GDPR / RGPD – Qu’est-ce que le PIA (Privacy Impact Assessment) ?

L’analyse d’impact sur la protection des données (Privacy Impact Assessment, PIA ou DPIA, cf. art. 35 du [RGPD]) est un outil important pour la responsabilisation des organismes. C’est une bonne pratique fortement recommandée, et obligatoire dans certains cas, qui aide à construire des traitements de données respectueux de la vie privée et à démontrer leur conformité au règlement général sur la protection des données (notion de responsabilité ou d’accountability en anglais, cf. art. 25 du [RGPD]). C’est un prérequis à la mise en œuvre d’une stratégie de « Privacy By Design » sur chaque nouveau projet.

La démarche de conformité mise en œuvre en menant un PIA repose sur deux piliers :

Conformité RGPDLes principes et droits fondamentaux, « non négociables », qui sont fixés par la loi et doivent être respectés, quels que soient la nature, la gravité et la vraisemblance des risques encourus :

La légitimité de la finalité ; la licéité du traitement ; la minimisation des données ; la qualité des données ; la durée de conservation ; le respect des droits des personnes (information, accès, rectification, opposition, droit à l’oubli, limitation, portabilité, consentement) ; les transferts de données ; les sous-traitants.

La gestion des risques sur la vie privée, qui permet de déterminer les mesures techniques et d’organisation appropriées pour protéger les données :

Un risque est un scénario hypothétique qui décrit un événement redouté et toutes les menaces qui permettraient qu’il survienne. Plus précisément, il décrit : Comment les sources du risque pourraient exploiter les vulnérabilités du système dans le cadre de menaces et permettre à des événements redoutés de survenir sur des données à caractère personnel et provoquer des impacts sur la vie privée des personnes concernées.

Exemple : La base d’enregistrements de vidéosurveillance des clients est vulnérable car il n’existe pas de gestion avancée des droits d’accès à cette base de données sensibles. L’analyse d’impact consistera donc à comprendre comment un collaborateur pourrait utiliser ses accès pour analyser les habitudes de vie de quelques clients fortunés à partir d’enregistrements de vidéosurveillance et vendre ces informations à des individus malveillants qui auraient l’intention de cambrioler ces clients ?

Le niveau d’un risque est estimé en termes de gravité (l’ampleur du risque au regard du préjudice pour l’entreprise et l’impact sur la vie privée des clients) et de vraisemblance (la possibilité que le risque se présente au regard des vulnérabilités du système et des sources du risque).

Cette analyse approfondie permet donc d’identifier les mesures de sécurité à mettre en œuvre pour garantir la protection des données personnelles.

Pour accompagner les entreprises dans cette démarche d’analyse, la CNIL met à disposition un logiciel libre PIA (https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil).

Nous nous tenons à votre disposition pour tous renseignements à ce sujet : asicom@asi.fr / 0806 700 800 (prix d’un appel local).

Ce contenu a été publié dans Actualités par ASI. Mettez-le en favori avec son permalien.

A propos ASI

ASI accompagne dans leur transformation digitale les organisations publiques et privées, ETI et Grands Groupes. Notre métier est de comprendre les besoins et d’identifier les usages à valeur ajoutée afin de concevoir, réaliser et déployer des solutions digitales qui améliorent l’Expérience des collaborateurs et des clients dans 3 grands domaines : - La Digitalisation des Processus et Services : conception et développement d’applications métiers, services clients, web et mobile… - La Data Intelligence : reporting et analyse, gouvernance des données, Big Data... - La Connaissance et la Collaboration : intranet/ portail collaboratif, réseau social d'entreprise, base de connaissances, CRM… Créée en 1993 et implantée dans 7 villes en France (Paris, Lyon, Rennes, Brest, Nantes, Niort et Bordeaux), ASI compte 370 collaborateurs. Contactez-nous pour vos projets : 0806 700 800 (service gratuit + prix appel) / asicom@asi.fr

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s