Profitons de ce moment ensemble pour nous attarder sur la fameuse analyse d’impact relative à la protection des données, AIPD ou PIA…
Qu’est-ce qu’une AIPD ?
Une AIPD est une analyse d’impact sur les données personnelles réalisée par l’organisme responsable de ces données.
L’objectif de l’AIPD est de déterminer l’incidence d’un traitement sur les données personnelles (utilisation, collecte, conservation, modification, diffusion) et les potentiels effets sur les personnes concernées par ces données.
A quoi sert une AIPD ?
Une AIPD permet d’évaluer la conformité du traitement et d’estimer les mesures nécessaires pour minimiser le risque d’impact sur les droits et les libertés des personnes.
Cette évaluation consiste à mettre en balance le respect des droits et des obligations imposés par le cadre juridique européen et français ainsi que les éventuelles conséquences du traitement pour les personnes au regard des données traitées.
Une AIPD est un outil de l’accountability. Il participe ainsi à la documentation et démonstration que les mesures prises sont bien adéquates.
Quand une AIPD est-il nécessaire ?
L’article 35 du RGPD indique qu’une AIPD est nécessaire lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés d’une personne.
L’autorité des CNIL européennes précise qu’une AIPD est obligatoire lorsqu’au moins 2 critères sont établis parmi :
– évaluation/scoring, y compris le profilage
– décision automatique avec effet légal ou similaire
– exclusion du bénéfice d’un droit/contrat
– surveillance systématique
– collecte de données sensibles
– collecte de données à large échelle
– croisement avec d’autres informations
– personnes vulnérables (patients, personnes âgées, enfants…)
– usage innovant
A quel moment réaliser une AIPD ?
Une AIPD est à réaliser le plus tôt possible notamment s’il est obligatoire, y compris pour les traitements mis en œuvre avant l’entrée en vigueur du RGPD en 2018.
Les suivis réguliers et mises à jour sont importants pour vérifier le niveau du risque d’impact sur les personnes et que les mesures de protection des données sont toujours adaptées.
Qui intervient dans une AIPD ?
L’organisme responsable des données porte la responsabilité de l’AIPD et de son bon déroulement. Le DPO de l’organisme, ou la personne en charge de la protection des données, intervient en support pour conseiller et vérifier la mise en œuvre conforme de l’AIPD.
De plus, la réalisation d’une AIPD fait intervenir les divers acteurs concernés qui fournissent leur aide et informations nécessaire à leur niveau :
– responsable juridique
– responsable de la sécurité des systèmes d’information
– services métiers
– sous-traitants
A chaque fois que c’est possible, les personnes concernées doivent pouvoir donner leur avis sur le traitement par le biais d’un enquête, d’un sondage ou d’un échange auprès des représentants du personnel.
Comment réaliser une AIPD ?
Une AIPD s’articule en 4 parties qui mobilisent des connaissances et personnes différentes :
– vue d’ensemble sur les données, les processus et les supports
– effets du traitement sur les personnes et garanties sur les mesures protectrices des droits de ces personnes
– appréciation des mesures de sécurité au regard des risques d’accès illégitime, de modification non désirée ou de disparition des données
– cartographie des risques, plan d’action, avis du DPO et des personnes concernées