Comment savoir si ma collecte de données
est conforme au RGPD ?
Comme indiqué précédemment, il est obligatoire de mener une PIA (aussi connu sous le nom de AIPD RGPD DAIPD RGPD AIPD RGPD) quand le traitement des données peut engendrer un risque élevé pour les droits et libertés des personnes concernées par la collecte, comme dans les cas suivants :
-Évaluation/profilage
-Décision automatique avec effet légal ou similaire
-Surveillance systématique
-Collecte des données sensibles
-Collecte de données personnelles à grande échelle
-Croisement de données
-Données concernant des personnes vulnérables (patients, enfants, personnes âgées)
-Usage innovant avec l’utilisation d’une nouvelle technologie
-Exclusion du bénéfice d’un droit et d’un contrat
Une analyse d’impact sur la vie privée (PIA RGPD) doit contenir au minimum :
Pour réaliser cette analyse d’impact, la CNIL décrit la méthode suivante :
1. Délimitation et description du contexte des traitements de données
2. Analyse des mesures garantissant la proportionnalité et la nécessité des traitements de données, ainsi que la protection des droits des personnes concernées
3. Appréciation des risques sur la vie privée liés à la sécurité des données à caractère personnel
4. Formalisation de la validation de l’analyse d’impact sur la vie privée en fonction des éléments précédents
Qu’est-ce qu’une PIA RGPD ?
Une AIPD RGPD (PIA RGPD : Privacy Impact Assessment) en anglais, est l’analyse d’impact relative à la protection des données (AIPD, en français). Il s’agit d’une étape clé dans la mise en conformité de votre structure. Elle responsabilise le Délégué de la Protection des Données et ses relais. C’est outil permettant de construire un traitement de données conforme au RGPD et respectueux de la vie privée des personnes concernées par la collecte et le traitement de données à caractère personnel. En effet, un traitement de données personnelles peut engendrer un risque pour les droits et libertés des personnes concernées. L’AIPD permettra de mettre en œuvre un niveau de sécurité proportionné au risque que le traitement présente.
La AIPD RGPD est obligatoire pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés de la vie privée des personnes concernées par la collecte et le traitement des données.
D’ailleurs, une AIPD RGPD peut concerner un seul traitement de données ou un ensemble de traitements similaires. Par exemple : la SNCF peut effectuer une seule analyse d’impact sur le dispositif de la surveillance vidéo déployé dans ses différentes gares.
Dans le cadre d’une PIA RGPD, un risque sur la vie privée des personnes concernées par la collecte et le traitement de données à caractère personnel peut être :
Ce risque est estimé en gravité et vraisemblance. D’ailleurs, la gravité de ce risque est évaluée pour les personnes concernées et non pour l’entreprise responsable du traitement de données.
Pour vous accompagner dans la réalisation de votre analyse d’impact sur la vie privée, notre pôle formation RGPD Academy vous met à disposition une formation spécialisée :
Formation Analyse d’Impact sur la vie Privée (AIPD) (classe virtuelle) : cette formation de 2 demi-journées s’adresse aux DPO, RSSI et chef de projet.
Lors de cette formation vous allez :
L’analyse d’impact sur la vie privée doit être réalisée par le DPO ou par la personne chargée de la conformité au sein de l’entreprise. Si le responsable de traitement a désigné un délégué à la protection des données pour son entreprise, c’est le DPO qui sera chargé de mettre en place cette analyse et d’assurer la mise en conformité au RGPD de la structure où il opère.
De plus, cette analyse demandera l’intervention des responsables du projet et des techniciens encadrant son développement.
Plus d’information sur le programme de la formation
Liens vers d’autres actualités :
