1. Gestion
  2. Politique de confidentialité - RGPD
  3. PIA (Privacy impact assessment) : pourquoi réaliser cette étude ?

PIA (Privacy impact assessment) : pourquoi réaliser cette étude ?

Consulter un avocat 
Consulter un avocat 
Philippe Wagner
Écrit par Philippe Wagner
Cofondateur de Captain Contrat, Philippe a fait ses armes au sein du cabinet de Gilles Babinet, figure de proue de l'entrepreneuriat français. Il est diplômé d'HEC Paris.
Vous avez encore des questions ? 🤔
Image des coach CaptainContrat
Posez-les gratuitement à l’un de nos coachs entrepreneuriaux.
Parler à un coach

Le Privacy impact assessment (PIA) ou l'Étude d’impact sur la vie privée (EIVP) est une obligation introduite par le Règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018.

Il s’agit d’une obligation, pour certaines entreprises, de réaliser une analyse d’impact relative à la protection des données.

Cette analyse ou étude d’impact est un document clé qui suit une procédure stricte fixée par le RGPD. Le PIA est un outil qui permet de construire un système de traitement des données respectueux de la vie privée, de démontrer sa conformité avec le règlement européen et de responsabiliser les entreprises.

 

 

1/ Pour quelles entreprises la réalisation d’un PIA est-elle obligatoire ?

 

D’après le RGPD, l’Etude d’impact sur la vie privée est obligatoire lorsque le traitement des données est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».

La notion de “risque élevé” s’apprécie de deux manières. Soit le traitement figure dans la liste établie par la CNIL des types d’opérations de traitement pour lesquelles il est obligatoire de réaliser une analyse d’impact. Soit le traitement remplit au moins 2 des 9 critères issus des lignes directrices du Groupe de travail sur l’article 29 (G29), à savoir :

  • L’évaluation ou la notation (y compris le profilage et la prédiction), notamment si les données concernent le rendement au travail de l’intéressé, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements.
  • La prise de décision automatique avec effet légal ou similaire : il s’agit des traitements de données ayant pour finalité une prise de décision importante pour la personne concernée (son exclusion par exemple).
  • La surveillance systématique : traitement des données utilisé pour observer ou surveiller les intéressés (par exemple pour une entreprise de vidéosurveillance).
  • La collecte de données sensibles, notamment concernant l’origine, l’appartenance religieuse, la maladie, les convictions idéologiques, l’appartenance syndicale, etc.
  • La collecte de données personnelles à grande échelle (tant par leur nombre que par leur étendue géographique : département, région, pays). 
  • Le croisement de données, lorsqu’il y a plusieurs opérations de traitements avec des finalités différentes.
  • Des données relatives à des personnes vulnérables (patients, personnes âgées, enfants, etc).
  • Un usage innovant ou l’application des nouvelles solutions technologiques : reconnaissance faciale, empreinte digitale, etc.
  •  L’octroi du bénéfice d’un droit, d’un service ou d’un contrat.  Il s’agit notamment des opérations de traitement des données ayant pour finalité l’autorisation ou le refus d’accès à un service ou à un droit (données collectées par une banque pour l’octroi d’un prêt par exemple). 

 

L’appréciation de cette notion de risque appartient au Délégué à la protection des données (DPO), s’il en a été désigné un, ou à défaut au Responsable de traitement (RDT).

L’étude d’impact doit être réalisée avant la mise en œuvre du traitement, soit le plus tôt possible. Elle devra être mise à jour tout au long du cycle de traitement.

 

2/ Comment réaliser l’analyse d’impact sur la vie privée ?

 

Selon la CNIL, l’étude d’impact doit respecter les étapes suivantes :  

  • Délimiter et décrire le contexte du traitement des données (sa finalité, les personnes concernées, les types de données, leur durée et lieu de conservation, le responsable du traitement, etc).   
  • Évaluer juridiquement la proportionnalité et la nécessité du traitement. Il s’agit ici de vérifier que ce dernier respecte la loi et le RGPD (minimisation des données conservées, droit à l’information des personnes concernées, recueil de leur consentement, droit d’accès, de rectification, d’effacement des données, etc).
  • Apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités. Il convient de déterminer l’ensemble des menaces potentielles internes (par exemple, un salarié soudoyé par un concurrent pour diffuser des données) et externes à l’entreprise (une cyberattaque, par exemple).  Afin de prévenir une fuite des données, il faut déterminer ses impacts potentiels et sa gravité sur la vie privée des personnes concernées. Enfin, il s’agit d’indiquer les mesures techniques et organisationnelles à même d’assurer une protection maximale des données.
  • Formaliser la validation de l’étude d’impact au regard des éléments précédents. La CNIL a mis en place le logiciel gratuit Open source PIA qui vous aide à mener à bien cette analyse.

