Quand fait-on un PIA dans le cadre du RGPD ?

Quand fait-on un PIA dans le cadre du RGPD ?

Que veut dire PIA ?

Le terme PIA est un terme anglophone qui signifie : Privacy Impact Assessment. En français, nous parlerons d'une mise en place d'une évaluation de l’impact sur la vie privée.

 

Quand fait-on un PIA ?

L'article 35 du RGPD (section 3 - article 35) de la réglementation européenne sur la protection des données stipule qu’une étude d’impact doit être réalisée lorsqu’un traitement sur des données personnelles ou sensibles (par traitement, il faut comprendre « activité », « action », « manipulation », etc.) peut entraîner un risque élevé d’atteinte à la vie privée des personnes concernées.

Il s'agit d'une obligation aux entreprises ou organismes de mettre en place un PIA (analyse d'impact) au regard des droits et des libertés des personnes. Le PIA (analyse d'impact) correspond à un document et à un outil qui doit aider les entreprises ou les organismes à prouver qu'ils sont conformes au RGPD (Règlement Général sur la Protection des Données). Le PIA est obligatoire lorsque les entreprises ou organismes désirent mettre en place des traitements des données avec un risques élevé.

Tout le but du PIA est de réfléchir comment limiter les risques qu’une personne extérieure puisse subtiliser, modifier ou détruire des données ainsi que de prouver en cas de contrôle de CNIL que cela a bien été fait avant la mise en place de ce traitement.

Le RGPD fait état de plusieurs cas pour lesquels une étude d’impact est obligatoire :

  1. Évaluation systématique et approfondie d’aspects personnels, y compris le profilage ;
  2. Surveillance systématique à grande échelle d’une zone accessible au public (ex : bornage des opérateurs) ;
  3. Traitement à grand échelle de données sensibles (département / région / pays) ;
  4. Activité automatisée dont le but est d’évaluer systématiquement et de manière approfondie, les aspects personnels de personnes sur lesquelles des décisions sont prises en entraînant des effets juridiques ;

Cela signifie qu'il y a un risque élevé dès que vous touchez aux données sensibles des droits des personnes physiques.

La CNIL, nous demande aussi de porter une vigilance particulière dans les cas où

"VOUS TRAITEZ CERTAINS TYPES DE DONNÉES

  • des données qui révèlent l’origine prétendument raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale,
  • des données concernant la santé ou l’orientation sexuelle,
  • des données génétiques ou biométriques,  
  • des données d’infraction ou de condamnation pénale,
  • des données concernant des mineurs."

"VOUS TRAITEZ CERTAINS TYPES DE DONNÉES

  • des données qui révèlent l’origine prétendument raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale,
  • des données concernant la santé ou l’orientation sexuelle,
  • des données génétiques ou biométriques,  
  • des données d’infraction ou de condamnation pénale,
  • des données concernant des mineurs."

"VOUS TRANSFÉREZ DES DONNÉES HORS DE L'UNION EUROPÉENNE

  • vérifiez que le pays vers lequel vous transférez les données est reconnu comme adéquat par la Commission européenne ;
  • dans le cas contraire, encadrez vos transferts."

En nous stipulant que "Si vos traitements répondent à ses caractéristiques, des mesures particulières peuvent s’appliquer (exemple : analyse d'impact relatif à la protection des données, ..."

 

A quel moment doit-on l'effectué ?

Faîte bien attention, le PIA doit être fait avant que vous ne démarriez votre projet. Il s'agit d'un travail en amont et cela est vraiment important de le comprendre.

 

Comment fait-on un PIA ?

  • Premièrement, vous pouvez faire appel à nos services pour en réaliser un en remplissant ce formulaire sur ce lien ci-dessous
  • Deuxièment, si vous désirez vous lancer seul, la CNIL à mise en place un guide et un outil de réalisation de PIA

 

Il est important à noter que le PIA doit être remis à la CNIL dans 3 types de cas 

  • Si à la suite du PIA le niveau de risque reste élevé ;
  • Si la législation nationale d’un État membre l’exige ;
  • En cas de contrôle par la CNIL.

 

Je serais que trop vous rappeler l'importance si ce n'est l'obligation de nommer un DPO dans ce cadre de démarche de données. Voici un lien vers notre site expliquant la fonction de DPO.

Nous pouvons aussi vous proposer si vous le désirez 3 devis, d'agences de DPO partenaire. 

 

Divers articles sur la RGPD qui pourrait vous intéresser...

www.linkedin.com/company/dpo-rgpd-net/", "https://www.facebook.com/Dpo-rgpdnet-407001846454883/?modal=admin_todo_tour" ] } 7 secondes.--> en 0,101509 secondes.-->