Le RGPD impose aux responsables de traitement des données de réaliser une analyse d'impact sur la protection des données (PIA) avant de mettre en œuvre un nouveau traitement de données. Le PIA permet d'identifier les risques pour les droits et libertés des personnes concernées par le traitement des données et de trouver des mesures pour protéger les données de ces personnes.
La protection des données : la priorité du RGPD
Pour rappel, le RGPD est le Règlement général sur la protection des données, entré en vigueur le 25 mai 2018. Il encadre la collecte et le traitement des données personnelles circulant sur le territoire de l'Union Européenne. Sa priorité elle la protection de ces données.
Toutes les entreprises traitant des données personnelles dans l'Union Européenne doivent alors se conformer au RGPD.
La notion de Privacy Impact Assessment (PIA)
Le Privacy Impact Assessment (PIA), ou Analyse d'Impact relative à la Protection des Données (AIPD), est le plan d'action qui met en oeuvre les dispositions du RGPD. Il s'agit d'un outil qui évalue les risques pour les droits et libertés des personnes, au regard du traitement de leurs données personnelles. Elle permet de déterminer si les dispositions du RGPD ont bien été respectées par l'organisme en question, et les mesures à mettre en oeuvre pour protéger les données.
Les résultats de l'analyse d'impact font ensuite l'objet d'un document écrit et signé par le responsable de traitement. Cette analyse doit être mise à jour à chaque modification du traitement. De plus, elle doit être effectuée au moins tous les trois ans.
Une analyse d'impact peut porter sur un traitement en particulier, ou plusieurs traitements similaires. Par exemple, une analyse d'impact effectuée pour le dispositif de vidéosurveillance d'une collectivité peut servir aux autres collectivités qui utiliseraient des dispositifs similaires.
Cette analyse d'impact est prévue à l'article 35 du RGPD.
Le PIA est donc une notion très importante pour le RGPD. Le règlement européen pour la protection des données doit être respecté par toutes les entreprises qui, en cas de non-respect, s'exposent à des sanctions administratives et financières. N'hésitez pas à faire appel aux experts de Myformality si vous souhaitez effectuer une mise en conformité avec le RGPD. Découvrez également toutes nos offres concernant la protection des données.
L'analyse d'impact est-elle obligatoire ?
La PIA est une obligation légale à partir du moment où une entreprise traite des données personnelles et que ces traitements peuvent engendrer des risques élevés pour les droits et libertés des personnes concernées. Cette procédure doit être effectuée en amont du traitement des données personnelles afin de s'assurer de la conformité avec le RGPD.
La PIA doit être effectuée de nouveau à chaque nouveau traitement qui représenterait un risque élevé pour la protection des données et de la vie privée des individus.
Le traitement de données personnelles présente des risques élevés lorsque :
- Il fait partie de la liste des quatorze traitements pour lesquels la CNIL considère qu'il est obligatoire de réaliser une AIPD.
- Il remplit au minimum un des neuf critères prévus par les lignes directrices du G29.
- Le traitement fait partie de la liste des exceptions prévues par la CNIL
- Le traitement ne représente pas un risque élevé pour les droits et libertés des personnes, tels que ceux figurant dans la liste de la CNIL et les lignes directrices du G29
- Le type traitement a déjà fait l'objet d'une AIPD pour un autre traitement similaire
- Le traitement est effectué au vu d'une obligation légale
Qui intervient dans la réalisation d’une analyse d’impact ?
Comment faire une PIA dans le cadre du RGPD ?
Selon les lignes directices du G29, la réalisation d'une analyse d'impact passe pas plusieurs étapes :
- Une identification et une description des différentes opérations de traitements réalisés dans l'entreprise ainsi que leurs finalités
- Une évaluation des risques sur les droits et libertés des personnes concernées
- La mise en place de mesures de sécurité adéquates et conformes au RGPD afin de protéger les données personnelles
Une fois l'AIPD réalisée, elle peut faire l'objet d'un rapport qui peut être publié et communiqué.
L'analyse d’impact doit-elle être transmise à la CNIL ?
Les sanctions en cas de manquements