Parmi les nouvelles obligations qui pèsent sur les responsables de traitement figure la réalisation d’une analyse d’impact – ou PIA en anglais (pour Privacy Impact Assessment).
Polyanna Bigle, qui dirige le département Sécurité numérique du cabinet Lexing Alain Bensoussan Avocats, nous en décrypte les enjeux près d’un an après l’entrée en application effective du RGPD.
Quand la conduite d’une analyse d’impact est-elle obligatoire ?
Lorsqu’un traitement de données est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes concernées (l’article 35 du RGPD).
En pratique, soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact, soit le responsable du traitement détecte qu’un traitement de données personnelles remplit au moins 2 critères des 9 critères qu’a posés la CNIL.
Quels sont ces critères ?
Lorsque le traitement vise par exemple des données personnelles particulières comme les données de santé ou encore celles qui concernent les personnes vulnérables, ou encore des données traitées par profilage, surveillance systématique, voire des données collectées à large échelle, un croisement de données, etc.
Mais cela n’est pas exclusif car il faut également prendre en considération le risque que pourrait engendrer le traitement non pas sur le SI du responsable de traitement, mais sur les droits et libertés des personnes concernées par le traitement objet du PIA.
En quoi consiste en pratique l’analyse d’impact ?
Il s’agit d’une analyse méthodique visant à vérifier si le responsable de traitement a suffisamment protégé les données personnelles de façon à ce qu’il n’existe plus ou que de manière résiduelle aucun risque élevé pour les droits et libertés des personnes concernées.
La CNIL propose une méthode et un outil de PIA. D’autres prestataires proposent également des méthodes et outils de PIA. Ainsi, notre cabinet a d’ores et déjà intégré dans sa pratique juridique la possibilité de réalisation d’une analyse de l’impact sur la protection des données personnelles des opérations de traitement envisagées, afin de :
- justifier de la nécessité et de la proportionnalité des opérations de traitement en cause ;
- identifier les risques pour les droits et libertés des personnes ;
- évaluer ces risques en termes d’impact et de probabilité d’occurrence ;
- identifier les mesures additionnelles à mettre en place afin de prévenir les risques ;
- organiser, le cas échéant, la mise en œuvre des mesures protectrices.
En pratique, l’analyse d’impact se réalise en deux temps : il faut d’abord s’assurer, dans le cadre d’une cartographie, que le traitement est bien conforme au RGPD ; l’étape suivante consiste à évaluer le risque de ce traitement pour les droits et les libertés des personnes.
Concernant le contenu de cette analyse d’impact, celle-ci doit contenir au moins :
- une description systématique des opérations de traitement envisagées et des finalités du traitement ;
- une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;
- une évaluation des risques pour les droits et libertés des personnes concernées ;
- les mesures envisagées pour faire face aux risques.
Comundi, en partenariat avec Lexisnexis et le cabinet Lexing Alain Bensoussan Avocats, a conçu 13 ateliers consacrés au règlement européen sur la protection des données personnelles.
Selon le rythme que vous souhaitez, vous pourrez choisir des ateliers à l’unité ou vous orienter vers des packs vous permettant de suivre plusieurs ateliers sur une ou deux journées complètes.
Au choix, ces 13 ateliers vous permettront d’aborder des problématiques de nature diverse allant des fondamentaux du RGPD à l’étude d’impact (PIA), en passant par le contrôle de la CNIL, les transferts internationaux de données ou les sollicitations des particuliers et des entreprises, consultez le programme de nos ateliers.