Sélectionner une page

L’analyse d’impact relative à la protection de données est un concept tenu par la mise en place du RGPD. Cependant, l’obligation ou non de cette évaluation des risques est souvent une source de question. Pour mieux vous orienter, la CNIL a établi une liste d’exemple pia rgpd. Découvrez dans cet article tout ce qu’il faut savoir pour mener à bien votre mise en conformité.

Un PIA RGPD : De quoi s’agit-il ?

La réalisation d’un Protection Impact Assessment (PIA) est l’une des obligations imposées aux entreprises suite à la mise en place du Règlement Général sur la Protection de Données (RGPD). Généralement appelé PIA RGPD, c’est une analyse d’impact concernant la protection des données à caractère personnel. Cette évaluation est obligatoire si le traitement de données fait par une entreprise peut entrainer un risque élevé sur la vie privée des personnes concernées.

Le PIA est donc une obligation vous obligeant à effectuer des traitements de données dans le respect des Droits et libertés des personnes, pour ainsi faire une démonstration de votre mise en conformité à l’autorité de contrôle, qui est la Commission Nationale de l’Informatique et Libertés (CNIL). Sachant que la violation de la règlementation est passible de lourdes sanctions, avec une amende pouvant atteindre plusieurs dizaines d’euros.

Le PIA est très complexe, cependant, vous pouvez en profiter pour montrer à la clientèle de votre souci pour la protection de leurs données personnelles, et ainsi promouvoir une image de qualité.

La mise en place d’un PIA : Obligation

D’après le règlement Européen, l’analyse d’impact est obligatoire si les données traitées par votre entreprise présentent un risque élevé pour le Droit et libertés des personnes. Cependant, le texte n’est pas très précis. Pour vous éclaircir sur ce point assez flou, il faut voir un exemple pia rgpd obligatoire dans l’article 35 du RGPD, une liste établie par la CNIL. Se renseigner ici pour plus d’informations.

Pour encore plus de précision sur chaque exemple pia rgpd, vous pouvez consulter les lignes directrices du G29. Le PIA est donc obligatoire pour :

  • Une analyse du marché ou scoring ou un profilage ;
  • Une collecte de données à grande échelle;
  • Un traitement de données sur l’état de santé;
  • Un traitement automatisé licite ;
  • Un système de surveillance dans un lieu public ;
  • Une collecte de données sensibles pour les enfants ;
  • Une utilisation de technologie nouvelle;
  • Une donnée de référence pour un prêt ;
  • Des transferts de données dans un pays étranger.

Chaque interprétation de ces critères est différente, d’où la nécessité de consulter un professionnel tel qu’un Délégué à la Protection de Données (DPO) ou Consultant RGPD, ou un sous-traitant.

 

PIA RGPD : Documentation

Sur son site, le CNIL offre des méthodes de base et un outil PIA pouvant être téléchargé si besoin. Pour fournir une preuve de votre mise en conformité à la data protection, un registre de traitement doit être construit par les responsable de traitement et transmis à la CNIL. Le document en question comporte nombreuses parties avec un aspect juridique, organisationnel et technique les unes que les autres.

Il doit contenir l’intégralité des documents de traitements avec leurs finalités, pour faire une analyse de la nécessité des données collectées et ainsi faire une rectification si nécessaire. Ensuite, le document expose les risques en tenant compte de la gravité et du potentiel de survenance de ces derniers. Enfin, bien évidemment, le document doit comporter toutes les solutions envisagées pour éviter ou faire face à ces éventuels risques.

Généralement, un PIA RGPD peut être réalisé en une semaine en fonction de la quantité de données à évaluer et peut couter entre 500 à quelques milliers d’euros en fonction de la complexité des opérations.