Analyse d'impact

Apprenez ce qu'est une analyse d'impact.

Qu'est-ce qu'un PIA ?

L’analyse d’impact sur la protection des données est un mécanisme de conformité prévu par l’article 35 du RGPD.

Elle vise à assurer la conformité au RGPD et à en apporter la preuve !

L’analyse consiste à identifier et minimiser les risques d'atteinte aux droits et libertés des personnes concernées dans un traitement de données à caractère personnel.

Il s'agit principalement d'une étude des risques pour les personnes et non pour l’organisation !

PIA = Privacy Impact Assessment = DPIA =AIPD = EIVP

Le PIA est un document décomposé en trois parties :

Une description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels ;
L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;
L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

Périmètre du PIA

Le PIA peut porter sur :

Un traitement unique
Des traitements similaires
Traitements identiques mis en œuvre par plusieurs responsables de traitements
Traitements partagés par plusieurs responsables de traitement
Traitements similaires en termes de finalités, fonctionnalités, risques, technologies, etc.
Un produit technologique (matériel ou logiciel)

Une analyse d’impact doit être obligatoirement réalisée lors que le traitement entraine un risque élevé pour les droits et libertés des personnes concernées.

Par droits et libertés, il faut entendre non seulement le droit au respect de la vie privée mais également les autres droits fondamentaux, tels que la liberté de circulation, la non-discrimination, le droit à la vie etc.

Les traitements à risques élevés peuvent être identifiés si ceux-ci correspondent à au moins 2 de ces critères ci-dessous (source : EDPD) :

Évaluation/notation (scoring)
Décision automatique avec effet juridique ou similaire
Surveillance systématique
Données sensibles
Large échelle
Croisement de données
Personnes vulnérables
Usage innovant
Blocage d’un droit/contrat
Transfert hors UE

Quand dois-je faire un PIA ?

Avant la mise en œuvre du traitement
Principe de Privacy by design
Outil d’aide à la décision sur la mise en œuvre du traitement
Permet d’anticiper les coûts de mise en conformité
Doit être fait pour les traitements existants

Le PIA est un processus continu :

Les PIA doivent être révisés régulièrement
Une bonne pratique est de la mettre à jour tous les 3 à 5 ans
Dans tous les cas, dès lors qu’une modification intervient sur le traitement

Comment faire un PIA ?

En évaluant d'abord les mesures de nécessité et de proportionnalité. Il s'agit d'un examen en profondeur du traitement sous toutes ses coutures !

Il faut se poser les questions et expliquer ses choix sur les aspects suivants du traitement :

Finalités : déterminée, explicite et légitime
Fondement : licéité du traitement, interdiction du détournement de finalité
Minimisation des données : adéquates, pertinentes et limitées
Qualité des données : exactes et tenues à jour
Durées de conservation : limitées

Ensuite en détaillant les mesures protectrices des droits des personnes :

Information des personnes concernées
recueil du consentement, le cas échéant
exercice des droits d’accès et à la portabilité
exercice des droits de rectification et d’effacement
exercice des droits de limitation du traitement et d’opposition
relations avec les sous-traitants
garanties entourant le ou les transferts internationaux

Il faut s’aider des référentiels sectoriels, des codes de conduite, des labels et marques.

Et enfin analyser les risques pour les personnes concernées : les atteintes potentielles à la vie privée

Pour chaque événement redouté (accès illégitime à des données, modification non désirée de données et disparition de données) :

déterminer les impacts potentiels sur la vie privée des personnes concernées s’ils survenaient
estimer sa gravité, notamment en fonction du caractère préjudiciable des impacts potentiels et, le cas échéant, des mesures susceptibles de les modifier ;
identifier les menaces sur les supports des données qui pourraient mener à cet événement redouté et les sources de risques qui pourraient en être à l’origine ;
estimer sa vraisemblance, notamment en fonction des vulnérabilités des supports de données, des capacités des sources de risques à les exploiter et des mesures susceptibles de les modifier.

Déterminer si les risques initiaux peuvent être jugés acceptables compte tenu des mesures existantes ou prévues.

Dans le cas contraire, proposer des mesures complémentaires et réévaluer le niveau des risques en tenant compte de celles-ci, afin de déterminer les risques résiduels.

Qui est impliqué ?

Le responsable du traitement (RT)
- Les équipes du RT dont les équipes du métier concerné (MOA, MOE), les responsables de la conformité, les équipes juridiques
- Le RT peut déléguer à des conseils extérieurs mais cela reste sous sa responsabilité
Le DPO
- Conseil et vérification d’exécution, évaluation des mesures et risques résiduels, suggère les PIA
Les personnes concernées (ou leurs représentants), le cas échéant
- Leur avis peut être pris et documenté
Les sous-traitants
- Assistance et fourniture d’informations
Le RSSI ou la direction informatique
- Proposition de mener un DPIA, assistance

Pour aller plus loin

Analyse d'impact Questionnaires et PIA Associer un risque à un traitement

Dernière mise à jour il y a 3 ans