Vers une méthode pour l’analyse d’impact relative à la protection des données : Comprendre et interpréter les obligations du RGPD

La présente note de politique pose les fondements d’une méthode pour la réalisation d’un processus d’analyse d’impact relative à la protection des données (AIPD) dans l’Union européenne (UE). Premièrement, elle propose, comme condition préalable, une méthode générique qui – après avoir été adaptée au contexte particulier – est destinée à être utilisée dans plusieurs domaines de pratique, tels que l’environnement, le développement technologique ou la réglementation (Section 2). Ensuite, en partant de cette méthode générique et en interprétant les obligations du Règlement Général sur la Protection des Données (RGPD), elle jette les bases d’une méthode spécifique pour effectuer des processus d’AIPD dans l’UE, laquelle devrait également être adaptée au contexte (Section 3). La présente note de politique vise plus particulièrement à préciser deux aspects fondamentaux de cette méthode spécifique, qui jusqu’à présent se sont avérés être les plus contentieux. Il s’agit d’une part des techniques d’évaluation (plus spécifiquement, l’évaluation de la nécessité et de la proportionnalité, et l’évaluation des risques), et d’autre part de l’implication des parties prenantes (y compris la participation publique) dans le processus de la prise de décision. La section 4 offre un résumé des conclusions et préconise davantage d’orientations, de précisions et d’adaptations. La présente note de politique s’adresse principalement aux décideurs politiques qui développent les méthodes d’analyse d’impact, aux praticiens qui adaptent ces méthodes au contexte dans lesquelles celles-ci sont utilisées et aux experts qui mettent en œuvre le processus d’analyse conformément à ces méthodes.