 

Il est également possible d’utiliser la méthodologie EBIOS (Expression des besoins et identification des objectifs de sécurité) publiée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Cette méthode amène à répondre à un certain nombre de questions essentielles à propos de l’étude à réaliser (Quel est son sujet ? Quels sont les risques ou menaces ? Comment va-t-on les gérer ? etc).

 

 

3/ Quels sont les bénéfices de l’analyse d’impact ?

 

Le RGPD impose le respect des principes de privacy by design et privacy by default

Le principe de privacy by design implique de protéger les données personnelles dès la conception, c’est-à-dire dès la mise en œuvre d’un projet impliquant un traitement de données. Le principe de privacy by default édicte que soit mis en œuvre le plus haut niveau de protection de la vie privée des personnes concernées.

L’étude d’impact est l’outil idéal pour prouver la conformité d’une entreprise à ces deux principes et au RGPD en général.  Elle est donc un gage de sécurité juridique pour les entreprises.

Par ailleurs, l’étude d’impact est un vecteur de confiance, de transparence et de valorisation. Un potentiel client  préfèrera en effet  se tourner vers une entreprise dans laquelle il sait que ses données seront protégées. L’étude d’impact peut donc faire l’objet d’une démarche de communication. Elle peut apparaître, par exemple, au sein d’une politique de confidentialité. 

Le  PIA peut également être un outil stratégique de développement.  Il peut constituer un argument à l’appui d’une procédure d’appel d’offres ou encore apparaître comme un élément clé auprès de potentiels partenaires. Il s’agit donc d’un avantage concurrentiel déterminant.

Enfin, établir un PIA permet de se mettre en conformité avec les obligations du RGPD et éviter ainsi, en cas de contrôle de la CNIL, une amende pouvant aller jusqu’à 10 000 000 €. 

Vous l’aurez compris, la réalisation d’une étude d’impact ne s’improvise pas. Pour cette raison, il est recommandé de vous faire accompagner d’un avocat spécialisé en droit des nouvelles technologies. Ce dernier vous accompagnera et vous conseillera dans la réalisation de cette étude d’impact, sa mise à jour et plus globalement sur l’ensemble de vos besoins afin d’assurer une conformité complète de votre activité aux exigences du RGPD. 

Être accompagné par un avocat spécialiste des nouvelles technologies et de la conformité au RGPD vous permettra de réaliser convenablement cette étude d’impact, mais aussi de la tenir à jour en fonction de l’évolution de l’environnement de votre activité.  

Besoin d’aide ?

Tatiana - photo rappel sales (blog)
Nos coachs entrepreneuriaux sont à votre écoute
Besoin de conseils sur votre projet ? De poser toutes vos questions de vive-voix ? Contactez-nous 🙂
Prendre un rendez-vous

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

5 min
PIA (Privacy impact assessment) : pourquoi réaliser cette étude ?

Le Privacy impact assessment (PIA) ou l'Étude d’impact sur la vie privée (EIVP) est une obligation introduite par le Règlement général sur la protection des données (RGPD). Me Julien Smadja décrypte le sujet pour vous.

5 min
Pourquoi la SAS est le statut juridique de la startup ?

La SAS est la forme juridique qui offre le plus de flexibilité à l'entreprise. Découvrez pourquoi elle est la forme juridique privilégiée des startups. 👉 Me Nicolas Beck vous accompagne

5 min
Financer sa création de startup : comment trouver des subventions ?

Découvrez les différents types d'investisseurs, leurs principales caractéristiques et leurs moyens d'actions pour les solliciter au meilleur moment.

5 min
La charte informatique : pourquoi la mettre en place ?

La charte informatique est un document visant à encadrer l’utilisation que font les salariés d’une entreprise des technologies de l’information et de la communication mises à leur disposition. Elle est obligatoire dans les entreprises traitant des données personnelles. Me Lefroy décrypte le sujet

5 min
Les CGV d’une agence web

Les CGV d'une agence web ne doivent pas être improvisées. Obligatoires dans les relations avec les consommateurs, elles restent fortement recommandées pour les relations BtoB. Cession de droits d'auteur, conditions générales de prestation de services... quelles sont les spécificités en agence web ?

5 min
Le DPO est-il obligatoire pour votre entreprise ?

Bien que le DPO (Data Protection Officer) ne soit pas obligatoire dans toutes les organismes ou entreprises, il peut être fortement recommandé afin d'assurer la conformité RGPD de l'entreprise et réagir en cas de violation des données.

5 min
La sensibilisation de l'entreprise au RGPD : une étape obligatoire

La majorité des entreprises sont concernées par les obligations du RGPD depuis 2018. Cette mise en conformité ne s'improvise pas : process internes, collaborateurs, équipes techniques... Me Sarah Benhammou vous accompagne pour votre conformité

5 min
Qu’est-ce qu’une charte/politique de confidentialité ?

Une politique de confidentialité est un document ou un contrat qui expose les engagements de l’entreprise en matière de traitement des données personnelles des utilisateurs. Obligatoire dans le cadre de la conformité RGPD, Me Camille Mirabel Chambaud décrypte le sujet

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier