Analyse d'impact
Apprenez ce qu'est une analyse d'impact.

Qu'est-ce qu'un PIA ?

L’analyse d’impact sur la protection des données est un mécanisme de conformité prévu par l’article 35 du RGPD.
Elle vise à assurer la conformité au RGPD et à en apporter la preuve !
L’analyse consiste à identifier et minimiser les risques d'atteinte aux droits et libertés des personnes concernées dans un traitement de données à caractère personnel.
Il s'agit principalement d'une étude des risques pour les personnes et non pour l’organisation !
PIA = Privacy Impact Assessment = DPIA =AIPD = EIVP
Le PIA est un document décomposé en trois parties :
  • Une description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels ;
  • L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;
  • L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

Périmètre du PIA

Le PIA peut porter sur :
  • Un traitement unique
  • Des traitements similaires
  • Traitements identiques mis en œuvre par plusieurs responsables de traitements
  • Traitements partagés par plusieurs responsables de traitement
  • Traitements similaires en termes de finalités, fonctionnalités, risques, technologies, etc.
  • Un produit technologique (matériel ou logiciel)
Une analyse d’impact doit être obligatoirement réalisée lors que le traitement entraine un risque élevé pour les droits et libertés des personnes concernées.
Par droits et libertés, il faut entendre non seulement le droit au respect de la vie privée mais également les autres droits fondamentaux, tels que la liberté de circulation, la non-discrimination, le droit à la vie etc.
Les traitements à risques élevés peuvent être identifiés si ceux-ci correspondent à au moins 2 de ces critères ci-dessous (source : EDPD) :
  • Évaluation/notation (scoring)
  • Décision automatique avec effet juridique ou similaire
  • Surveillance systématique
  • Large échelle
  • Croisement de données
  • Personnes vulnérables
  • Usage innovant
  • Blocage d’un droit/contrat
  • Transfert hors UE

Quand dois-je faire un PIA ?

  • Avant la mise en œuvre du traitement
  • Principe de Privacy by design
  • Outil d’aide à la décision sur la mise en œuvre du traitement
  • Permet d’anticiper les coûts de mise en conformité
  • Doit être fait pour les traitements existants
Le PIA est un processus continu :
  • Les PIA doivent être révisés régulièrement
  • Une bonne pratique est de la mettre à jour tous les 3 à 5 ans
  • Dans tous les cas, dès lors qu’une modification intervient sur le traitement
Un processus itératif

Comment faire un PIA ?

En évaluant d'abord les mesures de nécessité et de proportionnalité. Il s'agit d'un examen en profondeur du traitement sous toutes ses coutures !

Il faut se poser les questions et expliquer ses choix sur les aspects suivants du traitement :
  • Finalités : déterminée, explicite et légitime
  • Fondement : licéité du traitement, interdiction du détournement de finalité
  • Minimisation des données : adéquates, pertinentes et limitées
  • Qualité des données : exactes et tenues à jour

Ensuite en détaillant les mesures protectrices des droits des personnes :

  • Information des personnes concernées
  • recueil du consentement, le cas échéant
  • exercice des droits d’accès et à la portabilité
  • exercice des droits de rectification et d’effacement
  • exercice des droits de limitation du traitement et d’opposition
  • relations avec les sous-traitants
  • garanties entourant le ou les transferts internationaux
Il faut s’aider des référentiels sectoriels, des codes de conduite, des labels et marques.

Et enfin analyser les risques pour les personnes concernées : les atteintes potentielles à la vie privée

Pour chaque événement redouté (accès illégitime à des données, modification non désirée de données et disparition de données) :
  • déterminer les impacts potentiels sur la vie privée des personnes concernées s’ils survenaient
  • estimer sa gravité, notamment en fonction du caractère préjudiciable des impacts potentiels et, le cas échéant, des mesures susceptibles de les modifier ;
  • identifier les menaces sur les supports des données qui pourraient mener à cet événement redouté et les sources de risques qui pourraient en être à l’origine ;
  • estimer sa vraisemblance, notamment en fonction des vulnérabilités des supports de données, des capacités des sources de risques à les exploiter et des mesures susceptibles de les modifier.
Déterminer si les risques initiaux peuvent être jugés acceptables compte tenu des mesures existantes ou prévues.
Dans le cas contraire, proposer des mesures complémentaires et réévaluer le niveau des risques en tenant compte de celles-ci, afin de déterminer les risques résiduels.

Qui est impliqué ?

    • Les équipes du RT dont les équipes du métier concerné (MOA, MOE), les responsables de la conformité, les équipes juridiques
    • Le RT peut déléguer à des conseils extérieurs mais cela reste sous sa responsabilité
  • Le DPO
    • Conseil et vérification d’exécution, évaluation des mesures et risques résiduels, suggère les PIA
  • Les personnes concernées (ou leurs représentants), le cas échéant
    • Leur avis peut être pris et documenté
    • Assistance et fourniture d’informations
  • Le RSSI ou la direction informatique
    • Proposition de mener un DPIA, assistance

Pour aller plus loin

Webinar "Comment aborder l'étape PIA avec un outil ?"