PIA (Privacy impact assessment) : pourquoi réaliser cette étude ?

par
5
Consulter Me Smadja

Sommaire

Le Privacy impact assessment (PIA) ou l'Étude d’impact sur la vie privée (EIVP) est une obligation introduite par le Règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018.

Il s’agit d’une obligation, pour certaines entreprises, de réaliser une analyse d’impact relative à la protection des données.

Cette analyse ou étude d’impact est un document clé qui suit une procédure stricte fixée par le RGPD. Le PIA est un outil qui permet de construire un système de traitement des données respectueux de la vie privée, de démontrer sa conformité avec le règlement européen et de responsabiliser les entreprises.

Maître Julien Smadja nous déchiffre les points clés de cette procédure.  

 

1/ Pour quelles entreprises la réalisation d’un PIA est-elle obligatoire ?

 

D’après le RGPD, l’Etude d’impact sur la vie privée est obligatoire lorsque le traitement des données est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».

La notion de “risque élevé” s’apprécie de deux manières. Soit le traitement figure dans la liste établie par la CNIL des types d’opérations de traitement pour lesquelles il est obligatoire de réaliser une analyse d’impact. Soit le traitement remplit au moins 2 des 9 critères issus des lignes directrices du Groupe de travail sur l’article 29 (G29), à savoir :

  • L’évaluation ou la notation (y compris le profilage et la prédiction), notamment si les données concernent le rendement au travail de l’intéressé, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements.
  • La prise de décision automatique avec effet légal ou similaire : il s’agit des traitements de données ayant pour finalité une prise de décision importante pour la personne concernée (son exclusion par exemple).
  • La surveillance systématique : traitement des données utilisé pour observer ou surveiller les intéressés (par exemple pour une entreprise de vidéosurveillance).
  • La collecte de données sensibles, notamment concernant l’origine, l’appartenance religieuse, la maladie, les convictions idéologiques, l’appartenance syndicale, etc.
  • La collecte de données personnelles à grande échelle (tant par leur nombre que par leur étendue géographique : département, région, pays). 
  • Le croisement de données, lorsqu’il y a plusieurs opérations de traitements avec des finalités différentes.
  • Des données relatives à des personnes vulnérables (patients, personnes âgées, enfants, etc).
  • Un usage innovant ou l’application des nouvelles solutions technologiques : reconnaissance faciale, empreinte digitale, etc.
  •  L’octroi du bénéfice d’un droit, d’un service ou d’un contrat.  Il s’agit notamment des opérations de traitement des données ayant pour finalité l’autorisation ou le refus d’accès à un service ou à un droit (données collectées par une banque pour l’octroi d’un prêt par exemple). 

 

L’appréciation de cette notion de risque appartient au Délégué à la protection des données (DPO), s’il en a été désigné un, ou à défaut au Responsable de traitement (RDT).

L’étude d’impact doit être réalisée avant la mise en œuvre du traitement, soit le plus tôt possible. Elle devra être mise à jour tout au long du cycle de traitement.

 

2/ Comment réaliser l’analyse d’impact sur la vie privée ?

 

Selon la CNIL, l’étude d’impact doit respecter les étapes suivantes :  

  • Délimiter et décrire le contexte du traitement des données (sa finalité, les personnes concernées, les types de données, leur durée et lieu de conservation, le responsable du traitement, etc).   
  • Évaluer juridiquement la proportionnalité et la nécessité du traitement. Il s’agit ici de vérifier que ce dernier respecte la loi et le RGPD (minimisation des données conservées, droit à l’information des personnes concernées, recueil de leur consentement, droit d’accès, de rectification, d’effacement des données, etc).
  • Apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités. Il convient de déterminer l’ensemble des menaces potentielles internes (par exemple, un salarié soudoyé par un concurrent pour diffuser des données) et externes à l’entreprise (une cyberattaque, par exemple).  Afin de prévenir une fuite des données, il faut déterminer ses impacts potentiels et sa gravité sur la vie privée des personnes concernées. Enfin, il s’agit d’indiquer les mesures techniques et organisationnelles à même d’assurer une protection maximale des données.
  • Formaliser la validation de l’étude d’impact au regard des éléments précédents. La CNIL a mis en place le logiciel gratuit Open source PIA qui vous aide à mener à bien cette analyse.

 

Il est également possible d’utiliser la méthodologie EBIOS (Expression des besoins et identification des objectifs de sécurité) publiée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Cette méthode amène à répondre à un certain nombre de questions essentielles à propos de l’étude à réaliser (Quel est son sujet ? Quels sont les risques ou menaces ? Comment va-t-on les gérer ? etc).

