PIA : Ma collecte de données est-elle conforme au RGPD ?

PIA : Ma collecte de données est-elle conforme au RGPD ?
Article RGPD

Dans quels cas une PIA est-elle obligatoire ?

Comme indiqué précédemment, il est obligatoire de mener une PIA (aussi connu sous le nom de AIPD RGPD ou DAIPD RGPD) quand le traitement des données peut engendrer un risque élevé pour les droits et libertés des personnes concernées par la collecte, comme dans les cas suivants :

1. Le traitement figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL (autorité de contrôle du Règlement Général européen sur la Protection des Données) requiert une PIA // https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-requise.pdf

2. Le traitement de donnée remplit au moins deux des critères suivants :

  • Evaluation/profilage
  • Décision automatique avec effet légal ou similaire
  • Surveillance systématique
  • Collecte des données sensibles
  • Collecte de données personnelles à grande échelle
  • Croisement de données
  • Données concernant des personnes vulnérables (patients, enfants, personnes âgées)
  • Usage innovant avec l’utilisation d’une nouvelle technologie
  • Exclusion du bénéfice d’un droit et d’un contrat

Comment mener une analyse d’impact sur la vie privée ?

Une analyse d’impact sur la vie privée (PIA RGPD) doit contenir au minimum :

  • Une description des opérations de traitement, des finalités du traitement de données, une description de l’intérêt légitime du responsable de traitement pour la collecte et le traitement de ces données personnelles
  • Une évaluation de la nécessité et de la proportionnalité des différentes opérations de traitement en fonction des finalités de ces traitements de données
  • Une évaluation des risques sur les droits et libertés des personnes concernées par la collecte et le traitement de données à caractère person

Pour réaliser cette analyse d’impact, la CNIL décrit la méthode suivante :

  1. Délimitation et description du contexte des traitements de données
  2. Analyse des mesures garantissant la proportionnalité et la nécessité des traitements de données, ainsi que la protection des droits des personnes concernées
  3. Appréciation des risques sur la vie privée liés à la sécurité des données à caractère personnel
  4. Formalisation de la validation de l’analyse d’impact sur la vie privée en fonction des éléments précédents

Qu’est-ce qu’une PIA RGPD ?

Une AIPD RGPD (PIA RGPD : Privacy Impact Assessment) en anglais, est l’analyse d’impact relative à la protection des données (AIPD, en français). Il s’agit d’une étape clé dans la mise en conformité de votre structure. Elle responsabilise le Délégué de la Protection des Données et ses relais. C’est outil permettant de construire un traitement de données conforme au RGPD et respectueux de la vie privée des personnes concernées par la collecte et le traitement de données à caractère personnel. En effet, un traitement de données personnelles peut engendrer un risque pour les droits et libertés des personnes concernées. L’AIPD permettra de mettre en œuvre un niveau de sécurité proportionné au risque que le traitement présente.

La AIPD RGPD est obligatoire pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés de la vie privée des personnes concernées par la collecte et le traitement des données.

D’ailleurs, une AIPD RGPD peut concerner un seul traitement de données ou un ensemble de traitements similaires. Par exemple : la SNCF peut effectuer une seule analyse d’impact sur le dispositif de la surveillance vidéo déployé dans ses différentes gares.

Qu’est-ce qu’un risque sur la vie privée ?

Dans le cadre d’une PIA RGPD, un risque sur la vie privée des personnes concernées par la collecte et le traitement de données à caractère personnel peut être :

  • Un événement redouté : comme une atteinte à la confidentialité ou à l’intégrité des données et les potentiels impacts de ces atteintes sur les droits et libertés des personnes concernées par la collecte et le traitement des données à caractère personnel
  • Toutes les menaces portant sur les droits et libertés des personnes concernées par la collecte et le traitement des données

Ce risque est estimé en gravité et vraisemblance. D’ailleurs, la gravité de ce risque est évaluée pour les personnes concernées et non pour l’entreprise responsable du traitement de données.

Se former à la réalisation d’une PIA RGPD

Pour vous accompagner dans la réalisation de votre analyse d’impact sur la vie privée, notre pôle formation RGPD Academy vous met à disposition une formation spécialisée :
Formation Analyse d’Impact sur la vie Privée (AIPD) (classe virtuelle) : cette formation de 2 demi-journées s’adresse aux DPO, RSSI et chef de projet.

Lors de cette formation vous allez :

  1. Déterminer et mettre en place une méthodologie d’analyse d’impact d’un traitement sur les personnes concernées
  2. Développer les outils (référentiels, grille d’analyse) permettant de gérer les risques et menaces
  3. Accompagner et documenter la prise de décision
  4. Analyser l’évaluation des résultats de l’analyse d’impact sur la vie privée (exploitation des résultats, appréciations des risques sur la vie privée, validation de la AIPD)

Qui peut réaliser une analyse d’impact sur la vie privée ?

L’analyse d’impact sur la vie privée doit être réalisée par le DPO ou par la personne chargée de la conformité au sein de l’entreprise. Si le responsable de traitement a désigné un délégué à la protection des données pour son entreprise, c’est le DPO qui sera chargé de mettre en place cette analyse et d’assurer la mise en conformité au RGPD de la structure où il opère.

De plus, cette analyse demandera l’intervention des responsables du projet et des techniciens encadrant son développement.

Partager l'article

Articles similaires

Nouveau projet code de conduite USH
Article RGPD

Nouveau projet code de conduite USH

Le pack de conformité logement social » est obsolète et ne peut plus être considéré comme un « référentiel sectoriel
Lire la suite
Publicité ciblée, Stratégie de Digital Marketing et RGPD
Article RGPD

Publicité ciblée, Stratégie de Digital Marketing et RGPD

Comprendre les notions de Publicité Ciblée, Stratégie de Digital Marketing, et l’impact du Règlement (UE) "2016/679" dit « RGPD » sur ces dernières.
Lire la suite