Privacy Impact Assessment
Le Privacy Impact Assessment (PIA) — en français, « évaluations de l’impact sur la vie privée » ou AIPD pour « analyses d'impact relatives à la protection des données » — est une méthode conçue et validée par le groupe de travail Article 29 sur la protection des données (G29)[1], le groupe des autorités de contrôle sur les données personnelles européennes (ex. : la CNIL, en France), pour réaliser des analyses d'impact requises par le Règlement général sur la protection des données concernant la protection des données personnelles, appliqué depuis le dans toute l'Union européenne.
Cette méthode est fortement inspirée du standard ISO29134 définissant les études d'impacts sur les informations personnelles identifiables (IPI ou PII en anglais)[2].
Les PIA et le RGPD
Le Règlement général sur la protection des données (RGPD) précise les cas où une PIA est nécessaire et son contenu, ainsi que l'obligation de contrôle de cohérence de la PIA par rapport aux pratiques. Le PIA doit être mené avant la mise en œuvre du traitement, c'est-à -dire avant tout nouveau traitement. Il s’agit d’une nouveauté du RGPD.
Cependant, concernant les anciens traitements à risques, en France la CNIL recommande de procéder à cette analyse de façon rétroactive[3].
Obligation de procéder à une PIA
L'analyse d'impact relative à la protection des données est requise dans les cas suivants[4] :
- est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ;
- consiste en l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire ;
- s'opère à grande échelle sur les catégories particulières de données visées à l'article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10 ;
- la surveillance systématique à grande échelle d'une zone accessible au public.
La délibération no 2018-327 de la CNIL liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise[5].
Contenu d'une PIA
L'analyse contient au moins[6] :
- une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement ;
- une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
- une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1 ;
- les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.
ContrĂ´le
Le RGPD précise la nécessité de contrôle de conformité de la PIA au regard des réalités du traitement[7].
Rôle du Délégué à la protection des données
Le Délégué à la protection des données joue un rôle essentiel dans la réalisation d'une analyse d'impact.
Au titre de l'article 38.1 du RGPD, « Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel », il conseille au responsable de traitement de réaliser (ou faire réaliser) une analyse d'impact.
Il peut également juger de la pertinence des mesures de réduction des risques comme du niveau des risques résiduels. Au titre de l'article 39.1.b du RGPD, « Le Délégué à la protection des données contrôle le respect du présent règlement », il veille à la revue régulière de l'analyse d'impact.
Logiciels reconnus pour leur implémentation de la méthode PIA
- PIA[8], logiciel libre développé par le Laboratoire d'Innovation Numérique de la CNIL.
- PiaLab[9], logiciel libre développé par la société PiaLab[10].
Notes et références
- Analyse d'impact relative à la protection des données : La méthode, CNIL, , 13 p. (lire en ligne [PDF]).
- (en) « ISO/IEC 29134:2017(en) — Guidelines for privacy impact assessment », sur ISO, (consulté le ).
- « Qu'est ce qu'un PIA et quand doit-on en faire un ? », sur DPO 101, (consulté le ).
- Article 35 du RGPD alinéas 1 et 3
- délibération no 2018-327 de la CNIL du 11 octobre 2018, sur Légifrance.
- Article 35 du RGPD, alinéa 7
- Article 35 du RGPD, alinéa 11 :
« Si nécessaire, le responsable du traitement procède à un examen afin d'évaluer si le traitement est effectué conformément à l'analyse d'impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement. »
- « Outil PIA : téléchargez et installez le logiciel de la CNIL », sur CNIL, (consulté le ).
- (en) « Code source de PiaLab », sur GitHub (consulté le ).
- « PiaLab, logiciel pour la conformité au RGPD », sur pialab.io (consulté le ).
Voir aussi
Articles connexes
Liens externes
- Délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d'impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD)
- Enregistrement de la webex AFCDP-CNIL Comment mener une analyse d'impact
- Enregistrement de la webex AFCDP-CNIL Comment intégrer une analyse d'impact dans l'outil PIA de la CNIL ?