fbpx

Opinion

analyse d'impact protection des données

Audit RGPD & AIPD : objectifs et différences ?

Audit RGPD & AIPD : objectifs et différences ? 1260 840 jeremy

Analyse d’impact protection des données personnelles et audit RGPD, quels différences, quels objectifs …

Objectifs et différences : analyse d’impact protection des données personnelles et audits RGPD

Selon les recommandations de la CNIL, une fois que le délégué à la protection des données a été désigné, l’étape suivante est de cartographier les traitements de données personnelles. Ensuite, il convient de gérer les risques potentiels via la conduite d’analyse d’impact relative à la protection des données – AIPD, pour les traitements ayant été identifiés à risques pour les droits et libertés des personnes concernées. Et beaucoup s’interroge sur la différence entre un audit de conformité RGPD et une AIPD. A travers cet article, nous allons vous expliquer la différence entre les deux sujets et surtout leurs objectifs respectifs.

Les objectifs d’un audit de conformité RGPD ?

Dans une démarche de mise en conformité, le délégué à la protection des données réalise un audit de conformité RGPD. Cela consiste à faire le tour des services afin d’évaluer les actions à mettre en place conformément aux exigences du RGPD. Lors de ce tour des services, le DPO / DPD est amené à rencontrer les différents acteurs en interne. Il pourra ainsi mieux appréhender leur quotidien professionnel.

De cet échange, il en ressort généralement avec une liste des traitements (la cartographie) réalisés dans chacun des services ; les prémices pour rédiger le fameux registre des traitements. Ensuite, le DPO / DPD récupère les documents et formulaires utilisés pour …

  • recueillir des données personnelles ;
  • recueillir les contrats signés avec les sous-traitants – sous-traitants au sens du RGPD ;
  • Identifie les mesures de sécurité en place – techniques et organisationnelles.

Enfin, il conçoit un plan d’actions pour identifier et prioriser les actions à mettre en place, pour se conformer aux obligations du RGPD et de la loi Informatique et Libertés. Effectivement, les priorités sont définies au regard des risques qui pèsent sur les droits et les libertés des personnes.

En résumé, un audit de conformité RGPD permet de faire un état des lieux de l’existant afin de recenser les actions déjà conformes à la réglementation vigueur et celles nécessitant une mise à jour. Parmi les mises à jour identifiées, une analyse d’impact relative à la protection des données – AIPD est quelques fois nécessaire.

Les objectifs d’une analyse d’impact relative à la protection des données – AIPD ?

Pour les traitements présentant des risques élevés, et qui ont été identifiés lors de l’audit RGPD, il est important de s’interroger sur l’utilité de réaliser ou non une AIPD. Afin de clarifier certains traitements courants, la CNIL a publié une liste des traitements nécessitant la réalisation d’une AIPD et la liste des traitements dont la réalisation d’une AIPD n’est pas requise. Les traitements les plus couramment concernés par la conduite d’une AIPD concerne soit un public vulnérable – personnes âgées, mineurs, salariés … soit des données sensibles – santé, appartenance religieuse, données judiciaires …

Cependant, même pour les traitements figurant sur la 2ème liste – AIPD non requise ; nous recommandons vivement de faire à minima une analyse des risques. En effet, une analyse des risques est réalisée en amont de la conduite d’une AIPD ; la raison est que la conclusion d’une analyse des risques peut conduire à la décision qu’une AIPD n’est pas nécessaire. Contrairement à une analyse des risques, la conduite d’une AIPD permet de :

  • Délimiter et décrire le contexte du traitement
  • Analyser et identifier les mesures garantissant le respect des principes fondamentaux
  • Apprécier les risques sur la vie privée
  • Valider (ou non) le traitement, et ainsi autoriser la continuité du traitement

Les conclusions d’une AIPD se basent le niveau gravité et de vraisemblance du risque encourus, au regard des 9 critères issus des lignes directrices du G29. La validation d’une AIPD vient corréler des risques potentiels avec des mesures spécifiques pour garantir la protection des données personnelles.

