fbpx

Les analyses d’impact AIPD

Les analyses d’impact AIPD

Les analyses d’impact AIPD 1260 839 jeremy

analyse d’impact AIPD grenoble chambery annecy lyon valence

analyse d’impact isère

analyse d’impact AIPD france

Analyse d’impact AIPD

Définition :

L’analyse d’impact relative à la protection des données est une procédure de contrôle fixée par l’article 35 du RGPD. Elle intervient lorsque le traitement de données personnelles mis en place par un organisme (privé ou public) est susceptible de présenter un risque important pour les droits et libertés des individus concernés par ce même traitement.

L’analyse d’impact RGPD doit être mise en œuvre en amont du traitement en question, pour ensuite être mis à jour en fonction de son développement. En effet, dans la mesure où les technologies évoluent, il est nécessaire de prévenir au maximum les risques qu’un nouvel environnement de traitement pourrait occasionner sur les données analysées.

Un « risque sur la vie privée » est un scénario décrivant un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données, et ses impacts potentiels sur les droits et libertés des personnes) et toutes les menaces qui permettraient qu’il survienne.


Cas obligatoires ou non :

L’analyse d’impact est obligatoire à partir du moment où le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». En effet, soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29.

En revanche, la PIA n’est pas nécessaire lorsque le traitement figure dans la liste des exceptions adoptée par la CNIL, lorsque le traitement ne présente pas de risque élevé pour les droits et libertés des personnes ou encore lorsque le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public.


Procédure :

La CNIL a mis à la disposition des responsables de traitement et leur délégué à la protection des données, un logiciel de PIA pour faciliter la conduite et la formalisation des analyses d’impact telles que prévues par le RGPD.  S’agissant de la procédure, elle doit contenir :

– La description détaillée, l’intérêt et la finalité de l’opération envisagée afin de décrire précisément le traitement de données.

– Une évaluation de la nécessité de ce traitement en fonction des risques encourus sur les droits et libertés des personnes concernées

– Les mesures de sécurité et garanties envisagées pour diminuer les risques cités au préalable

Par la suite, aucune obligation de publication n’est demandée. Toutefois, si suite à l’analyse d’impact, les risques pour la sécurité des données restent élevés, le rapport doit être transmis à la CNIL. Cette dernière peut également initier cette vérification en demandant elle-même à avoir accès à ce rapport.


Avantages de la réalisation d’une analyse d’impact :

La réalisation d’une analyse d’impact est un bon moyen pour les entreprises de réduire les craintes, les inquiétudes des personnes concernées quant à l’utilisation de leurs données personnelles. Elle offre également un cadre de travail précis pour parvenir à rester conforme aux exigences du RGPD et aux recommandations de la CNIL. Enfin, c’est une preuve de sérieux, de professionnalisme qui ne peut qu’être bénéfique auprès des partenaires, clients, administrés …


Sanctions en cas de non-respect :

En cas de non-respect des règles relatives aux analyses d’impact posées par l’article 35 du RGPD, la sanction peut être est exemplaire. En effet, l’amende peut atteindre jusqu’à dix millions d’euros. Pour une entreprise, le montant retenu correspond à 2 % des chiffres d’affaires réalisés précédemment. La somme retenue étant la plus élevée.

Pour en savoir plus …