PIA RGPD : l'analyse d'impact pour la protection des données

Le RGPD impose aux responsables de traitement des données de réaliser une analyse d'impact sur la protection des données (PIA) avant de mettre en œuvre un nouveau traitement de données. Le PIA permet d'identifier les risques pour les droits et libertés des personnes concernées par le traitement des données et de trouver des mesures pour protéger les données de ces personnes.

La protection des données : la priorité du RGPD

Pour rappel, le RGPD est le Règlement général sur la protection des données, entré en vigueur le 25 mai 2018. Il encadre la collecte et le traitement des données personnelles circulant sur le territoire de l'Union Européenne. Sa priorité elle la protection de ces données.

Toutes les entreprises traitant des données personnelles dans l'Union Européenne doivent alors se conformer au RGPD.

La notion de Privacy Impact Assessment (PIA)

Le Privacy Impact Assessment (PIA), ou Analyse d'Impact relative à la Protection des Données (AIPD), est le plan d'action qui met en oeuvre les dispositions du RGPD. Il s'agit d'un outil qui évalue les risques pour les droits et libertés des personnes, au regard du traitement de leurs données personnelles. Elle permet de déterminer si les dispositions du RGPD ont bien été respectées par l'organisme en question, et les mesures à mettre en oeuvre pour protéger les données.

Les résultats de l'analyse d'impact font ensuite l'objet d'un document écrit et signé par le responsable de traitement. Cette analyse doit être mise à jour à chaque modification du traitement. De plus, elle doit être effectuée au moins tous les trois ans.

Une analyse d'impact peut porter sur un traitement en particulier, ou plusieurs traitements similaires. Par exemple, une analyse d'impact effectuée pour le dispositif de vidéosurveillance d'une collectivité peut servir aux autres collectivités qui utiliseraient des dispositifs similaires.

Cette analyse d'impact est prévue à l'article 35 du RGPD.

Le PIA est donc une notion très importante pour le RGPD. Le règlement européen pour la protection des données doit être respecté par toutes les entreprises qui, en cas de non-respect, s'exposent à des sanctions administratives et financières. N'hésitez pas à faire appel aux experts de Myformality si vous souhaitez effectuer une mise en conformité avec le RGPD. Découvrez également toutes nos offres concernant la protection des données.

L'analyse d'impact est-elle obligatoire ?

La PIA est une obligation légale à partir du moment où une entreprise traite des données personnelles et que ces traitements peuvent engendrer des risques élevés pour les droits et libertés des personnes concernées. Cette procédure doit être effectuée en amont du traitement des données personnelles afin de s'assurer de la conformité avec le RGPD.

La PIA doit être effectuée de nouveau à chaque nouveau traitement qui représenterait un risque élevé pour la protection des données et de la vie privée des individus.

Le traitement de données personnelles présente des risques élevés lorsque :

Il fait partie de la liste des quatorze traitements pour lesquels la CNIL considère qu'il est obligatoire de réaliser une AIPD.
Il remplit au minimum un des neuf critères prévus par les lignes directrices du G29.

De plus, la CNIL a mis en place une liste contenant les traitements de données qui n'ont pas à faire l'objet d'une analyse d'impact.

En définitive, une AIPD n'est pas nécessaire lorsque :

Le traitement fait partie de la liste des exceptions prévues par la CNIL
Le traitement ne représente pas un risque élevé pour les droits et libertés des personnes, tels que ceux figurant dans la liste de la CNIL et les lignes directrices du G29
Le type traitement a déjà fait l'objet d'une AIPD pour un autre traitement similaire
Le traitement est effectué au vu d'une obligation légale

Qui intervient dans la réalisation d’une analyse d’impact ?

Le responsable de traitement doit s'assurer de la mise en conformité des traitements de données personnelles avec le RGPD. Par conséquent, l'AIPD doit être réalisé par lui ou pour son compte. S'il dispose d'un sous-traitant, celui-ci doit l'assister dans la réalisation de l'AIPD.

D'autres personnes seront également impliquées dans des conseils de réalisation et de vérification de l'analyse d'impact. Il s'agit du Délégué à la Protection des Données personnelles (DPO), de lapersonne chargée de la sécurité du système d'information, de l'équipe métier (maîtrise d'ouvrage et maîtrise d'oeuvre), ou encore les personnes concernées (par l'intermédiaire d'un sondage par exemple).

Comment faire une PIA dans le cadre du RGPD ?

Selon les lignes directices du G29, la réalisation d'une analyse d'impact passe pas plusieurs étapes :

Une identification et une description des différentes opérations de traitements réalisés dans l'entreprise ainsi que leurs finalités
Une évaluation des risques sur les droits et libertés des personnes concernées
La mise en place de mesures de sécurité adéquates et conformes au RGPD afin de protéger les données personnelles

Une fois l'AIPD réalisée, elle peut faire l'objet d'un rapport qui peut être publié et communiqué.

L'analyse d’impact doit-elle être transmise à la CNIL ?

Rappelons que la Commission Nationale de l'Informatique et des Libertés (CNIL) est l'autorité régulatrice des données personnelles. Elle veille au respect de la mise en conformité RGPD des entreprises et accompagne les personnes concernées dans l'exercice de leurs droits.

Après la réalisation d'une analyse d'impact, celle-ci doit être transmise à la CNIL si le niveau de risque relatif aux traitements de données personnelles reste élevé, et/ou lorsque la législation nationale d'un Etat membre l'impose.

Les sanctions en cas de manquements

Dans le cas où un organisme ne respecterait pas les dispositions relatives à l'analyse d'impact, elle s'expose à des sanctions. Selon l'article 83 du RGPD, le montant des amendes peut s'élever jusqu'à 10 000 000 d'euros, ou jusqu'à 2% du chiffre d'affaires annuel mondial total de l'exercice précédent.