Mais quand doit-on réaliser une analyse d’impact – AIPD ? La CNIL recommande de réaliser une AIPD avant la mise en œuvre du traitement. Cependant, dans la plupart des situations, le traitement est déjà en place, et l’AIPD est donc réalisée à posteriori. Néanmoins, il est nécessaire de revoir une AIPD de façon régulière. Le traitement peut en effet évoluer en termes d’environnement technique et organisationnel.

En conclusion …

En résumé, un audit de conformité RGPD conduit très souvent à la nécessité de réaliser une analyse d’impact – AIPD sur certains traitements ayant été identifiés à risques pour la vie privée. L’un ne va pas sans l’autre. Mais il est préférable de commencer par un audit de conformité RGPD. Ce-dernier permet d‘avoir une vision globale de la structure et des traitements nécessitant l’utilisation de données à caractère personnel. Ensuite, dans un second temps, la réalisation d’une analyse d’impact – AIPD permet de valider un traitement en ayant identifié les risques potentiels sur la vie privé et en ayant mis en place des actions garantissant la protection des données personnelles.

sensibilisation rgpd

Pourquoi sensibiliser les effectifs à la protection des données

Pourquoi sensibiliser les effectifs à la protection des données 1260 765 jeremy

Optimex Data vous propose des solutions de sensibilisation RPGD ou sensibilisation à la protection des données des équipes.

sensibilisation RGPD

L’une des missions du Délégué à la Protection des Données est la sensibilisation du personnel au RGPD, et surtout aux bonnes pratiques à suivre pour garantir la sécurité, la protection et la confidentialité des données personnelles (Art. 39 du RGPD). Pour cela, la CNIL met en place plusieurs outils pour aider les organismes : des fiches thématiques ou encore le MOOC en ligne. Également, l’ANSSI a mis en place son MOOC sur la sécurité numérique.

Alors, pourquoi est-ce si important de former ses équipes au RGPD ? Et surtout comment le faire de manière efficace avec des résultats probants ?

Pourquoi sensibiliser les équipes au RGPD ?

La sensibilisation à la protection des données est un enjeu majeur pour tous les organismes. Le Délégué à la Protection des Données a beau mettre en place toutes les procédures nécessaires au respect du RGPD, si les salariés ne sont pas au courant de ce qui existe, cela n’a pas de sens. C’est comme installer une porte blindée en laissant les clés dessus. En effet, il est primordial d’impliquer les équipes dans la mise en conformité RGPD de leur structure. Tout le monde est acteur et responsable de la protection des données. CE sont les bonnes pratiques du quotidien qui assureront et garantiront la sécurité des donnée personnelles.

De plus, chaque collaborateur doit connaitre la procédure en cas de demande de droit des personnes, en cas de violations de données, en cas de demande d’un client – prospect – tiers ou bien en cas de contrôle de la CNIL. Pour cela, le Délégué à la Protection des Données se doit de communiquer et d’expliquer la procédure à suivre dans chacune des situations, et surtout le nom des interlocuteurs à contacter en cas de besoin ou de doute.

Enfin, il est important de sensibiliser les utilisateurs sur la sécurité informatique, et l’utilisation des outils numériques pour respecter les exigences du RGPD. Alors, il convient d’expliquer aux équipes comment naviguer sur internet en toute sécurité ; comment sécuriser ses mots de passe ; de quelle manière utiliser ses appareils mobiles en toute sécurité…

Comment sensibiliser les équipes au RGPD ?

Même si les organismes ont bien conscience de l’important de la sensibilisation à la protection des données personnelles, tous ne savent pas forcément comment s’y prendre. A noter, qu’il existe autant de façons de sensibiliser les équipes au RGPD, qu’il existe d’organismes. Chaque structure, en fonction de sa culture d’entreprise ou de son organisation interne, va privilégier une méthode plutôt qu’une autre.

En revanche, nous pouvons regrouper en grandes catégories les façons qui ont été reconnues et approuvées en matière de sensibilisation. La plupart du temps, il est plus efficace d’en réaliser plusieurs en parallèle pour s’assurer de l’impact positif sur l’ensemble des salariés. En effet, voici les différentes manières de sensibiliser les équipes au RGPD : note d’information interne (panneau d’affichage, intranet, e-mail), réunion d’information par service (bonnes pratiques par service), webinar ou e-learning de 30 à 45 minutes, plénière à l’ensemble du personnel, formation pour les responsables de service.

