Comment réaliser un PIA ? Les points essentiels

par Nov 10, 2020Métier

Sommaire de l’article « Comment réaliser un PIA ? Les points essentiels »

  • Qu’est-ce qu’un PIA ?
  • Dans quel cas réaliser un PIA ? 
  • Comment réaliser un PIA ?

Cet article est tiré du webinaire « Comment réaliser un PIA en pratique : les points essentiels » que vous pouvez retrouver ici 

Qu’est-ce qu’un PIA ? 

Le PIA (Privacy impact assessment) a pour objectif de construire et de démontrer la mise en œuvre des principes de protection de la vie privée afin que les personnes concernées par les traitements de données conservent la maîtrise de leurs données personnelles. Ces principes sont à la fois juridiques (contrats avec les acteurs, mentions d’informations…) mais également techniques (pare-feu, chiffrement…).

Dans quel cas réaliser un PIA ? 

L’analyse d’impact doit être effectuée par le responsable de traitement dès lors qu’un type de traitement, en particulier par le recours à de nouvelles technologies et compte tenu de la nature, de la portée, du contexte et de ses finalités, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Si le traitement remplit au moins deux des critères posés par le G29, l’analyse d’impact est nécessaire :

  • Evaluation/Scoring 
  • Décision automatique avec effet légal 
  • Surveillance systématique 
  • Données sensibles 
  • Large échelle 
  • Croisement de données
  • Personnes vulnérables 
  • Usage innovant 
  • Transfert hors UE 
  • Blocage d’un droit/contrat 

L’analyse d’impact n’est pas nécessaire :

  • Si le traitement n’est pas susceptible d’engendrer des risques élevés 
  • Si le traitement est déjà autorisé, tant qu’il respecte les conditions de mise en œuvre 
  • Base légale 

La CNIL met à disposition une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise.

Mais également une liste de traitement qui ne requiert pas d’analyses d’impact.

Replay webinar : comment réaliser un PIA ? Les points essentiels

Comment réaliser un PIA ? 

Le PIA peut se diviser en plusieurs étapes :

  • Rédaction de l’analyse 

Réalisation d’un schéma fonctionnel du traitement détaillant les flux de données personnelles et leurs supports, de leur collecte à leur destruction.
Il faut ensuite identifier les mesures de sécurité juridique, physiques, logiques et organisationnelles mises en œuvre ou prévues par le responsable du traitement pour respecter les exigences légales et traiter les risques sur la vie privée de manière proportionnée.

Par la suite, vous devez identifier les violations potentielles des données, en précisant la gravité des impacts sur les personnes concernées et la vraisemblance des menaces rendant possibles ces violations.

  • Evaluation 

Le responsable de l’analyse (DPO interne, externe, prestataire…) va ensuite évaluer l’efficacité des mesures mises en place pour venir réduire le risque du traitement. Le but étant d’avoir un risque résiduel pour la mise en place du traitement de données. 

  • Validation 

Dernière étape, prendre la décision de valider la manière dont il est prévu de respecter les principes de protection de la vie privée et de traiter les risques, ou bien réviser les étapes précédentes.

Si les risques restent trop importants, il faut alors solliciter une autorisation auprès de la CNIL. 

Retrouvez comment gérer un PIA dans Mission RGPD ici

PIA - logiciel RGPD essai gratuit

0 commentaires

Soumettre un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *