La semaine dernière, la CNIL révélait la version beta de son logiciel open source PIA.
En deux mots, la PIA (ou Private Impact Assessment), c’est l’analyse d’impact sur la protection des données que doit mener chaque responsable de traitement (ou chef d’entreprise) dès lors qu’il se trouve confronté à un traitement de données à risque.
Optimex Data vous livre son retour d’expérience après une semaine d’utilisation du logiciel par ses experts.
Un logiciel gratuit et public, accessible à tous ?
Pour une personne expérimentée dans le domaine de la protection des données, le logiciel est facile à prendre en main car il reprend les guides de la CNIL et les principes généraux du RGPD. Toutefois, on doit souligner qu’il faut en connaître un rayon sur les mesures pouvant être mises en œuvre par les organismes (création d’un comité de suivi, recensement des traitements, plan d’action, mesures de sensibilisation, identification des tiers, des sous-traitants, des contrats et des conventions, etc.). Cela pose question sur la capacité des responsables de traitements (et des sous-traitants) à réaliser une analyse d’impact et sur l’accessibilité du logiciel à tout public.
L’étude d’impact, responsable de traitement ou DPO ?
Comme l’a souligné le G29 (le groupe des CNIL européennes) dans ses lignes directrices relatives au délégué à la protection des données, « il incombe au responsable du traitement, et non au DPD, d’effectuer, si nécessaire, une analyse d’impact relative à la protection des données. ».
On se questionne ainsi sur l’utilisation de l’outil qui est somme toute destiné à un utilisateur confirmé dans le domaine de la protection des données. Il est ainsi probable que le responsable de traitement délègue cette tâche à son DPO (Data Protection Officer ou DPD pour Délégué à la Protection des Données).
Le G29 a précisé que : « Le DPD peut jouer un rôle d’assistance du responsable du traitement très important et très utile ». Toutefois, ce dernier n’aura pas la légitimé pour valider le PIA s’il est l’auteur de ses propres recommandations. On peut dire que l’outil confirme les interrogations des experts au sujet de la PIA !
Deux modes pour un logiciel, une distinction peu évidente
Le logiciel est organisé en deux modes, le mode « éditeur » et le mode « validation ». Nous avons trouvé particulièrement difficile de distinguer et de comprendre (du premier essai du moins) la transition automatisée entre ces deux modes.
En principe, le responsable de traitement doit compléter les différents modules (mode « éditeur ») et le DPO ou l’auditeur externe doit critiquer, au regard du RGPD, les mesures et actions mises en œuvre (mode « validation »).
Cependant, on se perd très facilement entre le mode « éditeur » et le mode « validation ». En effet, on ne se rend pas toujours compte du mode utilisé ce qui complique la lisibilité du PIA, notamment lorsque plusieurs corrections sont à apporter.
Le PIA, un outil parfait pour les personnes sensibilisées
Après une mise en place qui peut prendre beaucoup de temps dans les organismes non ou mal préparés à la protection des données, le logiciel de la CNIL s’avère être un outil particulièrement utile pour les responsables de traitements sensibilisés à la protection des données (ou disposant d’un DPO) et ayant adopté (ou initié) une vraie démarche de conformité. On peut notamment extraire un plan d’action et une vue d’ensemble des risques.
Plan d’action – PIA
Optimex Data recommande fortement aux organismes confrontés à des traitements de données, pouvant entraîner des risques sur la vie privée de leurs utilisateurs/clients/usagers/employés, de se pencher sur des solutions adaptées en matière de protection des données.
