Analyse d’impact

Profitons de ce moment ensemble pour nous attarder sur la fameuse analyse d’impact relative à la protection des données, AIPD ou PIA…

Qu’est-ce qu’un PIA ?

Un PIA – Privacy Impact Assessment – est une analyse d’impact sur les données personnelles réalisée par l’organisme responsable de ces données.

L’objectif du PIA est de déterminer l’incidence d’un traitement sur les données personnelles (utilisation, collecte, conservation, modification, diffusion) et les potentiels effets sur les personnes concernées par ces données.

A quoi sert un PIA ?

Le PIA permet d’évaluer la conformité du traitement et d’estimer les mesures nécessaires pour minimiser le risque d’impact sur les droits et les libertés des personnes.

Cette évaluation consiste à mettre en balance le respect des droits et des obligations imposés par le cadre juridique européen et français ainsi que les éventuelles conséquences du traitement pour les personnes au regard des données traitées.

Le PIA est un outil de l’accountability. Il participe ainsi à la documentation et démonstration que les mesures prises sont bien adéquates.

Quand un PIA est-il nécessaire ?

L’article 35 du RGPD indique qu’un PIA est nécessaire lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés d’une personne.

L’autorité des CNIL européennes précise qu’un PIA est obligatoire lorsqu’au moins 2 critères sont établis parmi :
– évaluation/scoring, y compris le profilage
– décision automatique avec effet légal ou similaire
– exclusion du bénéfice d’un droit/contrat
– surveillance systématique
– collecte de données sensibles
– collecte de données à large échelle
– croisement avec d’autres informations
– personnes vulnérables (patients, personnes âgées, enfants…)
– usage innovant

A quel moment réaliser un PIA ?

Un PIA est à réaliser le plus tôt possible notamment s’il est obligatoire, y compris pour les traitements mis en œuvre avant l’entrée en vigueur du RGPD en 2018.

Les suivis réguliers et mises à jour sont importants pour vérifier le niveau du risque d’impact sur les personnes et que les mesures de protection des données sont toujours adaptées.

Qui intervient dans un PIA ?

L’organisme responsable des données porte la responsabilité du PIA et de son bon déroulement. Le DPO de l’organisme, ou la personne en charge de la protection des données, intervient en support pour conseiller et vérifier la mise en œuvre conforme du PIA.

De plus, la réalisation du PIA fait intervenir les divers acteurs concernés qui fournissent leur aide et informations nécessaire à leur niveau :
– responsable juridique
– responsable de la sécurité des systèmes d’information
– services métiers
– sous-traitants

A chaque fois que c’est possible, les personnes concernées doivent pouvoir donner leur avis sur le traitement par le biais d’un enquête, d’un sondage ou d’un échange auprès des représentants du personnel.

Comment réaliser un PIA ?

Un PIA s’articule en 4 parties qui mobilisent des connaissances et personnes différentes :
– vue d’ensemble sur les données, les processus et les supports
– effets du traitement sur les personnes et garanties sur les mesures protectrices des droits de ces personnes
– appréciation des mesures de sécurité au regard des risques d’accès illégitime, de modification non désirée ou de disparition des données
– cartographie des risques, plan d’action, avis du DPO et des personnes concernées