De plus, il est possible de sensibiliser les équipes par des campagnes de phishing, afin de s’assurer que les procédures mises en place soient suivies. Également, certaines structures envoient des e-mails à leur salarié avec la bonne pratique RGPD de la semaine ou du mois, sous format humoristique.

En conclusion …

La sensibilisation à la protection des données auprès des salariés est vraiment spécifique à chaque structure. Il est obligatoire de sensibiliser tout le monde au sujet du RGPD. En revanche, nous sommes libres de choisir la méthode, celle qui correspond le mieux à nos valeurs, à notre organisation et nos modes de communication en interne. Un conseil : soyez créatifs sur le sujet du RGPD, vous marquerez l’esprit de vos équipes !

mission du dpo

La mission du DPO

La mission du DPO 1260 840 jeremy

Optimex Data présente la mission du DPO / DPD.

la mission du dpo

Le Règlement Général sur la Protection des Données – RGPD n’oblige pas nécessairement la désignation d’un délégué à la protection des données – DPD /DPO – auprès de la CNIL. Cependant, la CNIL l’encourage et le recommande vivement pour toute structure, en termes de bonne pratique et d’élément de preuve de conformité.

Mais quel est le rôle et la mission du DPD / DPO ? Quelles tâches confier à son DPD / DPO ?

Les missions du DPD / DPO

Nous pouvons regrouper en 4 catégories, les missions principales du délégué à la protection des données :

1. Informer et conseiller

Pour cela, le DPD / DPO se doit de tenir une veille juridique constante. Ainsi, il se tiendra informé des évolutions réglementaires. Son rôle est également de conseiller le Responsable de traitement sur les décisions à prendre en matière de protection des données. En tant que chef d’orchestre de la conformité RGPD, sa responsabilité sera de tenir informés le Responsable de traitement, les sous-traitants de l’organisme, les salariés et tous les tiers pour les informer et les aider sur concernant l’exercice de leurs droits. Enfin, l’une des premières missions de délégué à la protection est la sensibilisation de l’ensemble du personnel pour les intégrer dans le projet de conformité RGPD, afin de développer une vraie culture RGPD.

2. Contrôler la conformité au RGPD et à la Loi Informatique et Libertés

Selon le RGPD, le délégué à la protection des données se doit de garantir le droit des personnes, en mettent en place des procédures et de la documentation – politique de confidentialité, mentions d’informations … De plus, c’est souvent sur le DPD / DPO que revient la tâche de la mise en place, d et du contrôle des différents registres obligatoires – registres des traitements, registres des demandes de droits, registre des violations de données.

Également, il devra être intégré dans la mise à jour contractuelle, pour s’assurer de la conformité des documentsprésence ou non de clause RGPD pour informer les personnes concernées.

Pour finir, il devra conduite régulièrement des audits auprès des différents services pour s’assurer de la conformité des traitements, que ce soit des nouveaux traitements – privacy by design – ou des traitements existants – privacy by default.

3. Tenir compte des risques

En tant qu’interlocuteur privilégié sur la protection des données, le DPD / DPO devra surveiller et prévenir les risques potentiels en tenant compte de la gravité du risque encourus, ainsi que la vraisemblance du risque – quelle probabilité ? A cet effet, plusieurs outils existent pour faciliter cette mission : la réalisation d’analyse de risques, puis en fonction des conclusions, la conduite d’une analyse d’impact – AIPD. De plus, la CNIL a mis en place une liste des traitements nécessitant une AIPD et les traitements ne faisant pas l’objet d’une obligation d’AIPD.

4. Coopérer avec l’autorité de contrôle – la CNIL

L’un des points essentiels à garder en tête est l’importance des relations et des échanges entretenus avec la CNIL. Evidemment, le DPD / DPO prend contact avec l’autorité de contrôle dès sa désignation, puisqu’il doit s’enregistrer officiellement sur le site de la CNIL. Mais, les relations avec la CNIL ne doivent pas s’arrêter là.

