Vous entrez dans un espace virtuel nous permettant de vous présenter nos activités, et vous offrant la possibilité d'entrer en contact avec notre accueil commercial dans le cadre d'une relation BtoB.
Notre site collecte des informations sur votre visite et utilise des modules strictement nécessaires. Ces informations ne nous permettent pas d'identifier les visiteurs et d'utiliser les données à des fins commerciales.
Afin de vous proposez d'entrer en contact avec nous, et des réaliser des statistiques plus précises, nous devons vous demander l'autorisation pour utiliser des modules complémentaires.
Il s'agit de données vous assurant un affichage correct des pages selon votre appareil, permettant d'assurer la sécurité du notre site, et la réalisation de statistiques anonymes sans suivi individualisé.
Le stockage ou l’accès technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou la personne utilisant le service.
Ils s'agit de données nous permettant de réaliser des analyses statistiques anonymes plus précises et notamment l'ordre des pages qu'un visiteur consulte
Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Il s'agit des données de statistiques individuelles précédentes et des informations que vous acceptez de communiquer en utilisant les moyens de contact engendrant un transfert des données à notre prestataire hors Europe (CRM Hubspot, utilisant les police Google (fonts).
AIPD
Obligation RGPD
L'analyse d'impact sur les données personnelles : Privacy Impact Assessment (PIA)
Le RGPD (Règlement Général sur la Protection des Données) impose la réalisation d'une analyse d'impact relative à la protection des données lorsque le traitement envisagé est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. Qu'est-ce que cela veut dire ?
Qu'est-ce qu'une AIPD, ou PIA, ou EIVP... bref une Privacy Impact Assessment ?
Avec pléthore d'acronymes, on en perd notre latin avant même de commencer à apprendre. La démarche d'analyse d'impact sur la protection des données a été conceptualisée il y a environ 30 ans, d'où les divers acronymes issus des interprétations et traductions différentes.
Comment définir une analyse d'impact sur les données personnelles ?
Une Privacy Impact Assessment (PIA), ou Analyse d’Impact Relative à la Protection des Données (AIPD) en français, est un processus méthodique qui permet d’analyser les risques liés au traitement de données à caractère personnel. Elle est essentielle pour garantir la conformité au Règlement Général sur la Protection des Données (RGPD) et pour protéger la vie privée des individus.
À noter l’utilisation rare de l’acronyme EIVP pour Étude d’Impact sur la Vie Privée.
Mais c'est quoi "analyser les risques" ?
D’une façon générale, l’analyse de risque est un processus essentiel pour identifier, évaluer et gérer les potentielles menaces qui pourraient affecter un projet, une entreprise ou une activité donnée. Elle permet de mettre en place des mesures préventives et de réduire les impacts négatifs.
L’analyse de risque est réalisée dans bien des domaines : finance, cybersécurité, environnement.
L’AIPD est une analyse du risque appliquée à la protection de la vie privée.
Comment se matérialise une Analyse d'Impact sur la Protection des Données ?
L'accountability imposée par le RGPD, signifie que chaque responsable de traitement doit être en mesure de démontrer sa conformité, ou tout du moins montrer les moyens mis en œuvre aux fins de démonstration du processus d'amélioration continue.
L'AIPD, un élément de la documentation RGPD.
Tout comme le registre de traitement, l’Analyse d’Impact relative à la Protection des Données, est un document exigé par le RGPD.
En quelque sorte, c’est une ligne du registre de traitement, sur laquelle on va appliquer une loupe, afin de vérifier si les risques portés peuvent être minimisés. L’exercice vise à appréhender le contexte, recenser les parties prenantes, processus et méthodes impliqué dans le traitement de données.
L'analyse d'impact sur la protection des données est un processus méthodologique.
Habituellement réalisée en quatre étapes, “l’Analyse d’Impact RGPD” est un exercice qui ne peut être réalisée par une seule personne :
Pourquoi réaliser une PIA ?
