🎙⏯ RGPD, AI Act, NIS2, Tutoriels & Démos : S'inscrire aux prochains webinaires et voir les replays 🎙⏯ RGPD, AI Act, NIS2, Tutoriels & Démos : S'inscrire aux prochains webinaires et voir les replays 🎙⏯ RGPD, AI Act, NIS2, Tutoriels & Démos : S'inscrire aux prochains webinaires et voir les replays 🎙⏯ RGPD, AI Act, NIS2, Tutoriels & Démos : S'inscrire aux prochains webinaires et voir les replays
Appelez-nous au +(33)4 28 70 91 81
Se connecter

Comment réaliser un PIA ? Les points essentiels

Accueil RGPD Comment réaliser un PIA ? Les points essentiels

Sommaire

Cet article est tiré du webinaire « Comment réaliser un PIA en pratique : les points essentiels » que vous pouvez retrouver ici.

Qu’est-ce qu’un PIA ?

Le PIA (Privacy Impact Assessment) a pour objectif de construire et de démontrer la mise en œuvre des principes de protection de la vie privée afin que les personnes concernées par les traitements de données conservent la maîtrise de leurs données personnelles. Ces principes sont à la fois juridiques (contrats avec les acteurs, mentions d’informations…) mais également techniques (pare-feu, chiffrement…).

Dans quel cas réaliser un PIA ?

L’analyse d’impact doit être effectuée par le responsable de traitement dès lors qu’un type de traitement, en particulier par le recours à de nouvelles technologies et compte tenu de la nature, de la portée, du contexte et de ses finalités, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Si le traitement remplit au moins deux des critères posés par le G29, l’analyse d’impact est nécessaire :

  • Évaluation/Scoring
  • Décision automatique avec effet légal
  • Surveillance systématique
  • Données sensibles
  • Large échelle
  • Croisement de données
  • Personnes vulnérables
  • Usage innovant
  • Transfert hors UE
  • Blocage d’un droit/contrat

L’analyse d’impact n’est pas nécessaire :

  • Si le traitement n’est pas susceptible d’engendrer des risques élevés
  • Si le traitement est déjà autorisé, tant qu’il respecte les conditions de mise en œuvre

Base légale : La CNIL met à disposition une liste des types d’opérations de traitement pour lesquelles une analyse d’impact est requise, mais également une liste de traitement qui ne requiert pas d’analyses d’impact.

Replay webinar : comment réaliser un PIA ? Les points essentiels

Comment réaliser un PIA ?

Le PIA peut se diviser en plusieurs étapes :

Rédaction de l’analyse

Réalisation d’un schéma fonctionnel du traitement détaillant les flux de données personnelles et leurs supports, de leur collecte à leur destruction.

Il faut ensuite identifier les mesures de sécurité juridique, physiques, logiques et organisationnelles mises en œuvre ou prévues par le responsable du traitement pour respecter les exigences légales et traiter les risques sur la vie privée de manière proportionnée.

Par la suite, vous devez identifier les violations potentielles des données, en précisant la gravité des impacts sur les personnes concernées et la vraisemblance des menaces rendant possibles ces violations.

Évaluation

Le responsable de l’analyse (DPO interne, externe, prestataire…) va ensuite évaluer l’efficacité des mesures mises en place pour venir réduire le risque du traitement. Le but est d’avoir un risque résiduel acceptable pour la mise en place du traitement de données.

Validation

Dernière étape : prendre la décision de valider la manière dont il est prévu de respecter les principes de protection de la vie privée et de traiter les risques, ou bien réviser les étapes précédentes.

Si les risques restent trop importants, il faut alors solliciter une autorisation auprès de la CNIL.

Retrouvez comment gérer un PIA dans Data Comply One (ex Mission RGPD) ici

PIA – logiciel RGPD essai gratuit

D'autres articles
sur le même sujet