No. 1/2017

Analyse d’impact relative à la protection des données dans l’Union européenne : une protection des personnes plus solide en complétant le nouveau cadre juridique

Dariusz Kloza, Niels van Dijk, Raphaël Gellert, István Böröcz, Alessia Tanas, Eugenio Mantovani et Paul Quinn

ISSN 2565-9936

dpialab pb2017 1 final FR p1

Le présent document émet des recommandations permettant à l’Union européenne (UE) de compléter l’obligation d’effectuer une analyse d’impact relative à la protection des données (AIPD), telle que définie dans le Règlement Général sur la Protection des Données (RGPD), dans le but d’arriver à une protection plus solide des données à caractère personnel. En avril 2016, l’UE a mis la dernière main à la partie essentielle de la réforme du cadre juridique visant la protection des données personnelles. L’Union prépare actuellement les mesures de mise en œuvre et les lignes directrices donnant pleinement effet aux nouvelles dispositions juridiques avant leur mise en application à partir de mai 2018. Parmi d’autres « nouveautés », cette réforme introduit l’obligation juridique de réaliser une AIPD. Or, cette obligation comporte quelques faiblesses. La présente note cherche à y remédier en apportant des informations supplémentaires à l’actuel processus d’élaboration de politiques, notamment en proposant de « meilleures pratiques » permettant d’arriver à un type d’analyse d’impact générique, qui pourrait être préconisé pour plusieurs domaines (section II). La section III présente une première évaluation de la manière dont ces meilleurs pratiques se rapportent à l’obligation spécifique de procéder à une analyse d’impact, c’est-à-dire, l’AIPD, déterminée par le RGPD. Ces deux sections sont précédées de quelques informations générales sur les analyses d’impact en tant que telles. La section I présente en ce sens une définition et un aperçu historique, ainsi que les avantages et inconvénients des analyses d’impact en général. Enfin, la section IV fournit des recommandations en vue de compléter l’obligation de procéder à une AIPD telle que requise par le RGPD. Ces recommandations proposent notamment : (1) d’élargir la portée de l’obligation de mener une AIPD dans le cadre du RGPD ; (2) de développer des méthodes pour réaliser une telle analyse ; (3) d’établir auprès des autorités de protection des données (APD) des « centres de références » entièrement axés sur la réalisation des AIPD. La présente note de politique s’adresse surtout aux décideurs politiques actifs au niveau de l’UE et des Etats Membres, nonobstant l’intérêt potentiel qu’il pourrait soulever auprès de leurs homologues dans d’autres parties du monde.

 

Téléchargez la note de politique ici !

 


No. 1/2017

Data protection impact assessments in the European Union: complementing the new legal framework towards a more robust protection of individuals 

Dariusz Kloza, Niels van Dijk, Raphaël Gellert, István Böröcz, Alessia Tanas, Eugenio Mantovani and Paul Quinn

ISSN 2565-9936 

Screenshot 2017 05 19 13.15.44

This paper provides recommendations for the European Union (EU) to complement the requirement for data protection impact assessment (DPIA), as set forth in the General Data Protection Regulation (GDPR), with a view of achieving a more robust protection of personal data. 

In April 2016 the EU concluded the core part of the reform of its legal framework for personal data protection. The Union is currently preparing implementing measures and guidelines to give full effect to the new legal provisions before their applicability from May 2018. This reform introduces, among other ‘novelties’, a legal requirement to conduct a DPIA. However, this requirement bears a few weak points.

In order to remedy that by informing this on-going policy-making process, the present policy brief attempts to draft a best practice for a generic type of impact assessment, i.e. recommended for different areas (section II). Section III makes an early evaluation of how this best practice relates to the specific impact assessment requirement set forth in the GDPR, i.e. DPIA. These sections are preceded by succinct background information on impact assessments as such: definition, historical overview, and their merits and drawbacks (section I). Section IV concludes this paper by offering recommendations for complementing the DPIA requirement in the GDPR: (1) to expand the scope of the DPIA requirement in the GDPR; (2) to develop methods for conducting such an assessment; (3) to establish ‘reference centres’ on DPIA at data protection authorities (DPAs). This policy brief is addressed predominantly to policy-makers at the EU- and Member State-level, notwithstanding the potential interest it might gain from their counterparts elsewhere in the world.

Download the policy brief here!

Availability

Address: 

Pleinlaan 2

1050 Elsene, Brussels

Belgium

+32 2 629 24 60

dpialab@vub.ac.be 

@dpialab

www.dpialab.org

www.dpialab.brussels

www.vub.ac.be/LSTS/dpialab

 

About us

LSTS2016 Compact Q

d.pia.lab

Brussels Laboratory for Data Protection & Privacy Impact Assessments

Research Group on Law, Science, Technology & Society (LSTS)

Faculty of Law and Criminology

Vrije Universiteit Brussel

 

 

 

Go to top