Réponse

Une AIPD est requise lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. Une AIPD est requise au minimum dans les cas suivants:

  • une évaluation systématique et approfondie des aspects personnels concernant une personne, y compris le profilage;
  • le traitement à grande échelle de données sensibles;
  • la surveillance systématique à grande échelle de zones accessibles au public.

Les autorités de protection des données (APD) nationales, en concertation avec le comité européen de la protection des données, peuvent fournir des listes de cas pour lesquels une AIPD serait nécessaire. L’AIPD devrait être menée avant le traitement et être considérée comme un outil vivant et non comme une simple opération ponctuelle. En cas de risques résiduels qui ne peuvent être atténués par la mise en place de mesures, l’APD doit être consultée avant le début du traitement.

Exemples

AIPD requise
Une banque qui sélectionne ses clients à partir d’une base de données de référence en matière de crédit; un hôpital sur le point de mettre en œuvre une nouvelle base de données reprenant des informations sur la santé et des données relatives à la santé de ses patients; un exploitant de bus sur le point d’installer des caméras à bord pour surveiller le comportement de ses chauffeurs et des passagers.

AIPD non requise
Un médecin traite les données à caractère personnel de ses patients. Dans ce cas, une AIPD n’est pas nécessaire étant donné que le traitement par le médecin n’est pas à grande échelle et que le nombre de patients est limité.

Références