Data Marketing

RGPD : qu’est-ce que l’étude d’impact sur la vie privée ?

L’Etude d’Impact sur la vie privée ou PIA (Privacy Impact Assessment) est une obligation introduite par le futur Règlement Général européen sur la Protection des Données (RGPD) (cf. article précédent). Cette étude d’impact permet de détecter les risques pour la vie privée et sur les données personnelles associés à une technologie, une application ou un nouveau projet, d’évaluer leur probabilité et de documenter les mesures prises pour les limiter ou les éviter.

Nous allons analyser à quoi correspond cette étude d’impact et la méthodologie à suivre pour la réaliser en bonne et due forme.

 

Comment savoir s’il faut lancer une étude d’impact sur la vie privée dans mon entreprise ?

Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une étude d'impact sur la protection des données (en anglais, Privacy Impact Assessment ou PIA)*. 

De manière très concrète, les entreprises doivent se poser en amont les questions suivantes pour savoir si elles doivent lancer ou non une étude d’impact : 

 

Une bonne nouvelle est apportée par le régulateur européen sur le fait qu’une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires. Cela va donc permettre aux entreprises de mutualiser les études d’impacts et ainsi gagner en efficacité dans leur mise en conformité.

  

Quelle est la méthodologie à suivre ? 

La méthodologie globale d’une étude d’impact sur la vie privée comprend 4 étapes pour se conformer à la réglementation** : identifier le contexte du traitement des données personnelles, identifier les mesures existantes, analyser les risques et valider ou non l’étude d’impact. Vous trouverez ci-dessous notre schéma explicatif de chacune de ces quatre étapes. 

Dans le cas où l’étude d’impact ne serait pas validée (étape 4), il convient donc de reprendre les étapes 1, 2 et 3 et d’analyser à nouveau l’ensemble des traitements et les risques associés en fonction de leur gravité et de leur vraisemblance.

 

Les premiers pas d’une mise en conformité

Il est primordial, avant de lancer des études d’impact sur la vie privée, d’avoir une vision claire et exhaustive des différents traitements de données personnelles réalisés au sein de votre entreprise. Cela nécessite donc d’avoir effectué, au préalable, un travail long et fastidieux de recensement et de cartographie des traitements de données personnelles.  Une fois ce premier travail effectué, les études d’impact seront à prioriser en fonction de la sensibilité des données manipulées, de la quantité d’informations traitées et de la récurrence des traitements.

N’oubliez pas que ce travail doit être effectué avant le 25 mai 2018 afin d’être en conformité avec le RGPD. Il n’y a donc plus de temps à perdre, lancez-vous !

Vous voulez des conseils pour vous accompagner dans l’audit de vos données ? N’hésitez pas à contacter nos experts d’iProspect Data Consulting.

 

* Source : article 35 du Règlement Général européen sur la Protection des Données (RGPD)

** Source : https://www.cnil.fr/fr/gerer-les-risques