Consulter nos experts

Tout savoir sur le PIA RGPD

RGPD : un règlement européen sur la protection des données

Le RGPD est un règlement de l’Union européenne et non une directive. Cela signifie qu’il est directement contraignant pour tous les États membres de l’UE et qu’il n’a pas besoin d’être transposé en droit national. Le RGPD a été adopté le 14 avril 2016 et est entré en vigueur le 25 mai 2018. Le RGPD remplace la directive européenne de 1995 sur la protection des données. Il renforce les règles de l’UE en matière de protection des données en donnant aux individus plus de contrôle sur leurs données personnelles, et en établissant de nouveaux droits pour les individus. Retrouvez toutes les informations complémentaires sur le site pia rgpd.

 

Quels sont les principaux changements apportés par le RGPD ?

Le RGPD introduit plusieurs nouveaux droits pour les individus, et crée de nouvelles obligations pour les organisations qui traitent des données personnelles. Voici quelques-uns des principaux changements :

  • le droit à l’oubli : Les individus ont le droit de faire effacer leurs données personnelles dans certaines circonstances ;
  • le droit à la portabilité des données : Les personnes ont le droit de recevoir leurs données personnelles dans des formats différents et de les faire transférer à une autre organisation dans certaines circonstances ;
  • le droit d’opposition : Les personnes ont le droit de s’opposer au traitement de leurs données personnelles dans certaines circonstances ;
  • le droit à l’information : Les organisations doivent fournir aux personnes des informations claires et concises sur leurs droits et sur les données personnelles qui sont collectées à leur sujet.

Les organisations doivent également obtenir le consentement explicite des personnes avant de collecter, d’utiliser ou de partager leurs données personnelles.

 

PIA : analyse et prévention des risques

Qu’est-ce que le PIA RGPD ?

Le Privacy Impact Assessment (en français “ évaluations de l’impact sur la vie privée ” ou EIP) est une méthode conçue et validée par le groupe de travail Article 29 sur la protection des données, le groupe des autorités de contrôle sur les données dans l’Union européenne. Le PIA est une analyse systématique d’un projet ou d’une initiative susceptible d’avoir un impact sur la protection des données personnelles, afin d’aider les organisations à identifier et à atténuer les risques pour les droits et libertés des personnes. Selon la CNIL, la PIA repose sur deux piliers :

  • l’analyse des risques ;
  • la prévention des risques.

L’analyse des risques est un examen des données personnelles qui seront traitées par le projet ou l’initiative, afin d’identifier tout risque potentiel pour les droits et libertés des personnes. La prévention des risques est un ensemble de mesures que les organisations peuvent mettre en place pour atténuer ces risques. L’évaluation juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) fixés par la loi et doivent être respectés, quelle que soit la nature, la gravité et la vraisemblance des risques. L’étude des risques sur la sécurité des données (accès non autorisé, modification et disparition de données, et leurs impacts potentiels sur la vie privée), permet de déterminer les mesures techniques et d’organisation pour protéger les données.

 

Quand faut-il réaliser un PIA ?

En vertu du GDPR, les organisations doivent réaliser une PIA lorsqu’elles prévoient de mener des activités de traitement des données susceptibles d’entraîner un risque élevé pour les droits et libertés des personnes.

 

Quels sont les avantages de la réalisation d’un PIA ?

Les avantages de la réalisation d’un PIA sont les suivants :

  • l’identification et l’atténuation des risques pour les droits et libertés des personnes ;
  • se conformer aux obligations du RGPD ;
  • démontrer l’engagement à protéger les données personnelles des individus ;
  • renforcer la confiance du public dans les activités de traitement des données de l’organisation.

PIA : ce qu’il faut considérer

Lorsqu’elles effectuent une évaluation des facteurs relatifs à la vie privée, les organisations doivent tenir compte des éléments suivants :

  • les objectifs des activités de traitement des données ;
  • les données personnelles qui seront traitées
  • les risques pour les droits et libertés des personnes ;
  • les mesures qui seront prises pour atténuer ces risques ;
  • les coûts et les avantages des activités de traitement des données.

Les organisations devraient consulter les personnes et les autres parties prenantes lorsqu’elles effectuent un PIA. Elles devraient également tenir compte des besoins spécifiques des personnes vulnérables, comme les enfants.

 

Quels traitements nécessitent un PIA ?

