DASTRA
Français
Français
  • Introduction à Dastra
  • 🇪🇺Rappels utiles
    • Introduction au RGPD
    • Notions clefs du RGPD
      • Donnée personnelle
      • Registre des traitements
      • Analyse d'impact
      • Durées de conservation
      • Droits des personnes
      • Confidentialité dès la conception et par défaut
      • Mesures de sécurité
      • Violations de données
    • Gestion des risques
      • Définition des risques
      • Evaluation d'un risque
      • Risques sous-traitants
  • 👨‍💻Bien commencer
    • Mise en place
      • Les notions importantes
      • Créer et paramétrer un espace de travail
      • Créer et paramétrer les unités organisationnelles
      • Désigner un DPO
      • Ajouter une autorité chef de file
      • Inviter des utilisateurs
      • Gérer les rôles et permissions
      • Créer puis affecter des équipes
      • Questions fréquentes
    • Tutoriel
      • Etape 1 : La mise en place
      • Etape 2 : Cartographier vos traitements de données à caractère personnel et établir le registre
      • Etape 3 : Gérer les risques
      • Etape 4 : Prioriser les actions à mener
      • Etape 5 : Implémenter les processus internes
      • Etape 6 : Documenter la conformité
    • Support
      • L'assistant dastronaute
      • L'aide en ligne
      • Demande de support
      • Le processus de support client
  • ⚙️Les fonctionnalités
    • Tableau de bord
    • Généralités
      • Filtres avancés
      • Importer vos données (Excel, Csv)
      • Gestion des tags
      • Champs personnalisés
      • Assistant IA
      • Modèles email
      • 😇Foire aux questions
      • Discussions internes
    • Cartographie des données
      • Référentiels
    • Registre des traitements
      • Registre "Responsable de traitement"
      • Registre "Sous-traitant"
      • Etablissez votre registre
      • Exporter / importer le registre
      • Utiliser un modèle de traitement
      • Déclarer un traitement
      • Compléter un traitement
        • Général
        • Parties prenantes
        • Finalités
        • Actifs
        • Données et conservation
        • Personnes concernées
        • Droits des personnes
        • Destinataires
          • Transferts de données hors UE
        • Mesures de sécurité
        • Analyse d'impact
        • Documents
        • Récapitulatif
      • Créer des relations entre les traitements
      • Fraicheur des traitements
      • Partager le registre
      • Visualisation des données
        • Visualiser l'arborescence des traitements
        • Visualiser la cartographie des données du registre
        • Visualiser la carte des transferts
      • Questions fréquentes
    • Gestion de documents (GED)
      • Modèles de documents
    • Questionnaires et PIA
      • Créer ou modifier un modèle de questionnaire ou un PIA
        • Créer ou modifier un modèle de PIA
      • Planifier un questionnaire ou un PIA
      • Partager un rapport d'audit ou PIA
      • Supprimer un audit ou un modèle d'audit
      • Questions fréquentes
    • Privacy hubs
      • Créer un Privacy hub
      • Paramétrer votre Privacy hub
        • Page d'accueil et configuration générale
        • Questionnaires
        • Exercice des droits
        • Registre des traitements
        • Documents
        • Organigramme
        • Contacts
        • Sécurité
        • Apparence et design
      • Prévisualiser et partager votre Privacy hub
      • Collecter des projets de traitements, d'incidents, d'actifs ou de contrats
    • Contrats
      • Déclarer un contrat
      • Structure d'un contrat
      • Les documents
      • Les actifs
      • Les signataires
      • Utilisateurs associés
      • Signer le contrat
      • Intégration avec Docusign
      • Versionner le contrat
      • Revue régulière du contrat
      • Modèles de contrats dynamiques
    • Gestion des risques
      • Glossaire
      • Le processus de gestion des risques
        • 1. Identifier
        • 2. Evaluer
        • 3. Maîtriser
        • 4. Contrôler
        • Récapitulons
      • Comparaison Dastra / eBios RM
      • Associer un risque à un traitement
      • Questions fréquentes
    • Planification
      • Créez ou modifier une tâche
      • Créer ou modifier un projet ou une itération
      • Suivre, filtrer ou exporter les tâches
      • Personnaliser le workflow des tâches
      • Synchroniser avec d'autres calendriers
      • Questions fréquentes
    • Exercices des droits
      • Gestion des demandes d'exercices de droits
      • Formulaire de collecte de demandes
      • Intégration technique
      • Intégration de l'API
    • Violations de données
      • Documenter une nouvelle violation de données
      • Exportez vos violations de données
    • Cookies
      • Mise en place de la bannière
        • Etude préliminaire
        • Scannez les cookies déposés sur votre site Web
        • Classifiez les cookies par catégories de consentement
        • Les finalités des cookies
        • Configurez un widget de consentement aux cookies
        • Collectez les preuves de consentement cookies
        • Allez plus loin sur le consentement des cookies
        • En cas d'indisponibilité
      • Intégration technique
        • Fonctionnement de la bannière
        • Démarrage rapide
          • Wordpress
        • Gestion de la langue
        • Tester l'intégration d'un widget
        • Blocage des cookies
          • Blocage des iframes (twitter/youtube...)
          • Google Tag Manager
        • Design avancé
        • Gérer le consentement programmatiquement
        • Identification des utilisateurs
        • Applications mobiles
          • Applications hybrides
          • Applications natives
        • TCF 1.1/2.0
      • Conformité RGAA
      • Dépannage
    • Revue régulière (fraicheur)
    • Rapports personnalisés
      • Intégration dans les outils d'analyse de données (BI)
    • Systèmes d'IA
      • Etablir un registre des Systèmes d'IA
      • Analyse de risque et valeur ajoutée
      • Notice de transparence
      • Le référentiel des modèles d'IA
    • Configuration avancée
      • Rôles et permissions
      • Single Sign On (SSO)
        • SAML 2
        • OpenId
        • ADFS
        • Active Directory (MS Entra)
        • Okta
        • Problèmes connus
      • SCIM
      • Gestion des clés d'API
      • Notifications
      • Adresses emails de collecte
      • Intégrations OneDrive/Google Drive
      • Etapes de processus
      • Webhooks
      • Configuration du SMTP
      • Règles de workflows
      • Modèles de messages
      • Domaines emails
  • PARTENAIRES
    • Portail partenaire
  • 📄La documentation API
    • Liste des endpoints d'API
    • Cas d'usage de l'API
    • Configuration API
    • Authentification
    • API References
    • Intégrations via Zapier
      • Questions fréquentes
  • 🛡️La sécurité
    • Sécurité chez Dastra
    • Authentification forte
    • Qualité de nos services
  • Certifications
  • 🤖DIVERS
    • Foire aux questions
    • Problèmes connus
    • Notes de version
    • Webinaires
Propulsé par GitBook
Sur cette page
  • Qu'est-ce qu'un PIA ?
  • Périmètre du PIA
  • Quand dois-je faire un PIA ?
  • Comment faire un PIA ?
  • Qui est impliqué ?
  • Pour aller plus loin