 

3/ Quels sont les bénéfices de l’analyse d’impact ?

 

Le RGPD impose le respect des principes de privacy by design et privacy by default

Le principe de privacy by design implique de protéger les données personnelles dès la conception, c’est-à-dire dès la mise en œuvre d’un projet impliquant un traitement de données. Le principe de privacy by default édicte que soit mis en œuvre le plus haut niveau de protection de la vie privée des personnes concernées.

L’étude d’impact est l’outil idéal pour prouver la conformité d’une entreprise à ces deux principes et au RGPD en général.  Elle est donc un gage de sécurité juridique pour les entreprises.

Par ailleurs, l’étude d’impact est un vecteur de confiance, de transparence et de valorisation. Un potentiel client  préfèrera en effet  se tourner vers une entreprise dans laquelle il sait que ses données seront protégées. L’étude d’impact peut donc faire l’objet d’une démarche de communication. Elle peut apparaître, par exemple, au sein d’une politique de confidentialité. 

Le  PIA peut également être un outil stratégique de développement.  Il peut constituer un argument à l’appui d’une procédure d’appel d’offres ou encore apparaître comme un élément clé auprès de potentiels partenaires. Il s’agit donc d’un avantage concurrentiel déterminant.

Enfin, établir un PIA permet de se mettre en conformité avec les obligations du RGPD et éviter ainsi, en cas de contrôle de la CNIL, une amende pouvant aller jusqu’à 10 000 000 €. 

Vous l’aurez compris, la réalisation d’une étude d’impact ne s’improvise pas. Pour cette raison, il est recommandé de vous faire accompagner d’un avocat spécialisé en droit des nouvelles technologies. Ce dernier vous accompagnera et vous conseillera dans la réalisation de cette étude d’impact, sa mise à jour et plus globalement sur l’ensemble de vos besoins afin d’assurer une conformité complète de votre activité aux exigences du RGPD. 

Être accompagné par un avocat spécialiste des nouvelles technologies et de la conformité au RGPD vous permettra de réaliser convenablement cette étude d’impact, mais aussi de la tenir à jour en fonction de l’évolution de l’environnement de votre activité.  

Me Julien Smadja

Écrit par

Me Julien Smadja

Diplômé en droit des affaires et fiscalité au sein de l’Université Paris I Panthéon-Sorbonne, Julien Smadja a exercé au sein de grandes entreprises françaises et internationales spécialisées en droit des affaires, avant de rejoindre DJS Avocats en qualité de collaborateur. Il intervient, tant en conseil qu’en contentieux, sur toutes les problématiques liées au droit des affaires, des nouvelles technologies et du RGPD

Posez votre question à Me Smadja

Besoin d'accompagnement dans la réalisation de votre étude d'impact ? Contactez Me Smadja

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

Quelles sont les sanctions en cas de non-respect du RGPD ?

La protection des données est l’une des questions les plus importantes de notre époque ultra ...

Amélie Gautier

Amélie Gautier

RGPD : évaluez en 20 questions la conformité de votre entreprise

Le 25 mai prochain, le nouveau Règlement Général sur la Protection des Données (RGPD) entrera en ...

Maxime

Maxime

L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Vous êtes éditeur de logiciel SaaS et intervenez en tant que prestataire pour le compte de ...

Me Benjamin Znaty

Me Benjamin Znaty

Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

Le Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, vise à ...

Me Mathilde Lefroy

Me Mathilde Lefroy

La clause de confidentialité dans le contrat de travail

Pour éviter la divulgation d’un secret professionnel par un employé, le droit français a créé un ...

Maxime

Maxime

Accord de confidentialité : pourquoi et comment le rédiger ?

Vous envisagez de transmettre des informations sensibles à un partenaire commercial potentiel ? Au ...

Philippe

Philippe

Les limites de la protection des données personnelles du salarié

Dans le cadre d’une entreprise, de nombreuses informations au sujet du salarié sont conservées pour ...

Maxime

Maxime

Qu’est-ce qu’une charte/politique de confidentialité ?

En raison du fort développement des services en ligne, les données personnelles des utilisateurs ...

Me Julien Smadja

Me Julien Smadja

RGPD : qui est concerné ?

L’Union européenne a adopté le 14 avril 2016 le règlement général sur la protection des données ...

Maxime

Maxime

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier