Qu’est-ce qu’un PIA et quand doit-on en faire un ?

Qu’est-ce qu’un PIA et quand doit-on en faire un ?

Qu’est-ce qu’un PIA et quand doit-on en faire un ? Le RGPD impose aux entreprises l’analyse d’impact pour des traitements sensibles (PIA) au regard des droits et des libertés des personnes. Mais qu’est-ce que c’est exactement ?
Qu’est-ce qu’un PIA et quand doit-on en faire un ?

Qu’est-ce qu’un PIA et quand doit-on en faire un ?

Le RGPD impose aux entreprises l’analyse d’impact pour des traitements sensibles (PIA) au regard des droits et des libertés des personnes.

Mais qu’est-ce que c’est exactement ?

L’analyse d’impact (DPIA ou PIA) est un outil important pour la responsabilisation des organismes, elle aide à construire des traitements de données respectueuses de la vie privée, mais aussi à démontrer leur conformité au Règlement général sur la protection des données (RGPD). Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.

Selon la CNIL le PIA repose sur deux piliers :

L’évaluation juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) qui sont fixés par la loi et doivent être respectés, quelle que soit la nature, la gravité et la vraisemblance des risques.

L’étude des risques sur la sécurité des données (accès non autorisé, modification et disparition de données, et leurs impacts potentiels sur la vie privée), permet de déterminer les mesures techniques et d’organisation pour protéger les données.

Quel traitement est concerné par l’analyse de risques ?

La CNIL liste des critères d’évaluation précis :

  1. Évaluation/scoring (y compris le profilage) ;
  2. Décision automatique avec effet légal ou similaire ;
  3. Surveillance systématique ;
  4. Collecte de données sensibles ;
  5. Collecte de données personnelles à large échelle ;
  6. Croisement de données ;
  7. Personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  8. Usage innovant (utilisation d’une nouvelle technologie) ;
  9. Exclusion du bénéfice d’un droit/contrat.

Les traitements qui remplissent au moins deux des critères ci-dessus doivent faire l’objet d‘une analyse d’impact.

A quel moment celle-ci doit être effectuée ?

Le PIA doit être mené avant la mise en œuvre du traitement. Cela veut dire avant tout nouveau traitement. Il s’agit d’une nouveauté du RGPD.

Cependant concernant les anciens traitements à risques, la CNIL recommande de procéder à cette analyse de façon rétroactive.

Comment faire un PIA ?

Les guides DPIA de la CNIL donne la méthode suivante :

  • Délimiter et décrire le contexte du traitement considéré
  • Analyser les mesures garantissant le respect des principes fondamentaux : la proportionnalité et la nécessité du traitement, et la protection des droits des personnes concernées ;
  • Apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités ;
  • Formaliser la validation du PIA au regard des éléments précédents ou bien décider de réviser les étapes précédentes.

Il est évident que pour mener à bien cette mission le rôle du DPO est majeur car il conseille le responsable du traitement et veille à la bonne exécution.(Nommez votre DPO)

Le PIA doit être transmis à la CNIL dans 3 cas de figures :

  • Si à la suite du PIA le niveau de risque reste élevé,
  • Si la législation nationale d’un État membre l’exige,
  • En cas de contrôle par la CNIL.

Comme pour les autres sanctions, en cas d’absence du PIA, celles-ci sont très lourdes :

« Le montant des amendes peut s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu »