Evaluez votre mise en conformité RGPD avec une PIA efficace
PIA RGPD : identifier et réduire les risques relatifs à la protection de la vie privée
PIA RGPD : Avant de commencer les traitements des données, le responsable du traitement a l’obligation de mener une analyse d’impact. Focus sur ce processus.
Le RGPD ou Règlement Général sur la Protection des Données a été appliquée depuis le mois de mai 2018. Tous les États membres de l’Union européenne sont concernés. Ce règlement européen vise essentiellement à harmoniser ou plutôt à uniformiser les lois sur la confidentialité des données à caractère personnel à travers l’Europe.
Définition d’une PIA RGPD
La PIA RGPD ou Privacy Impact Assessment regroupe les évaluations d’impact qui se portent sur la protection des données personnelles. En français, la PIA est appelée EIVP ou Etude d’Impact sur la Vie Privée.
Dans le cadre de la mise en conformité RGPD, la PIA est un processus qui aide les responsables de traitement des données personnelles et les sous-traitants à identifier et à réduire les risques de perte ou de détérioration des données. Le risque est réel quand une personne extérieure à l’organisme a accès aux données collectées via le système informatique. Le risque s’accroit quand les intentions des intrus sont malveillantes et que les données traitées sont à très grande échelle.
Une PIA RGPD décrit la finalité des données collectées, évalue le niveau de conformité et les risques pour les personnes concernées, compile sous forme de documents les solutions qui permettent d’éviter ou du moins d’atténuer ces risques.
Le responsable des traitements de données à caractère personnel est assisté par le DPO dans l’exercice de sa fonction. Le DPO ou Data Protect Officer est un expert concernant les mesures relatives à la protection des personnes physiques. Notamment en cas de risque élevé. Afin que chacun puisse prendre conscience de l’étendue du risque de confidentialité, le DPO a pour rôle principal de conseiller et de former toutes les équipes dans une entreprise :
- dirigeants,
- équipes de production,
- équipes commerciales et marketing,
- équipes informatiques, etc.
Le DPO propose des solutions pour améliorer la gestion de leurs données.
Le logiciel PIA RGPD
Pour aider les responsables de traitement à démontrer à la CNIL leur conformité, un logiciel PIA RGPD a été mis à leur disposition.
Avec cet outil, l’analyse d’impact relative à la protection des données ou PIA RGPD est facilement réalisée.
Le logiciel PIA aide également les entreprises à atteindre un haut niveau de confidentialité : protection des données sensibles et des informations sur les identités personnelles.
De nouvelles versions du logiciel PIA RGPD sont proposées par la CNIL ainsi que des mises à jour systématiques, dans le souci d’accompagner le responsable de traitement ou le sous-traitant dans leur mission.
L’outil, facile à utiliser, est disponible en version logicielle et en version web, à télécharger en open source.
Quand faut-il faire une PIA RGPD ?
Fondamentalement, une analyse d’impact relative à la protection des données doit toujours être réalisée lorsque le traitement peut entraîner un risque élevé pour les droits et libertés d’une personne physique.
La PIA est obligatoire dans le cas où les données collectées relèvent d’un profilage, de décisions automatiques avec des conséquences juridiques, de l’utilisation des technologies biométriques récentes et des données traitées à grande échelle. Une attention particulière doit également être portée dans le cas où il y ait un transfert des données vers des pays en dehors de l’Union Européenne. Une PIA RGPD relative à la protection des données est alors vivement recommandée.
Pour un lever de doute, le processus d’analyses d’impact ou PIA RGPD doit être répété au moins tous les trois ans, si le DPO évalue que l’exposition à un risque élevé ne se présente pas. Dans le cas contraire, il décide d’effectuer une PIA RGPD plus fréquemment.
En France, l’autorité de contrôle est représentée par la CNIL (Commission nationale de l’informatique et libertés). C’est elle qui établit et publie une liste des traitements qui nécessitent une analyse d’impact obligatoire sur la protection des données.