Effectivement, le rôle de la CNIL n’est pas uniquement de sanctionner les organismes, mais également de les conseiller dans leur démarche de mise en conformité au RGPD et à la Loi Informatique et Libertés. C’est pourquoi, il est primordial pour un DPD / DPO de maintenir un échange en continu avec la CNIL. Il aura un rôle important à jouer en cas de contrôle par la CNIL. Il devra alors coopérer avec l’autorité de contrôle, en répondant aux questions et en mettant à disposition les éléments réclamés par la CNIL.

En conclusion …

Les missions confiées au délégué à la protection des données lui demanderont des qualités humaines, organisationnelles et un grand sens pédagogique, ainsi que des compétences juridiques et informatiques, et une bonne connaissance du secteur d’activité de l’organisme.  Impliquer l’ensemble du personnel est la clé de la réussite pour mener à bien le projet de mise en conformité RGPD.

dpo externe

DPO externe ou interne

DPO externe ou interne 1260 841 jeremy

Optimex Data vous propose des solutions sur-mesure de dpo externalisé et d’accompagnement du DPO interne.

dpo externalisé

Depuis l’application du RGPD au 25 mai 2018, un nouveau métier est apparu, le Délégué à la Protection des Données DPD – Data Protection Officer DPO, qui vient remplacer le Correspondant Informatique et Libertés – CIL.

La question se pose alors de choisir entre la désignation d’un délégué à la protection des données externalisé ou la désignation, en interne, d’un salarié dédié au projet de conformité RGPD. Même si les missions restent identiques et que les exigences du RGPD doivent être respectées, les organismes soumis à cette obligation – article 37 du RGPD, devront trouver leur prochain Délégué à la Protection des Données. Alors, sur quels critères se baser pour répondre à cette question ? Quelles sont les avantages et les inconvénients d’un DPD / DPO externe ou interne ?

Les avantages d’un DPD / DPO interne

Un délégué à la protection des données interne a une bonne connaissance de l’environnement de travail dans lequel il opère. Il connait les interlocuteurs, les valeurs de l’organisme, les process métier mis en place, les outils et logiciels utilisés au quotidien … De plus, un DPD / DPO interne sera plus réactif en cas de nécessité d’intervention physique « immédiate ». Etant un salarié de l’organisme, il est sur site, à proximité des collaborateurs au sein des différents services.

Les inconvénients d’un DPD / DPO interne

En revanche, lors de la désignation du délégué à la protection des données parmi les collaborateurs en place, un climat de tension peut apparaitre avant de savoir qui va « récupérer ce dossier supplémentaire ». Une fois la décision prise, le salarié aura besoin d’un temps de formation pour acquérir les connaissances nécessaires à la nouvelle mission que l’on vient de lui confier.

En effet, les coûts d’un DPD / DPO interne sont difficilement chiffrables, puisque le poste se cumule aux missions actuelles du salarié, la plupart du temps sans augmentation significative du salaire. Enfin, le dernier point de vigilance à avoir quand on désigne un DPD / DPO interne est le risque de conflit d’intérêt. En effet, le délégué à la protection des données doit être neutre et indépendant, à aucun moment il ne peut être juge et partie. C’est souvent pour cette raison que le choix de l’externalisation du poste de DPD / DPO est privilégié.

Les avantages d’un DPD / DPO externe

Le premier avantage d’un délégué à la protection des données externalisé est son indépendance. En tant que conseil auprès de l’organisme, le risque de conflit d’intérêt est levé. De part son expertise, il prend en charge la mission de DPD / DPO en apportant son expérience professionnelle acquise sur le terrain. Certains DPO externalisés peuvent également justifier leur expertise par l’obtention d’une certification, attestant de leurs compétences pour exercer dans le domaine de la protection des données.

Également, le DPD / DPO externalisé permet une maitrise du budget conformité RGPD, grâce à une relation contractuelle entre les deux parties. Enfin, en faisant appel à une agence spécialisée en protection des données, l’organisme s’assure d’une disponibilité immédiate (absence de formation), ainsi qu’une disponibilité à la carte en fonction des besoins, d’une année à l’autre. A noter, qu’il est également possible de mutualiser la fonction de DPD / DPO entre organismes appartenant à un même secteur d’activité.