Une Analyse d'Impact Relative à la Protection des Données (AIPD) est une étape cruciale dans la mise en conformité avec le RGPD. Mais au-delà de cette obligation légale, la PIA offre de nombreux avantages.
Être conforme au RGPD en mesurant les impacts potentiels sur la vie privée des personnes.
Il est nécessaire de réaliser une AIPD dans le cadre de l’obligation légale : le RGPD impose la réalisation d’une PIA pour certains traitements de données présentant des risques élevés.
Parfois, l’obligation n’est pas évidente. Dans la majorité des cas, il appartient au responsable de traitement de déterminer son obligation. En cas de doute, la réalisation d’une étude des risques est recommandée aux fins de prévenir des sanctions. En effet, une PIA bien menée permet de démontrer votre conformité et de réduire le risque de sanctions financières importantes en cas de non-respect du RGPD.
Protéger le patrimoine informationnel.
La PIA permet d’identifier de manière proactive les risques pour la sécurité des données au sens large, qu’il s’agisse de données à caractère personnel, ou d’autres données ne devant pas être diffusées.
Grâce à ce recensement, l’identification de mesures de sécurité pour protéger et minimiser l’impact d’une fuite de données est facilitée.
Enfin, la réalisation d’une analyse de risque sur la protection des données, démontre l’engagement en faveur de la protection des données. Elle permet de renforcer la confiance des clients, partenaires et collaborateurs.
Améliorer les processus.
Au-delà de la sécurité, la PIA permet d’identifier les inefficacités dans les processus de traitement des données et de les améliorer.
De plus, en mettant en place des mesures de sécurité adaptées, il est possible de réduire les coûts liés à la gestion des incidents de sécurité.
Prendre des décisions éclairées au regard des impacts sur la protection des données.
L’AIPD permet aux dirigeants d’évaluer de manière objective les risques liés aux traitements de données.
Ainsi, cette évaluation aide à prendre des décisions éclairées concernant la mise en œuvre de nouveaux projets ou la modification de processus existants.
Quand l'AIPD est-elle obligatoire ?
L'article 35 du RGPD liste plusieurs critères permettant d'évaluer si un traitement présente un risque élevé pour les droits et libertés des personnes. Toutefois, le texte ne donne pas de liste exhaustive. C'est ici qu'un délégué à la protection des données intervient afin d'aider à la prise de décision.
Évaluation systématique et approfondie.
Précisées par le considérant 75, il s’agit de traitements ayant pour finalités “l’analyse ou la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels”.
Traitement à grande échelle de données sensibles (article 9).
Avant toute chose, la notion de “grande échelle” n’est pas définie par le RGPD. Elle est à considérer dans son contexte, mais aussi dans le temps et l’espace. Par exemple, à l’échelle de la planète, 500 personnes concernées paraît peu, mais à l’échelle d’un village de 500 habitants, cela paraît beaucoup. De la manière, les personnes concernées sur les 10 prochaines années, n’auront pas le même poids que sur les 10 prochains jours. La durée du traitement est donc à prendre en compte.
Par ailleurs, elle s’applique aussi bien aux personnes concernées qu’aux volumes de données.
Surveillance systématique (à grande échelle) d'une zone accessible au public
Ce point est assez facile à comprendre à une époque où les systèmes de vidéosurveillance se développent. Ici aussi, la notion de “grande échelle” peut interroger. Cela dit, il est plus probable qu’une surveillance se mettre en place dans les lieux fréquentés qu’en rase campagne.
Diagramme d'aide à la décision AIPD
Télécharger la liste CNIL : AIPD non requise.
Télécharger la liste CNIL : AIPD requise.
Télécharger le logiciel gratuit de la CNIL
Comment faire une analyse d'impact sur la protection des données ?
Toute analyse de risque doit suivre une méthodologie rigoureuse s'appuyant sur le modèle de la "roue de Deming", ou "Méthode PDCA". L'analyse d'impact relative à la protection des données, en mode "amélioration continue", et une gestion de projet par itération.
Pourquoi associer la méthode PDCA à l'analyse d'impact sur la protection des données ?
