Gérer les risques

02 mars 2017

Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés  pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d'impact sur la protection des données (en anglais, Data protection impact assessment ou Privacy Impact Assessment).

RGPD etape 4 - Analyser les risques

Qu’est-ce qu’une analyse d'impact sur la protection des données (PIA) ?

C’est une étude aidant à construire des traitements de données respectueux de la vie privée et permettant de démontrer la conformité de son traitement au RGPD. Un PIA est un outil d’évaluation d’impact sur la vie privée. Il repose sur 2 piliers :

  1. les principes et droits fondamentaux, « non négociables », fixés par la loi. Ils ne peuvent faire l’objet d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus ;
  2. la gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.

Un PIA contient :

  • Une description du traitement étudié et de ses finalités.
  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
  • une évaluation des risques pour les droits et libertés des personnes concernées les mesures envisagées pour faire face aux risques.

Quand mener une analyse d'impact sur la protection des données (PIA) ?

De manière générale, réaliser un PIA est une bonne pratique pour s’assurer de créer un traitement conforme au RGPD et respectueux de la vie privée, que celui-ci soit susceptible ou non d’engendrer des risques élevés sur la vie privée.

Le PIA doit être réalisé avant la mise en œuvre du traitement. C’est un processus itératif, les analyses doivent être revues et corrigées de manière régulière, en particulier lors de changements majeurs des modalités d’exécution du traitement.

Mener un PIA est obligatoire pour tout traitement susceptible d'engendrer des risques élevés pour les droits et libertés des personnes concernées (Article 35 du RGPD). Pour vous aider à déterminer si votre traitement est susceptible d’engendrer des risques élevés, les 9 critères suivant sont définis dans les lignes directrices du G29 :

  1. Evaluation ou notation;
  2. Décision automatisée avec effet juridique ou effet similaire significatif;
  3. Surveillance systématique ;
  4. Données sensibles ou données à caractère hautement personnel ;
  5. Données personnelles traitées à grande échelle ;
  6. Croisement d’ensembles de données ;
  7. Données concernant des personnes vulnérables ;
  8. Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
  9. Exclusion du bénéfice d’un droit, d’un service ou contrat.

Si votre traitement rencontre au moins 2 de ces critères, alors il est vivement conseillé de faire un PIA.

 

Qui participe à l’élaboration de l’analyse d’impact ?

  • Le responsable de traitement : valide Le PIA et s’engage à mettre en œuvre le plan d’action défini dans le PIA ;
  • Le délégué à la protection des données : élabore le plan d’action et se charge de vérifier son exécution ;
  • Le(s) sous-traitant(s) : fournit les informations nécessaires à l’élaboration du PIA ;
  • Les métiers (RSSI, maîtrise d’ouvrage, maîtrise d’œuvre) : aident à la réalisation du PIA en fournissant les éléments adéquats ;
  • Les personnes concernées : donnent leurs avis sur le traitement.

 

Document reference

Les outils pour vous aider

La CNIL a élaboré une méthode et un catalogue de bonnes pratiques qui vous aident à mener un PIA et déterminer les mesures proportionnées aux risques identifiés.

Un logiciel PIA, en version Beta, facilite la formalisation de cette analyse.

>Téléchargez l’outil PIA

Des études de cas sur la géolocalisation de véhicules d'entreprise et la gestion des patients d'un cabinet de médecine du travail, réalisées par le Club EBIOS, illustrent la mise en application de ces outils, 

Des études de cas sur la géolocalisation de véhicules d'entreprise et la gestion des patients d'un cabinet de médecine du travail, réalisées par le Club EBIOS, illustrent la mise en application de ces outils.

Vous aurez franchi cette étape si

  • Vous avez mis en place des mesures permettant de répondre aux principaux risques et menaces qui pèsent sur la vie privée des personnes concernées par vos traitements.

Les mots clés associés à cet article