Le RGPD ou Règlement Général sur la Protection des Données Personnelles est une loi issue de l’Union Européenne qui impose aux entreprises possédant un site web de mettre en place des solutions pour garantir la sécurité des données personnelles des internautes. Avec l’arrivée de cette loi, une autre notion est également apparue, le Privacy Impact Assessment ou PIA.
De quoi s’agit-il ?
Le PIA, DPIA ou encore EIVP en français (Etude d’Impact sur la Vie Privée) est un outil destiné à responsabiliser les organismes en les aidant à mettre en place des traitements de données qui respectent la vie privée. Cet outil leur permet aussi de prouver qu’ils sont conformes avec le RGPD. D’ailleurs, le PIA est même obligatoire pour les traitements qui présentent un risque important pour la sécurité des données.
D’après le CNIL, il repose sur deux principes :
-
L’étude des risques sur la sécurité des données : elle permettra de définir les mesures d’organisation et les mesures techniques pour assurer la protection des données.
-
L’évaluation juridique, de la proportionnalité et de la nécessité sur les principes et les droits fondamentaux. On parle de la finalité des données, de la durée de leur conservation… Ces droits et principes sont prévus par la loi et nécessitent d’être respectés, indépendamment de la nature et de la gravité des risques.
Quand doit-on le réaliser ?
Selon l’article 35 du règlement européen, une Etude d’Impact sur la Vie Privée doit être réalisée quand il est question de traitement de données sensibles ou personnelles pouvant causer un risque d’atteinte accru à la vie privée des personnes qui sont concernées. On juge que le risque est présent lorsqu’une personne extérieure à l’organisme peut s’introduire dans le système informatique pour subtiliser les données et les utiliser à d’autres finalités.
La notion de risque suppose 4 niveaux de critères. Dans ce cas, c’est au DPO que revient la responsabilité de constater la gravité des effets sur la vie privée. Il pourra ensuite juger s’il faut entamer des actions pour garantir la conformité avec le RGPD. L’état impose de réaliser le PIA dans les cas suivants :
-
Si un organisme traite des données sensibles à grande échelle
-
S’il y a une surveillance systématique d’une zone accessible à un large public à grande échelle
-
S’il y a une évaluation poussée des aspects personnels, comprenant le profilage.
-
Si une activité automatisée vise à évaluer continuellement les aspects personnels des internautes sur lesquels se basent des prises de décisions, engendrant alors des effets juridiques.
Comment réaliser le PIA ?
Selon les guides de la CNIL, la méthode à suivre pour réaliser le PIA est la suivante :
-
Décrire et délimiter le contexte de traitement des données considéré
-
Analyser les mesures qui garantissent le respect des droits et des principes fondamentaux.
-
Estimer les risques sur la vie privée en rapport avec la sécurité des données. Il faut également vérifier que ces données sont bien traitées.
-
Formaliser la validation de l’étude en tenant compte des éléments précédents ou bien réviser chacune de ces étapes.
Dans la réalisation d’un PIA, le rôle du DPO reste fondamental car il s’assure de la bonne exécution tout en guidant le responsable de traitement. Toutefois, les études d’impact sur la vie privée proposées par la CNIL ne sont pas toujours faciles à mener pour les organismes. C’est pourquoi il est préférable de se tourner vers une offre PIA RGPD qui est généralement proposée par des professionnels. Une équipe d’experts sera alors chargée d’assurer la conformité avec le RGPD via cette étude.
Pour réaliser le PIA, il faut généralement entre 1 à 7 jours. Tout dépend du volume de traitements réalisés et des risques qui y sont liés. Mais dans tous les cas, il doit évaluer l’ensemble des éléments de votre traitement !
Documenter le PIA RGPD
Le PIA doit faire l’objet d’un document. C’est ce qui va prouver votre conformité avec le RGPD. En cas de contrôle, il devra être envoyé à la Cnil ou bien transmis automatiquement si la législation d’un Etat membre l’exige ou que le risque demeure élevé. Voici les parties qui doivent être contenues dans le document :
-
Description des opérations traitées et de leurs finalités. Il s’agit donc de décrire les raisons de la collecte des données.
-
Evaluation de l’utilité et de la proportionnalité du traitement vis-à-vis de ces finalités.
-
Description des risques du traitement. L’évaluation du risque se fait en deux temps. Premièrement, il faut considérer la gravité du risque au vu de ses impacts potentiels. Ensuite, il faut voir le niveau de vraisemblance de survenance du risque. Dresser une liste des menaces pouvant engendrer l’événement s’impose donc.
-
Liste des mesures à entreprendre pour faire face aux risques.
Le rôle du DPO
Le DPO ou Délégué à la Protection des Données personnelles est le premier responsable de la bonne application du règlement européen par l’entreprise. Il est donc tenu de conseiller le responsable de traitement. Pour bien remplir ses fonctions, il doit être indépendant à l’entreprise. Pour mener à bien ses missions, il est tenu de :
-
Conseiller et informer le responsable de traitement sur les obligations imposées par le Règlement Général sur la Protection des Données. Il doit donc conduire des formations et des actions de sensibilisation.
-
Veiller au respect du règlement en procédant à un audit de mise en conformité.
-
Fournir des conseils sur demande, principalement en ce qui concerne le PIA RGPD.
-
Gérer les relations avec les autorités de contrôle, notamment la CNIL. Il doit donc se placer en tant que point de contact avec ces derniers.
Pour faire simple, le DPO se place en tant qu’assistant du responsable de traitement.