PIA RGPD, c’est quoi ?

pia rgpd

PIA RGPD, c’est quoi ?

Le PIA (Privacy Impact Assesment), qui peut être traduit en français par “évaluation de l’impact sur la vie privée”, désigne une méthode d’analyse d’impact de la protection des données personnelles requise par le Règlement Général sur la Protection des Données ou RGPD. Le PIA dans le cadre du RGPD doit être mis en œuvre dès lors que la manipulation des données personnelles comporte un risque élevé pour les droits et les libertés des propriétaires de ces données.

Dans le contexte actuel où les entreprises sont amenées à manipuler une grande quantité de données personnelles d’utilisateurs, la PIA est un outil nécessaire pour un traitement respectueux de la vie privée. Il sert également à se mettre en conformité avec le RGPD et peut servir à instaurer une relation de confiance avec les clients de l’entreprise.

Qu’est-ce qu’un PIA (RGPD) ?

Le PIA du RGPD consiste en l’analyse de l’impact sur la vie privée de la protection des données personnelles traitées par l’entreprise. Cette méthode a été validée par le groupe de travail article 29 concernant la protection des données et celui des autorités de contrôle sur les données personnelles européennes, dont la CNIL pour la France. Elle est semblable sur de nombreux points au standard ISO29134 qui définit les études d’impacts sur les données personnelles identifiables.

La CNIL souligne que le PIA appliqué au RGPD s’appuie sur deux principes, à savoir :

  • L’étude des risques relatifs à la sécurité des informations et notamment les violations d’autorisations d’accès, les modifications et disparitions des données, les impacts potentiels sur la vie privée… afin de définir les actions à entreprendre pour garantir la sécurité des données. Ces techniques consistent dans ce cadre en des mesures techniques et d’organisation.
  • L’évaluation juridique portant sur la nécessité et la proportionnalité en ce qui concerne les principes et les droits fondamentaux fixés par la loi et avec lesquels l’entreprise doit se mettre en conformité indépendamment de la nature, de la gravité et de la vraisemblance des risques existants. Cela inclut entre autres les durées de conservation de ces informations, les objectifs de recueil de ces données, l’information et les droits des personnes, etc.

Si le PIA dans le cadre du RGPD est une procédure qui peut être particulièrement compliquée à mettre en œuvre, elle peut être exploitée par la suite par l’entreprise pour témoigner auprès du public de son attachement à la protection des données personnelles de ses clients. Elle permet ainsi de gagner leur confiance et de les rassurer quant aux procédures de collecte de données de l’organisation.

Le PIA ne doit donc pas être considéré uniquement comme un outil de mise en conformité, mais aussi comme une procédure au service de l’image de l’entreprise.

Quand doit-on faire un PIA (RGPD) ?

La mise en œuvre du PIA vis-à-vis du RGPD est obligatoire dès lors que le traitement des données personnelles des utilisateurs est susceptible de comporter un risque élevé pour les droits et les libertés des personnes concernées. Il s’agit d’ailleurs du critère principal déterminant cette obligation, même si en pratique, il demeure vague.

Ainsi, il faut comprendre que la présence d’un risque est admise lorsque le système d’information est vulnérable à l’intrusion, au vol, à la modification ou à la destruction des données par une personne extérieure.

Il est également possible de se référer aux dispositions de l’article 35 du RGPD qui prévoit des exemples de traitements susceptibles d’engendrer des risques pour les droits et les libertés des personnes. La CNIL complète aussi cette liste d’exemple, ce qui permet de déterminer l’obligation ou non de mettre en œuvre un PIA pour être conforme au RGPD. Les autres critères sur lesquels s’appuyer s’articulent autour des méthodes de traitements ou les données suivantes.

De ce fait, l’analyse d’impact est obligatoire lorsque le traitement de données figure dans la liste des opérations précisées par la CNIL ou lorsque le traitement envisagé remplit 2 des 9 critères issus des lignes directrices du G29.

  • Les informations concernant les personnes vulnérables (personnes âgées, mineurs, les patients…)
  • L’évaluation ou le scoring des données dans le cadre d’une étude de marché par exemple
  • Le croisement de données
  • Le traitement consistant à collecter des données sensibles (relatives aux opinions politiques et religieuses, l’appartenance syndicale, la santé, l’orientation sexuelle, etc.)
  • La collecte à grande échelle de données personnelles
  • L’utilisation d’une technologie ou d’un procédé innovant
  • Le transfert de données hors de l’UE
  • La surveillance systématique d’une zone accessible au public
  • L’exclusion du bénéfice d’un droit ou d’un contrat

L’analyse d’impact n’est par ailleurs pas nécessaire dans les cas de figures suivants :

  • Le traitement de données prévu figure dans les exceptions adoptées par la CNIL (déterminées après consultation du Comité européen de protection des données)
  • Le traitement ne comporte aucun risque pour les droits et libertés des personnes concernées
  • Le traitement constitue une obligation légale ou est effectué dans cadre d’une mission du service public et sous certaines conditions
  • La nature, le contexte et les objectifs du traitement sont semblables à un traitement ayant déjà fait l’objet d’un PIA pour le RGPD auparavant

protection des données

Comment réaliser un PIA (RGPD) ?

Le PIA appliqué dans le cadre du RGPD doit être effectué avant le traitement des données. Il est possible de choisir entre 2 options :

  • Faire appel à un expert en conseil en protection des données et en sécurité de l’information qui inclut dans ses services la mise en œuvre du PIA pour le RGPD. La méthode employée doit satisfaire aux exigences définies dans l’annexe 2 des lignes directrices du G29.
  • S’appuyer sur le guide et l’outil de réalisation prévus par la CNIL.

Le guide de la CNIL présente les étapes du PIA réalisé pour le RGDP comme suit :

  • Délimitation et description du contexte du traitement de données envisagé
  • Analyse des mesures garantissant le respect des principes fondamentaux : la proportionnalité, la nécessité du traitement et la protection des droits des personnes concernées
  • L’appréciation des risques sur la vie privée en ce qui concerne la sécurité des données et la vérification de leur traitement
  • Formalisation de la validation du PIA en prenant en considération les éléments constatés grâce aux étapes précédentes ou révision.

Il est toujours fortement recommandé de faire appel à un expert ou de nommer un DPO pour réaliser un PIA visant à se conformer au RGPD afin de s’assurer de sa réussite.