Les inconvénients d’un DPD / DPO externe

Il est souvent reproché à un DPD / DPO externalisé son coût horaire ou son taux journalier. L’autre inconvénient mis en avant, quand un organisme fait appel à un DPD / DPO externalisé, est le temps d’adaptation et la prise de connaissance de l’organisme. Il est inévitable qu’en tant que prestataire conseil, un DPD / DPO externe prenne un temps pour analyser l’existant et se familiariser avec l’environnement et les méthodes de travail de l’organisme.

En conclusion …

Alors, à la question « Doit-on externaliser ou internaliser la fonction de délégué à la protection des données ? », il est impossible d’avoir une réponse binaire. Il convient d’étudier le contexte, les ressources à disposition – ressources financières et humaines, la taille de l’organisme, ainsi que les besoins à court et long terme sur la conformité RGPD.

Faire appel à un DPD / DPO externalisé est courant pour toute la mise en place opérationnelle de la conformité, puis de former en parallèle un DPD / DPO interne pour prendre le relai au niveau du suivi de la conformité RGPD. Puis, ponctuellement, l’organisme refait appel au DPD / DPO externalisé pour la réalisation des analyses d’impact, la sensibilisation du personnel ou tout autre mission à la carte. En revanche, il est important de rappeler que les « plateformes de mise en conformité » ne peuvent pas garantir la conformité au RGPD. Ces solutions métier ne remplacent pas un DPD / DPO compétent, qu’il soit interne ou externalisé.

budget dpo

Quel est le coût du RGPD ?

Quel est le coût du RGPD ? 1260 840 jeremy

Avec la mise en conformité au RGPD, quel Budget DPO pour l’organisme ?

budget dpo et rgpd

Le Règlement Général sur la Protection des Données – RGPD – fait beaucoup parler depuis 2018. Les organismes veulent bien se mettre en conformité, mais à quel prix ? Encore une nouvelle obligation qui va générer des dépenses non prévues dans les budgets prévisionnels. Pour éviter de naviguer à vue, voici une liste des postes à anticiper pour la mise en conformité RGPD.

La formation du personnel

La première étape dans la mise en conformité est le coût lié à la formation des salariés pour les sensibiliser aux enjeux de cette nouvelle obligation, aux bonnes pratiques à adopter dans leur quotidien professionnel, et aussi l’importance de respecter les process mis en place.

La sensibilisation peut s’articuler sous différents formats : e-learning avec des sessions de 20 à 30 minutes – plateforme de Digital Learning standard ou personnalisée, des sessions en présentiel animées par le Délégué à la Protection des Données – DPD / DPO – ou un formateur externe, des livres blancs, des notes internes … En fonction du format choisi, les prix sont très aléatoires.

En plus de la sensibilisation du personnel, il faut prévoir une formation plus pointue pour le Délégué à la Protection des Données ou le Référent RGPD en interne de l’organisme. Les formations les plus courantes varient de 3 à 5 jours, pour un budget de 1 500 € à plus de 3 000 € pour les formations préparant à la certification du DPO.

L’audit de conformité RGPD

Lors du lancement du projet de mise en conformité RGPD d’un organisme, il est important de faire un état de lieux de l’existant. Cela consiste à faire le tour des services afin d’identifier tous les traitements réalisés par service. A l’issu de cet audit, l’organisme est en mesure de mettre en place une cartographie des traitements, pour faciliter la rédaction du registre des traitements.

Également, l’objectif de l’audit de conformité est de préparer un plan d’actions correctives afin d’estimer le budget RGPD correspondant, en fonction des conclusions. En règle générale, un audit de conformité RGPD varie de 2 à 10 jours homme en fonction de la taille de l’organisme. Ce temps englobe les temps d’échange sur site, l’analyse par les consultants RGPD ou le DPD / DPO interne, la mise en place du plan d’actions et la réalisation de la cartographie des traitements.