Cet article vous a-t-il été utile ?

  1. Rappels utiles
  2. Notions clefs du RGPD

Analyse d'impact

Apprenez ce qu'est une analyse d'impact.

Dernière mise à jour il y a 3 ans

Cet article vous a-t-il été utile ?

Qu'est-ce qu'un PIA ?

L’analyse d’impact sur la protection des données est un mécanisme de conformité prévu par l’article 35 du RGPD.

Elle vise à assurer la conformité au RGPD et à en apporter la preuve !

L’analyse consiste à identifier et minimiser les risques d'atteinte aux droits et libertés des personnes concernées dans un traitement de données à caractère personnel.

Il s'agit principalement d'une étude des risques pour les personnes et non pour l’organisation !

PIA = Privacy Impact Assessment = DPIA =AIPD = EIVP

Le PIA est un document décomposé en trois parties :

  • Une description détaillée du mis en œuvre, comprenant tant les aspects techniques qu’opérationnels ;

  • L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;

  • L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

Périmètre du PIA

Le PIA peut porter sur :

  • Un traitement unique

  • Des traitements similaires

  • Traitements identiques mis en œuvre par plusieurs responsables de traitements

  • Traitements partagés par plusieurs responsables de traitement

  • Traitements similaires en termes de finalités, fonctionnalités, risques, technologies, etc.

