L’article 35.4 RGPD prévoit que chaque autorité de contrôle doit établir et publier une liste des types d’opérations de traitement de données à caractère personnel pour lesquelles les responsables de traitement doivent établir une analyse d’impact relative à la protection des données (« AIPD » ou « PIA ») avant de commencer le traitement.
La liste finale officielle de l’Autorité de protection des données belge a été publiée au Moniteur belge le 22 mars 2019 et est entrée en vigueur le 1er avril 2019.
Selon l’Autorité de la protection des données belge, un PIA doit être établi pour les types d’opérations de traitement de données suivants:
- lorsque le traitement utilise des données biométriques en vue de l’identification unique des personnes concernées se trouvant dans un lieu public ou dans un lieu privé accessible au public;
- lorsque des données à caractère personnel sont collectées auprès de tiers afin d’être prises ensuite en considération dans le cadre de la décision de refuser ou de cesser un contrat de service déterminé avec une personne physique;
- lorsque des données de santé d’une personne concernée sont collectées par voie automatisée à l’aide d’un dispositif médical implantable actif;
- lorsque des données sont collectées à grande échelle auprès de tiers afin d’analyser ou de prédire la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements de personnes physiques;
- lorsque des catégories particulières de données à caractère personnel au sens de l’article 9 du RGPD ou des données de nature très personnelle (comme des données sur la pauvreté, le chômage, l’implication de l’aide à la jeunesse ou le travail social, des données sur les activités domestiques et privées, des données de localisation) sont échangées systématiquement entre plusieurs responsables du traitement;
- lorsqu’il est question d’un traitement à grande échelle de données générées au moyen d’appareils dotés de capteurs qui envoient des données via Internet ou via un autre moyen (applications de « l’Internet des objets », comme les télévisions intelligentes, les appareils ménagers intelligents, les jouets connectés, les « smart cities », les compteurs d’énergie intelligents, etc.) et que ce traitement sert à analyser ou prédire la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements de personnes physiques;
- lorsqu’il est question d’un traitement à grande échelle et/ou systématique de données de téléphonie, d’Internet ou d’autres données de communication, de métadonnées ou de données de localisation de personnes physiques ou permettant de mener à des personnes physiques (par exemple le wifi-tracking ou le traitement de données de localisation de voyageurs dans les transports publics) lorsque le traitement n’est pas strictement nécessaire pour un service demandé par la personne concernée;
- lorsqu’il est question de traitements de données à caractère personnel à grande échelle où le comportement de personnes physiques est observé, collecté, établi ou influencé, y compris à des fins publicitaires, et ce de manière systématique via un traitement automatisé.
Cette liste n’est pas exhaustive. Dès qu’un traitement entre dans une situation telle que prévue à l’article 35.1 ou 35.3 du RGPD, un PIA doit être établi. Ce n’est pas parce qu’un traitement ne figure pas dans cette liste qu’un PIA n’est pas requis. Mais dès qu’un traitement est inclus dans cette liste, un PIA doit être établi en tout cas.
L’Autorité de protection des données réévaluera et, si nécessaire, mettra à jour cette liste tous les six mois.
La liste officielle peut être téléchargée ici.