PIA (Privacy impact assessment) : pourquoi réaliser cette étude ?

Le Privacy impact assessment (PIA) ou l'Étude d’impact sur la vie privée (EIVP) est une obligation introduite par le Règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018.

Il s’agit d’une obligation, pour certaines entreprises, de réaliser une analyse d’impact relative à la protection des données.

Cette analyse ou étude d’impact est un document clé qui suit une procédure stricte fixée par le RGPD. Le PIA est un outil qui permet de construire un système de traitement des données respectueux de la vie privée, de démontrer sa conformité avec le règlement européen et de responsabiliser les entreprises.

1/ Pour quelles entreprises la réalisation d’un PIA est-elle obligatoire ?

D’après le RGPD, l’Etude d’impact sur la vie privée est obligatoire lorsque le traitement des données est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».

La notion de “risque élevé” s’apprécie de deux manières. Soit le traitement figure dans la liste établie par la CNIL des types d’opérations de traitement pour lesquelles il est obligatoire de réaliser une analyse d’impact. Soit le traitement remplit au moins 2 des 9 critères issus des lignes directrices du Groupe de travail sur l’article 29 (G29), à savoir :

• L’évaluation ou la notation (y compris le profilage et la prédiction), notamment si les données concernent le rendement au travail de l’intéressé, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements.
• La prise de décision automatique avec effet légal ou similaire : il s’agit des traitements de données ayant pour finalité une prise de décision importante pour la personne concernée (son exclusion par exemple).
• La surveillance systématique : traitement des données utilisé pour observer ou surveiller les intéressés (par exemple pour une entreprise de vidéosurveillance).
• La collecte de données sensibles, notamment concernant l’origine, l’appartenance religieuse, la maladie, les convictions idéologiques, l’appartenance syndicale, etc.
• La collecte de données personnelles à grande échelle (tant par leur nombre que par leur étendue géographique : département, région, pays). 
• Le croisement de données, lorsqu’il y a plusieurs opérations de traitements avec des finalités différentes.
• Des données relatives à des personnes vulnérables (patients, personnes âgées, enfants, etc).
• Un usage innovant ou l’application des nouvelles solutions technologiques : reconnaissance faciale, empreinte digitale, etc.
•  L’octroi du bénéfice d’un droit, d’un service ou d’un contrat.  Il s’agit notamment des opérations de traitement des données ayant pour finalité l’autorisation ou le refus d’accès à un service ou à un droit (données collectées par une banque pour l’octroi d’un prêt par exemple). 

L’appréciation de cette notion de risque appartient au Délégué à la protection des données (DPO), s’il en a été désigné un, ou à défaut au Responsable de traitement (RDT).

L’étude d’impact doit être réalisée avant la mise en œuvre du traitement, soit le plus tôt possible. Elle devra être mise à jour tout au long du cycle de traitement.

2/ Comment réaliser l’analyse d’impact sur la vie privée ?

Selon la CNIL, l’étude d’impact doit respecter les étapes suivantes :  

• Délimiter et décrire le contexte du traitement des données (sa finalité, les personnes concernées, les types de données, leur durée et lieu de conservation, le responsable du traitement, etc).   
• Évaluer juridiquement la proportionnalité et la nécessité du traitement. Il s’agit ici de vérifier que ce dernier respecte la loi et le RGPD (minimisation des données conservées, droit à l’information des personnes concernées, recueil de leur consentement, droit d’accès, de rectification, d’effacement des données, etc).
• Apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités. Il convient de déterminer l’ensemble des menaces potentielles internes (par exemple, un salarié soudoyé par un concurrent pour diffuser des données) et externes à l’entreprise (une cyberattaque, par exemple).  Afin de prévenir une fuite des données, il faut déterminer ses impacts potentiels et sa gravité sur la vie privée des personnes concernées. Enfin, il s’agit d’indiquer les mesures techniques et organisationnelles à même d’assurer une protection maximale des données.
• Formaliser la validation de l’étude d’impact au regard des éléments précédents. La CNIL a mis en place le logiciel gratuit Open source PIA qui vous aide à mener à bien cette analyse.

Il est également possible d’utiliser la méthodologie EBIOS (Expression des besoins et identification des objectifs de sécurité) publiée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Cette méthode amène à répondre à un certain nombre de questions essentielles à propos de l’étude à réaliser (Quel est son sujet ? Quels sont les risques ou menaces ? Comment va-t-on les gérer ? etc).

3/ Quels sont les bénéfices de l’analyse d’impact ?

Le RGPD impose le respect des principes de privacy by design et privacy by default

Le principe de privacy by design implique de protéger les données personnelles dès la conception, c’est-à-dire dès la mise en œuvre d’un projet impliquant un traitement de données. Le principe de privacy by default édicte que soit mis en œuvre le plus haut niveau de protection de la vie privée des personnes concernées.

L’étude d’impact est l’outil idéal pour prouver la conformité d’une entreprise à ces deux principes et au RGPD en général.  Elle est donc un gage de sécurité juridique pour les entreprises.

Par ailleurs, l’étude d’impact est un vecteur de confiance, de transparence et de valorisation. Un potentiel client  préfèrera en effet  se tourner vers une entreprise dans laquelle il sait que ses données seront protégées. L’étude d’impact peut donc faire l’objet d’une démarche de communication. Elle peut apparaître, par exemple, au sein d’une politique de confidentialité. 

Le  PIA peut également être un outil stratégique de développement.  Il peut constituer un argument à l’appui d’une procédure d’appel d’offres ou encore apparaître comme un élément clé auprès de potentiels partenaires. Il s’agit donc d’un avantage concurrentiel déterminant.

Enfin, établir un PIA permet de se mettre en conformité avec les obligations du RGPD et éviter ainsi, en cas de contrôle de la CNIL, une amende pouvant aller jusqu’à 10 000 000 €. 

Vous l’aurez compris, la réalisation d’une étude d’impact ne s’improvise pas. Pour cette raison, il est recommandé de vous faire accompagner d’un avocat spécialisé en droit des nouvelles technologies. Ce dernier vous accompagnera et vous conseillera dans la réalisation de cette étude d’impact, sa mise à jour et plus globalement sur l’ensemble de vos besoins afin d’assurer une conformité complète de votre activité aux exigences du RGPD. 

Être accompagné par un avocat spécialiste des nouvelles technologies et de la conformité au RGPD vous permettra de réaliser convenablement cette étude d’impact, mais aussi de la tenir à jour en fonction de l’évolution de l’environnement de votre activité.