Article

GDPR / RGPD – Qu’est-ce que le PIA (Privacy Impact Assessment) ?

L’analyse d’impact sur la protection des données (Privacy Impact Assessment, PIA ou DPIA, cf. art. 35 du [RGPD]) est un outil important pour la responsabilisation des organismes. C’est une bonne pratique fortement recommandée, et obligatoire dans certains cas, qui aide à construire des traitements de données respectueux de la vie privée et à démontrer leur conformité au règlement général sur la protection des données (notion de responsabilité ou d’accountability en anglais, cf. art. 25 du [RGPD]). C’est un prérequis à la mise en œuvre d’une stratégie de « Privacy By Design » sur chaque nouveau projet. La démarche de conformité mise en œuvre en menant un PIA repose sur deux piliers :

Les principes et droits fondamentaux, « non négociables », qui sont fixés par la loi et doivent être respectés, quels que soient la nature, la gravité et la vraisemblance des risques encourus :

La légitimité de la finalité ; la licéité du traitement ; la minimisation des données ; la qualité des données ; la durée de conservation ; le respect des droits des personnes (information, accès, rectification, opposition, droit à l’oubli, limitation, portabilité, consentement) ; les transferts de données ; les sous-traitants.

La gestion des risques sur la vie privée, qui permet de déterminer les mesures techniques et d’organisation appropriées pour protéger les données :

Un risque est un scénario hypothétique qui décrit un événement redouté et toutes les menaces qui permettraient qu'il survienne. Plus précisément, il décrit : Comment les sources du risque pourraient exploiter les vulnérabilités du système dans le cadre de menaces et permettre à des événements redoutés de survenir sur des données à caractère personnel et provoquer des impacts sur la vie privée des personnes concernées.

Exemple : La base d’enregistrements de vidéosurveillance des clients est vulnérable car il n’existe pas de gestion avancée des droits d’accès à cette base de données sensibles. L’analyse d’impact consistera donc à comprendre comment un collaborateur pourrait utiliser ses accès pour analyser les habitudes de vie de quelques clients fortunés à partir d’enregistrements de vidéosurveillance et vendre ces informations à des individus malveillants qui auraient l’intention de cambrioler ces clients ? Le niveau d’un risque est estimé en termes de gravité (l’ampleur du risque au regard du préjudice pour l’entreprise et l’impact sur la vie privée des clients) et de vraisemblance (la possibilité que le risque se présente au regard des vulnérabilités du système et des sources du risque). Cette analyse approfondie permet donc d’identifier les mesures de sécurité à mettre en œuvre pour garantir la protection des données personnelles. Pour accompagner les entreprises dans cette démarche d’analyse, la CNIL met à disposition un logiciel libre PIA (https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil).

Publié en mars 2018

utilisateur d'un ordinateur souscrivant à une offre

Article

Assureur, courtier : pourquoi est-il urgent de digitaliser vos parcours de souscription ?

Face aux nouveaux entrants innovants sur votre marché : quels sont les avantages de la digitalisation de ses parcours de souscription et d'affiliation ?

Hommes tenant dans sa main un iPhone dont l'écran est le bureau

Article

Quel avenir pour les PWA ?

Et si un jour, vous appreniez qu’un géant de la Silicon Valley se mettait à boycotter une décision de l’UE en désactivant certaines fonctionnalités des PWA

illustration générée par l'IA pour parler de catalogue de données

Article

Quels sont les avantages du catalogage de données ?

Pourquoi mettre en place une gouvernance de vos données et initier la mise en place d'un Data Catalog : avantages et perspectives avec l'IA !