Accueil🇫🇷Chercher

Privacy Impact Assessment

Le Privacy Impact Assessment (PIA) — en français, « évaluations de l’impact sur la vie privée » ou AIPD pour « analyses d'impact relatives à la protection des données » — est une méthode conçue et validée par le groupe de travail Article 29 sur la protection des données (G29)[1], le groupe des autorités de contrôle sur les données personnelles européennes (ex. : la CNIL, en France), pour réaliser des analyses d'impact requises par le Règlement général sur la protection des données concernant la protection des données personnelles, appliqué depuis le dans toute l'Union européenne.

Cette méthode est fortement inspirée du standard ISO29134 définissant les études d'impacts sur les informations personnelles identifiables (IPI ou PII en anglais)[2].

Les PIA et le RGPD

Le Règlement général sur la protection des données (RGPD) précise les cas où une PIA est nécessaire et son contenu, ainsi que l'obligation de contrôle de cohérence de la PIA par rapport aux pratiques. Le PIA doit être mené avant la mise en œuvre du traitement, c'est-à-dire avant tout nouveau traitement. Il s’agit d’une nouveauté du RGPD.

Cependant, concernant les anciens traitements à risques, en France la CNIL recommande de procéder à cette analyse de façon rétroactive[3].

Obligation de procéder à une PIA

L'analyse d'impact relative à la protection des données est requise dans les cas suivants[4] :

  • est susceptible d'engendrer un risque Ă©levĂ© pour les droits et libertĂ©s des personnes physiques ;
  • consiste en l'Ă©valuation systĂ©matique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondĂ©e sur un traitement automatisĂ©, y compris le profilage, et sur la base de laquelle sont prises des dĂ©cisions produisant des effets juridiques Ă  l'Ă©gard d'une personne physique ou l'affectant de manière significative de façon similaire ;
  • s'opère Ă  grande Ă©chelle sur les catĂ©gories particulières de donnĂ©es visĂ©es Ă  l'article 9, paragraphe 1, ou sur des donnĂ©es Ă  caractère personnel relatives Ă  des condamnations pĂ©nales et Ă  des infractions visĂ©es Ă  l'article 10 ;
  • la surveillance systĂ©matique Ă  grande Ă©chelle d'une zone accessible au public.

La délibération no 2018-327 de la CNIL liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise[5].

Contenu d'une PIA

L'analyse contient au moins[6] :

  • une description systĂ©matique des opĂ©rations de traitement envisagĂ©es et des finalitĂ©s du traitement, y compris, le cas Ă©chĂ©ant, l'intĂ©rĂŞt lĂ©gitime poursuivi par le responsable du traitement ;
  • une Ă©valuation de la nĂ©cessitĂ© et de la proportionnalitĂ© des opĂ©rations de traitement au regard des finalitĂ©s ;
  • une Ă©valuation des risques pour les droits et libertĂ©s des personnes concernĂ©es conformĂ©ment au paragraphe 1 ;
  • les mesures envisagĂ©es pour faire face aux risques, y compris les garanties, mesures et mĂ©canismes de sĂ©curitĂ© visant Ă  assurer la protection des donnĂ©es Ă  caractère personnel et Ă  apporter la preuve du respect du prĂ©sent règlement, compte tenu des droits et des intĂ©rĂŞts lĂ©gitimes des personnes concernĂ©es et des autres personnes affectĂ©es.

ContrĂ´le

Le RGPD précise la nécessité de contrôle de conformité de la PIA au regard des réalités du traitement[7].

Rôle du Délégué à la protection des données

Le Délégué à la protection des données joue un rôle essentiel dans la réalisation d'une analyse d'impact.

Au titre de l'article 38.1 du RGPD, « Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel », il conseille au responsable de traitement de réaliser (ou faire réaliser) une analyse d'impact.

Il peut également juger de la pertinence des mesures de réduction des risques comme du niveau des risques résiduels. Au titre de l'article 39.1.b du RGPD, « Le Délégué à la protection des données contrôle le respect du présent règlement », il veille à la revue régulière de l'analyse d'impact.

Logiciels reconnus pour leur implémentation de la méthode PIA

  • PIA[8], logiciel libre dĂ©veloppĂ© par le Laboratoire d'Innovation NumĂ©rique de la CNIL.
  • PiaLab[9], logiciel libre dĂ©veloppĂ© par la sociĂ©tĂ© PiaLab[10].

Notes et références

  1. Analyse d'impact relative à la protection des données : La méthode, CNIL, , 13 p. (lire en ligne [PDF]).
  2. (en) « ISO/IEC 29134:2017(en) — Guidelines for privacy impact assessment », sur ISO, (consulté le ).
  3. « Qu'est ce qu'un PIA et quand doit-on en faire un ? », sur DPO 101, (consulté le ).
  4. Article 35 du RGPD alinéas 1 et 3
  5. délibération no 2018-327 de la CNIL du 11 octobre 2018, sur Légifrance.
  6. Article 35 du RGPD, alinéa 7
  7. Article 35 du RGPD, alinéa 11 :
    « Si nécessaire, le responsable du traitement procède à un examen afin d'évaluer si le traitement est effectué conformément à l'analyse d'impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement. »
  8. « Outil PIA : téléchargez et installez le logiciel de la CNIL », sur CNIL, (consulté le ).
  9. (en) « Code source de PiaLab », sur GitHub (consulté le ).
  10. « PiaLab, logiciel pour la conformité au RGPD », sur pialab.io (consulté le ).

Voir aussi

Articles connexes

Liens externes

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.