Article: Le PIA : Une obligation dans le cadre du règlement européen

Les termes PIA et EIVP (respectivement Privacy Impact Assessment, ou encore Etude d’Impacts sur la Vie Privée) vont voir leur importance décuplée lors de l’application effective du règlement européen (RGPD) sur la protection des données. Il s’agit de pouvoir effectuer une étude sur les conséquences potentielles des impacts sur la vie privée des personnes.

Une étude d’impact repose sur une méthodologie rédigée par la CNIL elle même basée sur la méthodologie EBIOS. Cette méthodologie a pour fondement de mettre en corrélation le caractère vraisemblable de réalisation d’un risque avec la gravité des impacts sur la vie privée des personnes.

Par exemple,

Vraisemblance
En fonction des mesures de sécurité tant physique que logique et juridique, une personne tierce à un organisme pourra plus ou moins facilement pénétrer dans un système d’informations pour subtiliser, corrompre, voire détruire certaines catégories de données. Ce critère de vraisemblance est donc échelonné sur quatre niveaux, allant d’un statut négligeable supposant une sécurité globale répondant aux recommandations de la Commission à un statut maximal du fait d’une sécurité hautement insuffisante.
L’appréciation de ces critères sera soumise à l’analyse du DPO (Data Protection Officer) qui, du fait de ses compétences requises en matière juridico-technique, sera à même de dresser un constat objectif.

Gravité
Cette vraisemblance graduée fait écho à la gravité des conséquences du risque sur la personne. Là encore, la graduation est fait suivant quatre échelons, le négligeable correspondant généralement à un simple stress ou énervement occasionné alors que le maximal peut significativement réduire les libertés fondamentales, voire aboutir au décès de la personne concernée.

Résultat
Après le calcul de la gravité et de la vraisemblance, un croisement des résultats est effectué pour positionner les différents risques sur une échelle de vraisemblance / gravité. Il appartiendra alors au DPO de constater si des risques présentant une vraisemblance et/ou une gravité trop élevée doivent faire l’objet d’actions correctrices afin de maintenir une conformité optimale des traitements de données effectuées par l’organisme.

La PIA sera obligatoire dans plusieurs cas recensés par la réglementation, à savoir :

  • pour les traitements de données sensibles effectuées à grande échelle
  • pour la surveillance systématique à grande échelle d’une zone accessible au public
  • pour les traitements automatisés ayant pour finalité l’évaluation systématique et approfondie d’aspects personnels concernant des personnes sur la base de laquelle sont prises des décisions produisant des effets juridiques.

L’étude d’impacts constituera donc une pièce justificative de plus à conserver lors d’un éventuel contrôle d’une autorité afin de prouver la conformité de votre organisme. De plus, une EIVP pourra éventuellement être demandée dans le cadre d’un traitement nécessitant autrefois une demande d’autorisation auprès de la CNIL, et ce notamment pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes.

ACTECIL a mis en place plusieurs prestations afin de vous aider à réaliser des PIA :

  • La formation PIA : PRIVACY IMPACT ASSESSMENT / ANALYSE D’IMPACT SUR LA VIE PRIVEE. Cette formation d’un jour a pour objectif d’appréhender cette nouvelle approche du règlement européen sur la protection des données personnelles (RGPD), d’identifier quand et comment procéder. Plus d’informations.
  • La suite logiciel Actecil Privacy Manager (APM). APM, dont sont tirées les impressions d’écran de l’article, permet de réaliser des études d’impacts pour chaque traitement du registre.
  • E-Assistance DCP. Actecil répond à distance à toutes vos intérrogations concernant le Règlement Européen et en particluer le PIA.

Actualité du Groupe


7 août 2017 : La Vidéosurveillance sur le lieu de travail
17 juillet 2017 : ActeCil obtient son 9e Label : le label CNIL Audit de traitements pour le secteur des Collectivités !
7 juillet 2017 : Les sites internet et la conformité légale
4 juillet 2017 : Plus que 8 jours pour participer à notre séminaire gratuit sur le «Règlement Général sur la Protection des Données (RGPD) ».
22 juin 2017 : Flash info : certification OPQF en cours
21 juin 2017 : ActeCil aux 40e Rencontres de l’ANCCAS à Cabourg
19 juin 2017 : Nos matinales : pour en savoir plus sur le RGPD !
14 juin 2017 : MISE À JOUR D’APM V18: DIAGNOSTICS, RGPD, Registre sous-traitant
9 mai 2017 : Registre du CIL – un registre entièrement ouvert au public ?
30 mars 2017 : Le PIA : Une obligation dans le cadre du règlement européen
accueil Blog Actu-CIL