Analyses d’impact relatives à la protection des données (DPIA)

Moyens offerts par Microsoft pour aider les responsables du traitement à conduire les Analyses d’impact relatives à la protection des données prévues par le RGPD.

Documentation de support sur les Analyses d’impact relatives à la protection des données

Office 365

Dynamics 365

Services professionnels Microsoft


Forum aux questions sur les Analyses d’impact relatives à la protection des données

Vous trouverez ci-dessous des questions et réponses importantes sur les exigences du RGPD.

|

En vertu du RGPD, en tant que responsable du traitement, vous êtes tenu de conduire des DPIA avant tout traitement de données susceptible de porter atteinte aux droits et libertés des personnes, en particulier si le traitement repose sur l’utilisation de nouvelles technologies. Le RGPD fournit une liste non exhaustive des cas dans lesquels des DPIA doivent être conduites :

  • Traitement automatisé à des fins de profilage et d’activités similaires ayant des conséquences juridiques ou affectant de manière similaire et significative les personnes concernées.
  • Traitement à grande échelle de catégories particulières de données à caractère personnel (données révélant l’origine raciale ou ethnique, les opinions politiques, etc.) ou de données relatives à des condamnations pénales et à des infractions.
  • Surveillance systématique et à grande échelle d’une zone accessible au public.

Le RGPD exige également que vous consultiez votre autorité chargée de la protection des données (DPA) avant tout traitement si vous n’êtes pas en mesure d’identifier les mesures d’atténuation nécessaires à la réduction des risques qui pèsent sur les personnes concernées.

Microsoft pratique la « protection des données dès la conception » et la « protection des données par défaut » aussi bien dans ses fonctions d’ingénierie que dans ses fonctions commerciales. Dans le cadre de ces efforts, Microsoft procède à des vérifications approfondies des opérations de traitement de données susceptibles de porter atteinte aux droits et libertés des personnes concernées. Les équipes chargées de la protection de la vie privée intégrées aux groupes qui fournissent les services examinent la conception et la mise en œuvre des services afin de veiller à ce que les données à caractère personnel soient traitées d’une manière respectueuse et conforme au droit international, aux attentes des utilisateurs et à nos engagements explicites. Ces vérifications ont tendance à être très détaillées : un service donné peut faire l’objet de dizaines, voire de centaines de vérifications. Microsoft intègre ces vérifications détaillées aux Analyses d’impact relatives à la protection des données (DPIA) couvrant les principaux groupes de traitements, et celles-ci sont ensuite examinées par le délégué à la protection des données (DPO) de Microsoft. Le DPO évalue les risques liés au traitement des données pour s’assurer que les mesures d’atténuation nécessaires sont en place. Si le DPO relève des risques non atténués, il recommande des modifications au groupe d’ingénierie. Les DPIA sont examinées et mises à jour à mesure que les risques liés à la protection des données évoluent.

En tant que sous-traitant, Microsoft a le devoir d’aider les responsables du traitement à se conformer aux exigences énoncées dans le RGPD en matière de DPIA.

 

Pour aider nos clients, les sections pertinentes des DPIA de Microsoft sont résumées et seront fournies par le biais de cette section dans de futures mises à jour afin de permettre aux responsables du traitement qui ont recours aux services Microsoft d’utiliser ces résumés pour créer leurs propres DPIA.