  • Un produit technologique (matériel ou logiciel)

Une analyse d’impact doit être obligatoirement réalisée lors que le traitement entraine un risque élevé pour les droits et libertés des personnes concernées.

Par droits et libertés, il faut entendre non seulement le droit au respect de la vie privée mais également les autres droits fondamentaux, tels que la liberté de circulation, la non-discrimination, le droit à la vie etc.

Les traitements à risques élevés peuvent être identifiés si ceux-ci correspondent à au moins 2 de ces critères ci-dessous (source : EDPD) :

  • Évaluation/notation (scoring)

  • Décision automatique avec effet juridique ou similaire

  • Surveillance systématique

  • Large échelle

  • Croisement de données

  • Personnes vulnérables

  • Usage innovant

  • Blocage d’un droit/contrat

  • Transfert hors UE

Quand dois-je faire un PIA ?

  • Avant la mise en œuvre du traitement

  • Principe de Privacy by design

  • Outil d’aide à la décision sur la mise en œuvre du traitement

  • Permet d’anticiper les coûts de mise en conformité

  • Doit être fait pour les traitements existants

Le PIA est un processus continu :

  • Les PIA doivent être révisés régulièrement

  • Une bonne pratique est de la mettre à jour tous les 3 à 5 ans

  • Dans tous les cas, dès lors qu’une modification intervient sur le traitement

Comment faire un PIA ?

En évaluant d'abord les mesures de nécessité et de proportionnalité. Il s'agit d'un examen en profondeur du traitement sous toutes ses coutures !

Il faut se poser les questions et expliquer ses choix sur les aspects suivants du traitement :

  • Fondement : licéité du traitement, interdiction du détournement de finalité

  • Minimisation des données : adéquates, pertinentes et limitées

  • Qualité des données : exactes et tenues à jour

Ensuite en détaillant les mesures protectrices des droits des personnes :

  • Information des personnes concernées

  • recueil du consentement, le cas échéant

  • exercice des droits d’accès et à la portabilité

  • exercice des droits de rectification et d’effacement

  • exercice des droits de limitation du traitement et d’opposition

Il faut s’aider des référentiels sectoriels, des codes de conduite, des labels et marques.

Et enfin analyser les risques pour les personnes concernées : les atteintes potentielles à la vie privée

Pour chaque événement redouté (accès illégitime à des données, modification non désirée de données et disparition de données) :

  • déterminer les impacts potentiels sur la vie privée des personnes concernées s’ils survenaient

  • estimer sa gravité, notamment en fonction du caractère préjudiciable des impacts potentiels et, le cas échéant, des mesures susceptibles de les modifier ;

  • identifier les menaces sur les supports des données qui pourraient mener à cet événement redouté et les sources de risques qui pourraient en être à l’origine ;

  • estimer sa vraisemblance, notamment en fonction des vulnérabilités des supports de données, des capacités des sources de risques à les exploiter et des mesures susceptibles de les modifier.

Déterminer si les risques initiaux peuvent être jugés acceptables compte tenu des mesures existantes ou prévues.

Dans le cas contraire, proposer des mesures complémentaires et réévaluer le niveau des risques en tenant compte de celles-ci, afin de déterminer les risques résiduels.

Qui est impliqué ?

    • Les équipes du RT dont les équipes du métier concerné (MOA, MOE), les responsables de la conformité, les équipes juridiques

    • Le RT peut déléguer à des conseils extérieurs mais cela reste sous sa responsabilité

  • Le DPO

    • Conseil et vérification d’exécution, évaluation des mesures et risques résiduels, suggère les PIA

  • Les personnes concernées (ou leurs représentants), le cas échéant

    • Leur avis peut être pris et documenté

    • Assistance et fourniture d’informations

  • Le RSSI ou la direction informatique

    • Proposition de mener un DPIA, assistance

Pour aller plus loin

: déterminée, explicite et légitime

: limitées

relations avec les

garanties entourant le ou les

Le (RT)

Les

🇪🇺
traitement
Données sensibles
Finalités
Durées de conservation
sous-traitants
transferts internationaux
responsable du traitement
sous-traitants
Analyse d'impact
Questionnaires et PIA
Associer un risque à un traitement
Webinar "Comment aborder l'étape PIA avec un outil ?"
Un processus itératif