En plus du coût de prestation de l’audit, il faut ajouter au budget RGPD des coûts cachés comme le temps passé par les salariés lors des échanges sur site.

La mise en place du plan d’actions

En fonction des priorités identifiées sur le plan d’actions suite à l’audit de conformité RGPD, le temps alloué à cette étape, et donc le budget RGPD afférent, est beaucoup plus délicat à estimer. En effet, certains organismes sont plus avancés que d’autres, et nécessitent moins d’ajustements. A contrario, d’autres structures peuvent avoir un panorama de mise en conformité beaucoup plus large.

Les correctifs peuvent concerner la mise à jour des documents contractuels. Cela peut nécessiter la consultation d’un cabinet d’avocat, dont le cout horaire peut varier de 100 à 300 € de l’heure en fonction de la zone géographique.

Les correctifs peuvent concerner un renforcement de la sécurité des systèmes d’information. Cela peut nécessiter l’intervention d’un prestataire spécialité en cybersécurité ou votre prestataire informatique, dont le coût jour varie de 600 à 900 €, en fonction de la thématique abordée. En plus, il est parfois primordial de mettre à jour des logiciels ou de revoir l’intégration des systèmes d’information.

Les correctifs peuvent concerner la mise en place de procédures RGPD, de documentations spécifiques, de vérification de la conformité des sous-traitant, de la réalisation d’une analyse d’impact ou autres. Cela peut nécessiter l’intervention d’un consultant RGPD ou d’un DPO externe, dont le coût jour varie de 750 à 950 €.

Enfin, il faut prendre en compte également la mobilisation du personnel qui devra relire et valider tous les livrables de vos conseils. Et cette variable dépend de la masse salariale des collaborateurs mobilisés.

La veille et le maintien de la conformité RGPD

Et comme la conformité RGPD n’est pas une fin en soi. Aucune structure ne peut prétendre être 100% conforme RGPD. Donc, il est très important de réaliser une veille juridique en continue et de s’assurer du maintien de la conformité, et de prévoir cette ligne dans son budget RGPD.

Cette dernière étape est souvent la dernière roue du carrosse, par manque de temps ou manque d’expertise. C’est pourquoi, il est souvent préférable de se faire accompagner par une agence spécialisée dans le domaine de la protection des données … comme on se fait accompagner par un expert-comptable ou un avocat en droit social.

analyse d’impact AIPD

Les analyses d’impact AIPD

Les analyses d’impact AIPD 1260 839 jeremy

solution analyse d’impact AIPD grenoble chambery annecy lyon valence

Agence rgpd et analyse d’impact isère

Prestation d’analyse d’impact AIPD france

Analyse d’impact AIPD

Définition :

L’analyse d’impact relative à la protection des données est une procédure de contrôle fixée par l’article 35 du RGPD. Elle intervient lorsque le traitement de données personnelles mis en place par un organisme (privé ou public) est susceptible de présenter un risque important pour les droits et libertés des individus concernés par ce même traitement.

L’analyse d’impact RGPD doit être mise en œuvre en amont du traitement en question, pour ensuite être mis à jour en fonction de son développement. En effet, dans la mesure où les technologies évoluent, il est nécessaire de prévenir au maximum les risques qu’un nouvel environnement de traitement pourrait occasionner sur les données analysées.

Un « risque sur la vie privée » est un scénario décrivant un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données, et ses impacts potentiels sur les droits et libertés des personnes) et toutes les menaces qui permettraient qu’il survienne.


Cas obligatoires ou non :

L’analyse d’impact est obligatoire à partir du moment où le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». En effet, soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29.

En revanche, la PIA n’est pas nécessaire lorsque le traitement figure dans la liste des exceptions adoptée par la CNIL, lorsque le traitement ne présente pas de risque élevé pour les droits et libertés des personnes ou encore lorsque le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public.


Procédure :

La CNIL a mis à la disposition des responsables de traitement et leur délégué à la protection des données, un logiciel de PIA pour faciliter la conduite et la formalisation des analyses d’impact telles que prévues par le RGPD.  S’agissant de la procédure, elle doit contenir :

– La description détaillée, l’intérêt et la finalité de l’opération envisagée afin de décrire précisément le traitement de données.