Le RGPD n’exige pas un PIA pour toutes les activités de traitement des données. Toutefois, un PIA est requis lorsque les activités de traitement des données sont susceptibles d’entraîner un risque élevé pour les droits et libertés des personnes.

 

Comment réaliser un PIA RGPD ?

Il n’existe pas de méthode fixe pour mener un PIA. Cependant, le groupe de travail Article 29 sur la protection des données a publié des orientations sur la réalisation d’une PIA. Ces conseils comprennent une liste de contrôle des facteurs à prendre en compte lors de la réalisation d’une PIA.

 

Quelles sont les étapes d’une PIA ?

Les étapes d’une EIP varient en fonction de l’organisation et des activités de traitement des données menées. Cependant, il existe des étapes générales que toutes les organisations devraient suivre :

  1. identifier l’objectif des activités de traitement des données ;
  2. identifier les données personnelles qui seront traitées ;
  3. identifier les risques pour les droits et libertés des personnes ;
  4. atténuer ces risques ;
  5. communiquer avec les personnes et d’autres parties prenantes ;
  6. surveiller les activités de traitement des données.

Les organisations devraient consulter les individus et les autres parties prenantes lorsqu’elles effectuent une EFVP. Elles devraient également tenir compte des besoins spécifiques des personnes vulnérables, comme les enfants.

 

Dans quel cas un PIA est-elle obligatoire ?

En vertu du RGPD, une analyse d’impact doit être réalisée par le responsable du traitement des données chaque fois qu’il s’agit d’un type de traitement qui pourrait entraîner un risque élevé pour les droits et libertés des personnes. Cela inclut, sans s’y limiter, le traitement de catégories spéciales de données ou de données personnelles relatives aux condamnations pénales et aux infractions. en particulier par le recours à de nouvelles technologies et compte tenu de la nature, de la portée, du contexte et de ses finalités, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Si le traitement remplit au moins deux des critères posés par le G29, l’analyse d’impact est nécessaire. L’analyse d’impact n’est pas nécessaire :

  • si le traitement n’est pas susceptible d’engendrer des risques élevés ;
  • si le traitement est déjà autorisé, tant qu’il respecte les conditions de mise en œuvre.

Base légale

La CNIL met à disposition une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise, ainsi qu’une liste de traitement qui ne requiert pas d’analyses d’impact.

 

La liste CNIL des opérations de traitement soumises à PIA

  • les traitements des ressources humaines ;
  • les traitements de profilage ;
  • les traitements de données biométriques ;
  • les traitements sur les données de géolocalisation ;
  • identification, authentification et gestion des accès aux systèmes d’information ;
  • opérations de marketing direct par voie électronique ;
  • les traitements de vidéosurveillance à des fins de sécurité ou de prévention de la criminalité ;
  • autres types de traitement susceptibles de créer des risques pour les droits et libertés des personnes : les activités de traitement qui nécessitent une collecte à grande échelle ou un contrôle systématique des données à caractère personnel ;
  • les activités de traitement qui sont innovantes tant sur le plan technologique que sur le plan de l’organisation ;
  • les activités de traitement transfrontalier ;
  • les opérations de traitement susceptibles d’entraîner un risque élevé lorsque le responsable du traitement ne prend pas de mesures pour atténuer ce risque ;
  • des activités de traitement qui ne sont pas nécessaires aux fins pour lesquelles les données personnelles sont traitées ;
  • les activités de traitement qui pourraient entraîner une discrimination, une usurpation d’identité ou une fraude, une perte financière, une atteinte à la réputation, une divulgation non autorisée d’informations confidentielles ou tout autre type de préjudice.

La liste des traitements non soumis au DPIA :

  • les opérations effectuées par les autorités publiques dans l’exercice de leurs fonctions ;
  • les opérations relatives à la sécurité nationale ou étrangère ;
  • la médecine préventive ou corrective ;
  • les traitements nécessaires à des fins de recherche scientifique effectués conformément au droit de l’Union ou des États membres.

Les cas évidents où le risque est faible et peut être atténué de manière efficace.

Conclusion

Le PIA est un outil qui vous permet d’évaluer et d’atténuer les risques posés par un traitement de données. Elle est obligatoire en vertu du GDPR dans certains cas et fortement recommandée dans tous les autres.

Dernier article

S'abonner à la newsletter

Inscrivez-vous à notre lettre d'information pour recevoir des informations actualisées, des nouvelles et des conseils.

Catégories

Liens utiles

Copyright © 2022 | Tous droits réservés.