Il y a une notion qui revient sans cesse, avec l’arrivée du règlement européen sur la protection des données personnelles : PIA ou Privacy Impact Assessment. C’est l’article 35 de la loi relative à la protection des données qui prône la nécessité de faire une étude d’impact lors d’un traitement des données personnelles ou sensibles, entraînant un risque d’atteinte à la vie privée.
Le PIA : De quoi s’agit-il exactement ?
Le PIA RGPD ou l’étude d’impact sur la vie privée, permet de responsabiliser les sociétés en mettant en place des traitements de données assurant la protection de la vie privée des personnes concernées. Cet outil est une preuve qu’elles sont conformes au RGPD et à la loi informatique et libertés ! D’ailleurs, les analyses d’impact sont indispensables pour tout traitement des données personnelles présentant un risque !
Selon la CNIL, ces évaluations d’impact se basent sur deux principes :
-
- L’évaluation des risques sur la sécurité des données personnelles : Elle permet de mettre en place toutes les dispositions techniques et organisationnelles pour la protection des personnes physiques ;
-
- L’étude juridique et le respect des droits et libertés des personnes concernées : finalité des données, durée de leur conservation, droit à l’effacement des données…
l l l l l l l l l l l l l l l l
A quel moment doit-on faire une analyse d’impact ?
L’article 35 impose aux responsables de traitement et à ses sous-traitants, de réaliser le pia rgpd dès lors qu’ils traitent de données sensibles et personnelles pouvant engendrer un risque d’atteinte à la vie privée des personnes physiques qui sont concernées.
Le risque est présent à compter du moment où une personne externe à l’entreprise peut utiliser les informations personnelles pour une autre finalité.
Le responsable des traitements et le Dpo doivent ainsi se concerter avant d’effectuer un PIA. Ces derniers ont la responsabilité de constater la gravité des risques. Aussi, ils pourront amorcer les actions nécessaires pour une mise en conformité avec le RGPD.
Dans tous les cas, une analyse d’impact est indispensable dans les situations suivantes :
-
- Si les données à caractère personnel sont traitées à grande échelle ;
-
- Dans le cadre d’une surveillance systématique dans une zone accessible à tous ;
-
- Dans le cadre d’un profilage ;
-
- Si une activité donnée vise la collecte de données personnelles.
Comment se passe le PIA ?
Selon ce qui est écrit dans la CNIL, il y a une certaine méthode à suivre pour assurer la protection des données d’une personne physique :
-
- La délimitation du contexte du traitement de leurs données ;
-
- L’analyse des mesures par le responsable du traitement et son sous-traitant, garantissant le respect de la vie privée ;
-
- L’estimation des risques sur la vie privée ;
-
- La formalisation des études relatives à la protection des données personnelles.
Il est important de noter que le rôle du DPO est primordial car il s’assure que dans la liste des traitements de données, tout se déroule sur la bonne voie. Il a aussi un rôle de conseil et d’information vis-à-vis du responsable du traitement. Toutefois, il est toujours recommandé de se faire aider par des professionnels, proposant une offre PIA RGPD, pour s’assurer de la conformité avec le RGPD.
La documentation de l’analyse d’impact
L’analyse d’impact doit toujours faire l’objet d’une documentation. Elle servira de preuve de la conformité au RGPD. En cas de contrôle, ce dossier sera envoyé à la CNIL. Y seront mentionnés les éléments suivants :
-
- Une description du traitement de données et sa finalité ;
-
- La proportionnalité des traitements en fonction de leurs finalités ;
-
- La mise en avant des risques liés au traitement ;
-
- La liste des mesures à mettre en avant, pour limiter les risques lors du traitement des données personnelles.