Il est une notion dont on entend beaucoup parler avec RGPD, une notion qui reste floue et qui fait peur, c’est le PIA (Privacy Impact Assessment), en français l’EIVP (Etude d’Impact sur la Vie Privée).
De quoi s’agit-il ? Quand s’applique cette étude ?
Quand réaliser un PIA ?
C’est l’article 35 de la réglementation européenne sur la protection des données qui stipule qu’une étude d’impact doit être réalisée lorsqu’un traitement sur des données personnelles ou sensibles (par traitement, il faut comprendre « activité », « action », « manipulation », etc.) peut entraîner un risque élevé d’atteinte à la vie privée des personnes concernées.
On considère qu’il y a un risque lorsqu’une personne extérieure peut s’introduire dans un système d’information pour subtiliser, modifier ou détruire des données.
A titre d’exemple, un risque peut survenir lors d’un export ou d’une communication quelconque de données.
Dans la notion de « risque », il existe 4 niveaux de critères dont l’appréciation appartient au DPO, qui constate de manière objective le degré de gravité des conséquences sur la vie privée.
Il juge ensuite s’il est nécessaire de procéder à des actions correctrices permettant de maintenir une conformité optimale des activités liées aux traitements.
Quoi qu’il en soit, la loi fait état de plusieurs cas pour lesquels une étude d’impact est obligatoire :
- Traitement à grand échelle de données sensibles (département / région / pays).
- Surveillance systématique à grande échelle d’une zone accessible au public (ex : bornage des opérateurs).
- Évaluation systématique et approfondie d’aspects personnels, y compris le profilage.
- Activité automatisée dont le but est d’évaluer systématiquement et de manière approfondie, les aspects personnels de personnes sur lesquelles des décisions sont prises en entraînant des effets juridiques.
En gros, l’analyse d’impact intervient quand il y a un risque ÉLEVÉ pour les droits et libertés des personnes physiques, soit pour un traitement, par le simple fait d’exister ou lorsqu’on est confronté à une faille de sécurité.
Comment mener l’étude d’impact sur la vie privée ?
Si vous avez déjà eu l’occasion de jeter un œil aux études de cas proposées par la CNIL pour réaliser un PIA, vous aurez sans doute noté leur aspect… imbuvable !
C’est pourquoi nous allons parler d’une méthode qui accompagne la réalisation de l’étude d’impact, plus légère, mais de laquelle la CNIL s’est également inspirée. Il s’agit de la procédure de gestion des risque développée par l’ANSSI, de concert avec le Club EBIOS : la méthodologie… EBIOS (littéralement l’Expression des Besoins et Identification des Objectifs de Sécurité).
EBIOS vous amène à vous poser 10 questions essentielles classées en 4 catégories :
Contexte :
- Pourquoi et comment va-t-on gérer les risques ?
- Quel est le sujet de l’étude ?
Événements redoutés :
- Quels sont tous les éléments craints ?
- Quels seraient les plus graves ?
Scénarios de menaces :
- Quels sont tous les scénarios possibles ?
- Quels sont les plus vraisemblables ?
Risques :
- Quelle est la cartographie des risques ?
- Comment choisit-on de les traiter ?
Mesures de sécurité :
- Quelles mesures devrait-on appliquer ?
- Les risques résiduels sont-ils acceptables ?
Ces 10 questions doivent être posées de manière générale pour tous les traitements qui nécessitent une étude d’impact. Certains traitement sont soumis à des normes CNIL particulières, il est donc nécessaire de se poser les questions qui leurs sont spécifiques.
On ne va pas vous mentir, il y aura (beaucoup) d’autres questions, mais celles-ci permettent de poser un cadre et de savoir où on va.
Et si vous vous demandez “qui est chargé de réaliser l’étude d’impact ?”, sachez que c’est au DPO de désigner les personnes habilitées pour le faire.
Concrètement, si vous devez réaliser une étude d’impact, n’hésitez pas à vous aider des outils mis à votre disposition, comme ceux de la CNIL, dont nous avons déjà parlé, ou des outils structurés (et tout à fait conformes) tel que celui que nous avons su développer et intégrer dans notre solution de mise en conformité GoRGPD ! vous verrez, cela vous simplifiera la vie !
Anne, Responsable Marketing chez Apsynet