Diagnostic AIPD
Chaque fiche de traitement comporte un onglet AIPD permettant d’évaluer si une analyse d’impact relative à la protection des données (AIPD) est nécessaire.
Le diagnostic repose sur l’arbre de décision de la CNIL et s’effectue en 3 étapes :
- Vérifier si le traitement figure sur la liste des traitements dispensés d’AIPD ;
- Vérifier s’il figure sur la liste des traitements soumis à AIPD ;
- Vérifier si le traitement remplit au moins 2 critères de risque nécessitant une AIPD.
Selon les réponses apportées, Provacy affiche automatiquement un diagnostic :
- Indisponible lorsque les réponses sont incomplètes
- AIPD requise
- Dispense d’AIPD
Ce diagnostic constitue une aide à l’évaluation. Comme indiqué dans le formulaire :
« Ce diagnostic est basé sur les informations renseignées et ne constitue pas une obligation automatique. »
Une analyse complémentaire peut donc rester nécessaire. Par exemple :
- une AIPD a déjà été réalisée pour un traitement similaire ou mutualisé ;
- le traitement est particulièrement innovant ou sensible et présente des risques élevés pour les personnes concernées, même si aucun cas comparable n’a encore été formellement identifié par une autorité de contrôle.
Le champ de commentaire situé sous le diagnostic permet de documenter et justifier la décision finale retenue.
