Rejoignez-nous sur les réseaux sociaux !

GDPR : l’analyse d’impact en 10 questions

Préconisée par l’article 35 du règlement européen, l’analyse d’impact est un bon outil de responsabilisation pour les entreprises. Il permet à la fois de se conformer aux exigences du GDPR et de démontrer auprès des autorités de contrôle que des mesures appropriées ont été prises pour assurer la conformité. Selon la CNIL, le DPIA (Data protection Impact Assessment), synonyme de PIA (Privacy Impact Assessment) est donc « un processus pour construire et démontrer la conformité ».

 

Une étude d’impact, c’est quoi ?

Elle s’adresse aux responsables de traitements qui souhaitent justifier leur démarche de conformité et les mesures qu’ils ont choisies (notion d’Accountability en anglais) pour respecter les droits et libertés des personnes dont ils récoltent les données à caractère personnel.

Elle s’adresse aussi aux fournisseurs de produits qui souhaitent montrer que leurs solutions ne portent pas atteinte à la vie privée dans une logique de conception respectueuse de la vie privée (notion de Privacy by Design en anglais).

Une étude d’impact est donc un processus qui doit décrire un traitement. Elle est obligatoire pour les traitements susceptibles de présenter des risques élevés ou probables « aux droits et libertés des individus ».

Si une entreprise ou une organisation identifie des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, elle doit mener, pour chacun de ces traitements, une étude d’impact sur la protection des données (en anglais, Privacy Impact Assessment ou PIA).

 

Une étude d’impact, à quoi ça sert ?

Réaliser cette démarche va permettre de :

Construire un traitement de données personnelles ou un produit respectueux de la vie privée.

Apprécier les impacts sur la vie privée des personnes concernées.

Démontrer que les principes fondamentaux du règlement sont respectés.

 

Une étude d’impact est-elle obligatoire ?

Sa réalisation n’est pas obligatoire pour chaque traitement.  Un DPIA ou PIA est exigé quand le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques » (article 35).

Les traitements qui présentent au moins deux ce ces critères de cette liste doivent faire l’objet d‘une analyse d’impact :

  • évaluation/scoring (y compris le profilage) 
  • décision automatique avec effet légal ou similaire 
  • surveillance systématique 
  • collecte de données sensibles 
  • collecte de données personnelles à large échelle 
  • croisement de données 
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) 
  • usage innovant (utilisation d’une nouvelle technologie) 
  • exclusion du bénéfice d’un droit/contrat

Dans quel(s) cas un DPIA ou PIA n’est pas obligatoire ?

  • quand le traitement ne présente pas de risque élevé pour les droits et libertés des personnes concernées
  • lorsque la nature, la portée, le contexte et les finalités du traitement envisagé sont très similaires à un traitement pour lequel un DPIA a déjà été mené
  • quand le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public (art 6.1.c 6.1.e), sous réserve que certaines conditions soient remplies.

Qui doit mener l’étude d’impact ?

D’une manière générale, un PIA est mené par un responsable de traitement ou un fournisseur de produit.

 

Analyse d’impact : avant ou après la mise en œuvre d’un traitement ?

Une analyse d’impact doit être menée avant la mise en œuvre d’un traitement. Toutefois, dans une logique d’amélioration continue, elle devra être mise à jour tout au long du cycle de vie dudit traitement.

 

Comment faire une analyse d’impact ?

La CNIL a publié une infographie qui explique les grands principes de l’analyse d’impact :

Visuel de la CNIL sur le PIA

En quoi une analyse d’impact est-elle un outil stratégique de développement ?

Comme elle reflète les mesures de sécurité mises en œuvre par l’entreprise pour assurer la conformité, l’analyse d’impact peut ainsi être envisagée comme un avantage concurrentiel non négligeable pour un acteur qui justifie une telle garantie. L’étude d’impact est donc un outil indispensable qui doit être mené selon une approche juridique et technique.

Faut-il transmettre son analyse d’impact à la CNIL ?

Oui, si la législation nationale d’un État membre l’exige.

Oui, en cas de contrôle de la CNIL.

Oui, si le niveau de risque résiduel est élevé.

En cas de manquement, quelle sanction ?

Si vous êtes administration, l’amende peut aller jusqu’à 10 millions d’euros.

Dans le cas d’une entreprise, l’amende peut aller jusqu’à 2% du chiffre d’affaires annuel mondial.

(Source : CNIL)

Besoin d’accompagnement dans vos démarches de mise en conformité ? NOVENCIA peut vous conseiller !

Sur le sujet

GDPR : L’Europe demande de passer à la vitesse supérieure !
GDPR : Une entreprise sur 5 craint de mettre la clé sous la porte !
GDPR : Comment passer à l’action ?
GDPR : les entreprises européennes ne mesurent pas l’urgence !