PIA

Sous quelles conditions faut-il réaliser un PIA pour se conformer aux principes du RGPD?

Le PIA, Privacy Impact Assessment, est l’étude qui doit être menée dès lors qu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. L’étude d’impact permet de s’assurer que le traitement est conforme aux principes du RGPD, d’anticiper les risques associés au traitement et de déterminer les mesures à mettre en œuvre pour les éviter.  

 
La réponse au sondage « Dans l’idéal, quel est le meilleur moment pour réaliser un PIA dans la mise en œuvre d’un traitement ? »

À l’occasion d’un sondage réalisé le 18 janvier dernier sur notre page LinkedIn, nous vous avons demandé quel est le meilleur moment pour réaliser un PIA dans la mise en œuvre d’un traitement. 

Vous avez été fort ! Sur 161 votants, 91 % d’entre vous ont voté « Avant ».  

En effet, dans l’idéal, il faut réaliser l’étude d’impact avant  la mise en œuvre du traitement. Cette règle est prévue à l’article 62 de la Loi informatique et liberté de 1978, modifiée par le RGPD. L’analyse d’impact doit évoluer dans le temps, en cas de changement dans la réalisation du traitement, le responsable du traitement doit modifier l’analyse et l’adapter aux nouveaux enjeux. 

Qui met en œuvre le PIA ? 

Il faut étudier l’impact du traitement dans son ensemble. Le traitement commence dès la collecte des données et se termine par leur suppression ou leur anonymisation. Il faut donc envisager les risques entre ces deux étapes. Il ne faut pas oublier de considérer l’intervention d’un ou plusieurs sous-traitants dans la réalisation du traitement. 

Pour résumer, le PIA doit être réalisé par le responsable de traitement et le DPO. Le responsable du traitement a la charge de réaliser cette étude pour les traitements de données qu’il opère. Le DPO assiste le responsable dans la réalisation du PIA. Le sous-traitant doit collaborer avec le responsable du traitement, dès lors qu’il intervient au cours du traitement des données concernées par l’étude d’impact. 

Comment savoir si un PIA doit être réalisé ? 

Tous les traitements ne nécessitent pas une analyse d’impact préalable. L’article 35 du RGPD prévoit que l’analyse d’impact est nécessaire dès lors que le traitement de données « est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes”. L’article liste trois grandes catégories de traitements susceptibles d’engendrer un risque élevé : 

  • La prise de décision automatisée résultant de l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, 
  • Le traitement à grande échelle de données sensibles ou à caractère hautement personnel (origine raciale ou ethnique, opinion politique, convictions religieuses, appartenance syndicale, condamnations pénales et infractions, etc.) 
  • La surveillance systématique à grande échelle d’une zone accessible au public 

Cette liste n’est pas limitative, il existe d’autres situations dans lesquelles un PIA peut s’avérer nécessaire. Le G29 (dénommé désormais le CEPD) a publié des lignes directrices pour guider les acteurs du traitement de données dans la réalisation du PIA (https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf).  

Il considère qu’il existe 9 critères permettant d’identifier la nécessité de réaliser un PIA  1

  • L’évaluation ou la notation (activité de profilage comprise), 
  • La prise de décision automatisée avec effet juridique ou similaire, 
  • La surveillance systématique, 
  • Le traitement de données sensibles, 
  • Le traitement de données à grande échelle, 
  • Le croisement ou la combinaison d’ensemble de données, 
  • Le traitement de données de personnes vulnérables, 
  • L’utilisation d’une nouvelle technologie, 
  • Le recours à un traitement limitant l’exercice d’un droit ou l’accès à un service ou un contrat 

Un PIA est nécessaire dès lors que le traitement répond a minima à deux de ces critères. Le responsable du traitement peut toutefois juger qu’il doit réaliser un PIA si le traitement ne répond qu’à un critère. En cas de doute sur la nécessité de réaliser un PIA, le G29 recommande au responsable de traitement d’en effectuer un. Même s’il ne s’avère pas nécessaire, cette analyse témoigne de ses efforts de conformité au RGPD. La publication du PIA n’est pas obligatoire, mais ce document sera notamment utile en cas de contrôle de la CNIL. Concrètement, qu’est-ce qu’un PIA ? 

Le PIA (appelé aussi AIPD, analyse d’impact ou étude d’impact) est l’analyse d’un traitement qui peut représenter un risque pour les personnes dont les données sont traitées. Le risque est défini comme étant un évènement potentiellement réalisable qui engagerait une perte de disponibilité, d’intégrité ou de confidentialité des données traitées. Au cours de l’analyse d’impact, le responsable du traitement doit évaluer ce risque et envisager les menaces qui conduiraient à sa réalisation. 

Le PIA permet de démontrer que les principes de protection des données personnelles sont respectés dans la réalisation du traitement. Il justifie que des moyens sont mis en œuvre pour assurer la conformité du traitement au RGPD. Mission RGPD vous facilite vos analyses d’impact 

C’est une analyse qui s’avère très complexe si vous n’y connaissez rien !  

Grâce à Mission RGPD, réalisez simplement vos PIA. Lancez-vous dans la rédaction d’une analyse d’impact en accédant à notre module dédié ; ou en remplissant vos fiches de traitement, le logiciel vous préconise de réaliser une étude si nécessaire. 

Vous documentez l’ensemble de vos analyses d’impact grâce à un outil collaboratif et intuitif. 

Ne perdez plus de temps, c’est si simple !

Author

Marie Gossiôme

Juriste junior Protection des Données Personnelles chez Mission RGPD

Votre diagnostic RGPD en 5 min 🚀

Êtes-vous sûr de votre conformité ? 

Pour savoir où vous en êtes, faites votre diagnostic gratuit en ligne, en répondant au questionnaire, pour obtenir votre niveau de maturité RGPD et les recommandations de nos experts.