lesquelles une analyse d’impact relative √† la protection des donn√©es est requise conform√©ment au paragraphe¬†1. L’autorit√© de contr√īle communique ces listes au comit√© vis√© √† l’article¬†68.
  • L’autorit√© de contr√īle peut aussi √©tablir et publier une liste des types d’op√©rations de traitement pour lesquelles aucune analyse d’impact relative √† la protection des donn√©es n’est requise. L’autorit√© de contr√īle communique cette liste au comit√©.
  • Avant d’adopter les listes vis√©es aux paragraphes¬†4 et 5, l’autorit√© de contr√īle comp√©tente applique le m√©canisme de contr√īle de la coh√©rence vis√© √† l’article¬†63, lorsque ces listes comprennent des activit√©s de traitement li√©es √† l’offre de biens ou de services √† des personnes concern√©es ou au suivi de leur comportement dans plusieurs √Čtats membres, ou peuvent affecter sensiblement la libre circulation des donn√©es √† caract√®re personnel au sein de l’Union.
  • L’analyse contient au moins:
    • a) une description syst√©matique des op√©rations de traitement envisag√©es et des finalit√©s du traitement, y compris, le cas √©ch√©ant, l’int√©r√™t l√©gitime poursuivi par le responsable du traitement;
    • b) une √©valuation de la n√©cessit√© et de la proportionnalit√© des op√©rations de traitement au regard des finalit√©s;
    • c) une √©valuation des risques pour les droits et libert√©s des personnes concern√©es conform√©ment au paragraphe¬†1; et
    • d) les mesures envisag√©es pour faire face aux risques, y compris les garanties, mesures et m√©canismes de s√©curit√© visant √† assurer la protection des donn√©es √† caract√®re personnel et √† apporter la preuve du respect du pr√©sent r√®glement, compte tenu des droits et des int√©r√™ts l√©gitimes des personnes concern√©es et des autres personnes affect√©es.
  • Le respect, par les responsables du traitement ou sous-traitants concern√©s, de codes de conduite approuv√©s vis√©s √† l’article¬†40 est d√Ľment pris en compte lors de l’√©valuation de l’impact des op√©rations de traitement effectu√©es par lesdits responsables du traitement ou sous-traitants, en particulier aux fins d’une analyse d’impact relative √† la protection des donn√©es.
  • Le cas √©ch√©ant, le responsable du traitement demande l’avis des personnes concern√©es ou de leurs repr√©sentants au sujet du traitement pr√©vu, sans pr√©judice de la protection des int√©r√™ts g√©n√©raux ou commerciaux ou de la s√©curit√© des op√©rations de traitement.
  • Lorsque le traitement effectu√© en application de l’article¬†6, paragraphe¬†1, point¬†c) ou e), a une base juridique dans le droit de l’Union ou dans le droit de l’√Čtat membre auquel le responsable du traitement est soumis, que ce droit r√®glemente l’op√©ration de traitement sp√©cifique ou l’ensemble des op√©rations de traitement en question et qu’une analyse d’impact relative √† la protection des donn√©es a d√©j√† √©t√© effectu√©e dans le cadre d’une analyse d’impact g√©n√©rale r√©alis√©e dans le cadre de l’adoption de la base juridique en question, les paragraphes¬†1 √† 7 ne s’appliquent pas, √† moins que les √Čtats membres n’estiment qu’il est n√©cessaire d’effectuer une telle analyse avant les activit√©s de traitement.
  • Si n√©cessaire, le responsable du traitement proc√®de √† un examen afin d’√©valuer si le traitement est effectu√© conform√©ment √† l’analyse d’impact relative √† la protection des donn√©es, au moins quand il se produit une modification du risque pr√©sent√© par les op√©rations de traitement.