Le RGPD est une réglementation européenne qui a été mise en vigueur le 25 mai 2018. Cette nouvelle loi a fortement modifié les habitudes des entreprises en ce qui concerne le traitement de données à caractère personnel. En effet, elle impose certaines obligations à toutes les entreprises concernées afin que ces dernières réalisent des traitements de données plus respectueux de la vie privée et conformes au principe du RGPD. Parmi ces obligations figure le PIA (Privacy Impact Assessment ou Analyse d’Impact relative à la Protection des Données (AIPD). Voici tout ce que vous devez savoir sur le PIA.
Comment définir le PIA ou Analyse d’Impact relative à la Protection des Données ?
Pour responsabiliser les organismes, le RGPD leur recommande l’AIPD. Il s’agit d’un outil indispensable qui les aide à adopter des traitements de données respectueux de la vie privée, mais aussi à prouver leur mise en conformité au RGPD. Le PIA revêt un caractère obligatoire pour les traitements qui présentent des risques élevés.
L’analyse d’impact relative à la protection des données est composée de trois parties :
- Une présentation détaillée du traitement mis en place qui comprend à la fois les aspects techniques et opérationnels.
- L’évaluation juridique de l’utilité et de la représentativité liées aux principes et aux droits fondamentaux (objectif, durée de conservation des données, droits des personnes, etc.) non négociables. Ils sont fixés par la loi et doivent à tout prix être respectés, peu importe les risques.
- L’évaluation technique des risques sur la sécurité des données (intégrité, confidentialité et disponibilité), mais également leurs impacts possibles sur la vie privée. Cette étude permet la détermination des mesures à la fois techniques et organisationnelles indispensables pour sécuriser les données.
L’analyse d’impact relative à la vie privée ou PIA RGPD est-il obligatoire ?
Le pia RGPD peut être obligatoire ou non selon les cas et les activités des organismes.
Les cas où le PIA ne serait pas obligatoire
Dans les cas suivants, il n’est pas nécessaire de faire une analyse d’impact relative à la protection des données :
- Lorsque le traitement fait partie de la liste des exceptions évoquée par la CNIL après avoir consulté le CEPD ou Comité européen de protection des données ;
- Lorsque le traitement des données ne suscite pas de risque élevé pour les droits et libertés des personnes concernées ;
- Quand les caractéristiques du traitement à effectuer (nature, portée, contexte et finalité) sont presque les mêmes que celles d’une AIPD déjà menée.
- Quand le traitement est lié à une obligation légale ou indispensable dans la réalisation d’une mission de service public (d’après l’article 6 du RGPD), à condition que les points suivants soient réunis :
- Le traitement dispose d’une base légale dans le droit européenne ;
- Ce droit réglemente ce traitement ;
- Une AIPD a déjà été effectuée pendant la mise en place de cette base légale.
Les cas où l’AIPD serait obligatoire
Le PIA RGPD doit être réalisé au cas où le traitement de données présenterait un risque élevé pour les droits et libertés des personnes concernées. Autrement dit, une AIPD doit absolument être menée :
- Lorsque le traitement figure dans la liste des opérations de traitement pour lesquelles la CNIL préconise que
- Lorsque le traitement réunit au moins deux des neuf points stipulés dans les lignes directrices du G29 :
- « évaluation/scoring (y compris le profilage) ;
- décision automatique avec effet légal ou similaire ;
- surveillance systématique ;
- collecte de données sensibles ou données à caractère hautement personnel ;
- collecte de données personnelles à large échelle ;
- croisement de données ;
- personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
- usage innovant (utilisation d’une nouvelle technologie) ;
- exclusion du bénéfice d’un droit/contrat. »