Par essence, les analyses de risque nécessitent des étapes permettant aux participants de disposer d’un outil, comme des voyageurs disposent d’une carte.
La méthode PDCA, Plan-Do-Check-Act, constitue cette carte grâce à laquelle les membres de l’équipe projet se repèrent.
Les participants à un tel exercice disposent alors de repères pragmatiques pour initier une analyse d’impact sur la protection des données.
Cette analyse méthodique de la conformité et des risques pesants sur la protection des données, nécessite une mise à jour périodique de son contenu au regard du contexte. La représentation ci-dessous doit permettre aux participants néophytes d’intégrer qu’une anaylse de risque ne peut être qu’un processus d’amélioration continue.
Quelles sont les étapes d'une analyse d'impact sur la protection de données ?
Le RGPD précise qu’une AIPD (article 35, paragraphe 7, et considérants 84 et 90) doit au moins contenir :
– description des opérations de traitement envisagées et des finalités du traitement,
– évaluation de la nécessité et de la proportionnalité des opérations de traitement,
– identifcation des risques pour les droits et libertés des personnes concernées,
– mesures envisagées pour anticiper les risques, les éviter, et, le cas échéant, atténuer leurs effets.
Comment utiliser la mtéhode PDCA avec l'analyse d'impact sur la protection des données ?
Faut-il un DPO pour réaliser une analyse d'impact relatice à la protection des données ?
Le délégué à la protection des données (DPO) est un expert de la conformité au RGPD. Ceci-dit, il faut distinguer les simples consultants RGPD des DPO certifiés. Tous les consultants RGPD n’ont pas d’expérience en matière d’AIPD, certains n’ont jamais réalisé d’analyse d’impact sur la protection des données. La raison est que tous les responsables de traitement n’ont pas l’obligation de réaliser une AIPD.
Dans les deux, ces professionnels de la conformité RGPD sont d’une aide précieuse dans la réalisation d’une analyse d’impact sur la vie privée.
Par ailleurs, n’importe qui est en mesure de mener une telle gestion de projet RGPD, à condition d’une formation complète : comptez 35 heures de formation aux bases du RGPD, puis au moins 20 heures pour les formations à l’analyse de risque et la gestion de projet. Par ailleurs, il fauts’assurer de la totale neutralité de la personne chargée de ce projet RGPD. En effet, il y aurait alors un rsique de voir l’analyse d’impact biaisait, et ainsi qu’elle représente davantage une menace de sanction qu’un élément de conformité.
Il est fortement recommandé de faire appel à un délégué à la protection des données bénéficiant d’une certification reconnue par la CNIL.
Combien coute d'externaliser une analyse d'impact relative à la protection données ?
Il est tout à fait possible de confier la gestion du projet AIPD à un prestataire externe. Le fait de faire appel à un simple consultant, ou à un DPO externe certifié influence la valeur d’une telle prestation. Il est important d’obtenir plusieurs devis avant de choisir un prestataire.
Le prix de la réalisation d’une analyse d’impact est influencé par plusieurs critères, par exemple les technologies utilisées dans le traitement, le DPO devant peut-être réaliser des recherches poussées utiles à l’étude de la situation. Enfin, la taille de l’équipe projet, et le nombre d’intervenants externes est succeptibles d’influencer le temps de réalisation et donc la facture.
Conclusion sur l'analyse d'impact relative à la protection des données ?
Comme nous l’avons vu, la réalisation d’une analyse de risque appliquée à la vie privée n’est pas un exercice facile. Il nécessite des connaissances techniques, des compétences pédagogiques, et idéalement une expérience concrète.
Pour conclure, nous insisterons sur la nécessité pour les responsables de traitement de ne pas laisser seule la personne en charge d’un tel projet. Il s’agit bien de la gestion d’un projet, et non de l’endossement de la responsabilité de la conformité RGPD. Enfin, nous recommandons aux employés, à qui on propose de mener une analyse d’impact sur la vie privée, d’exiger une formation complète afin d’éviter tout contentieux professionnel.
Recent Post
Thèmes
Categories