PIA : Ma collecte de données est-elle conforme au RGPD ?
Dans quels cas une PIA est-elle obligatoire ?
Comme indiqué précédemment, il est obligatoire de mener une PIA (aussi connu sous le nom de AIPD RGPD ou DAIPD RGPD) quand le traitement des données peut engendrer un risque élevé pour les droits et libertés des personnes concernées par la collecte, comme dans les cas suivants :
1. Le traitement figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL (autorité de contrôle du Règlement Général européen sur la Protection des Données) requiert une PIA // https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-requise.pdf
2. Le traitement de donnée remplit au moins deux des critères suivants :
- Evaluation/profilage
- Décision automatique avec effet légal ou similaire
- Surveillance systématique
- Collecte des données sensibles
- Collecte de données personnelles à grande échelle
- Croisement de données
- Données concernant des personnes vulnérables (patients, enfants, personnes âgées)
- Usage innovant avec l’utilisation d’une nouvelle technologie
- Exclusion du bénéfice d’un droit et d’un contrat
Comment mener une analyse d’impact sur la vie privée ?
Une analyse d’impact sur la vie privée (PIA RGPD) doit contenir au minimum :
- Une description des opérations de traitement, des finalités du traitement de données, une description de l’intérêt légitime du responsable de traitement pour la collecte et le traitement de ces données personnelles
- Une évaluation de la nécessité et de la proportionnalité des différentes opérations de traitement en fonction des finalités de ces traitements de données
- Une évaluation des risques sur les droits et libertés des personnes concernées par la collecte et le traitement de données à caractère person
Pour réaliser cette analyse d’impact, la CNIL décrit la méthode suivante :
- Délimitation et description du contexte des traitements de données
- Analyse des mesures garantissant la proportionnalité et la nécessité des traitements de données, ainsi que la protection des droits des personnes concernées
- Appréciation des risques sur la vie privée liés à la sécurité des données à caractère personnel
- Formalisation de la validation de l’analyse d’impact sur la vie privée en fonction des éléments précédents
Qu’est-ce qu’une PIA RGPD ?
Une AIPD RGPD (PIA RGPD : Privacy Impact Assessment) en anglais, est l’analyse d’impact relative à la protection des données (AIPD, en français). Il s’agit d’une étape clé dans la mise en conformité de votre structure. Elle responsabilise le Délégué de la Protection des Données et ses relais. C’est outil permettant de construire un traitement de données conforme au RGPD et respectueux de la vie privée des personnes concernées par la collecte et le traitement de données à caractère personnel. En effet, un traitement de données personnelles peut engendrer un risque pour les droits et libertés des personnes concernées. L’AIPD permettra de mettre en œuvre un niveau de sécurité proportionné au risque que le traitement présente.
La AIPD RGPD est obligatoire pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés de la vie privée des personnes concernées par la collecte et le traitement des données.
D’ailleurs, une AIPD RGPD peut concerner un seul traitement de données ou un ensemble de traitements similaires. Par exemple : la SNCF peut effectuer une seule analyse d’impact sur le dispositif de la surveillance vidéo déployé dans ses différentes gares.
Qu’est-ce qu’un risque sur la vie privée ?
Dans le cadre d’une PIA RGPD, un risque sur la vie privée des personnes concernées par la collecte et le traitement de données à caractère personnel peut être :
- Un événement redouté : comme une atteinte à la confidentialité ou à l’intégrité des données et les potentiels impacts de ces atteintes sur les droits et libertés des personnes concernées par la collecte et le traitement des données à caractère personnel
- Toutes les menaces portant sur les droits et libertés des personnes concernées par la collecte et le traitement des données
Ce risque est estimé en gravité et vraisemblance. D’ailleurs, la gravité de ce risque est évaluée pour les personnes concernées et non pour l’entreprise responsable du traitement de données.
Se former à la réalisation d’une PIA RGPD
Pour vous accompagner dans la réalisation de votre analyse d’impact sur la vie privée, notre pôle formation RGPD Academy vous met à disposition une formation spécialisée :
Formation Analyse d’Impact sur la vie Privée (AIPD) (classe virtuelle) : cette formation de 2 demi-journées s’adresse aux DPO, RSSI et chef de projet.
Lors de cette formation vous allez :
- Déterminer et mettre en place une méthodologie d’analyse d’impact d’un traitement sur les personnes concernées
- Développer les outils (référentiels, grille d’analyse) permettant de gérer les risques et menaces
- Accompagner et documenter la prise de décision
- Analyser l’évaluation des résultats de l’analyse d’impact sur la vie privée (exploitation des résultats, appréciations des risques sur la vie privée, validation de la AIPD)
Qui peut réaliser une analyse d’impact sur la vie privée ?
L’analyse d’impact sur la vie privée doit être réalisée par le DPO ou par la personne chargée de la conformité au sein de l’entreprise. Si le responsable de traitement a désigné un délégué à la protection des données pour son entreprise, c’est le DPO qui sera chargé de mettre en place cette analyse et d’assurer la mise en conformité au RGPD de la structure où il opère.
De plus, cette analyse demandera l’intervention des responsables du projet et des techniciens encadrant son développement.