– Une évaluation de la nécessité de ce traitement en fonction des risques encourus sur les droits et libertés des personnes concernées

– Les mesures de sécurité et garanties envisagées pour diminuer les risques cités au préalable

Par la suite, aucune obligation de publication n’est demandée. Toutefois, si suite à l’analyse d’impact, les risques pour la sécurité des données restent élevés, le rapport doit être transmis à la CNIL. Cette dernière peut également initier cette vérification en demandant elle-même à avoir accès à ce rapport.


Avantages de la réalisation d’une analyse d’impact :

La réalisation d’une analyse d’impact est un bon moyen pour les entreprises de réduire les craintes, les inquiétudes des personnes concernées quant à l’utilisation de leurs données personnelles. Elle offre également un cadre de travail précis pour parvenir à rester conforme aux exigences du RGPD et aux recommandations de la CNIL. Enfin, c’est une preuve de sérieux, de professionnalisme qui ne peut qu’être bénéfique auprès des partenaires, clients, administrés …


Sanctions en cas de non-respect :

En cas de non-respect des règles relatives aux analyses d’impact posées par l’article 35 du RGPD, la sanction peut être est exemplaire. En effet, l’amende peut atteindre jusqu’à dix millions d’euros. Pour une entreprise, le montant retenu correspond à 2 % des chiffres d’affaires réalisés précédemment. La somme retenue étant la plus élevée.

Pour en savoir plus …

A quel moment devez-vous réaliser une analyse d’impact ?

A quel moment devez-vous réaliser une analyse d’impact ? 1260 840 jeremy

L’analyse d’impact relative à la protection des données (PIA) est une procédure de contrôle fixée par l’article 35 du RGPD. Elle intervient lorsque le traitement de données personnelles mis en place par un organisme (privé ou public) est susceptible de présenter un risque important pour les droits et libertés des individus concernés par ce même traitement. L’analyse d’impact RGPD doit être mise en œuvre en amont du traitement en question, pour ensuite être mis à jour en fonction de son développement.

Un « risque sur la vie privée » est un scénario décrivant un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données, et ses impacts potentiels sur les droits et libertés des personnes) et toutes les menaces qui permettraient qu’il survienne.


Comment déterminer le caractère obligatoire de l’analyse d’impact ?

L’analyse d’impact est obligatoire à partir du moment où le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». En effet, soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données (ex. traitement de données de localisation à large échelle) soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 tels que : la surveillance automatique, la collecte de données sensibles, la collecte de données concernant des personnes vulnérables, etc…

En revanche, la PIA n’est pas nécessaire lorsque le traitement figure dans la liste des exceptions adoptée par la CNIL (ex. traitement mis en œuvre uniquement à des fins de ressources humaines), lorsque le traitement ne présente pas de risque élevé pour les droits et libertés des personnes ou encore lorsque le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public.


Comment réaliser une analyse d’impact ?

La CNIL a mis à la disposition des responsables de traitement et leur délégué à la protection des données, un logiciel de PIA pour faciliter la conduite et la formalisation des analyses d’impact telles que prévues par le RGPD. Le logiciel permet de suivre une procédure bien définie notamment effectuant une description détaillée du traitement, en évaluant les risques et impacts sur les droits et libertés des personnes concernées et enfin en mettant en place des mesures de sécurité et garanties pour diminuer ce risques. Aucune obligation de publication n’est demandée. Toutefois, si suite à l’analyse d’impact, les risques pour la sécurité des données restent élevés, le rapport doit être transmis à la CNIL. Cette dernière peut également initier cette vérification en demandant elle-même à avoir accès à ce rapport.


Quels sont les avantages ?

La réalisation d’une analyse d’impact est un bon moyen pour les entreprises de réduire les craintes, les inquiétudes des personnes concernées quant à l’utilisation de leurs données personnelles. Elle offre également un cadre de travail précis pour parvenir à rester conforme aux exigences du RGPD et aux recommandations de la CNIL. Enfin, c’est une preuve de professionnalisme qui ne peut qu’être bénéfique auprès des partenaires, clients, administrés …


Quels risques encourus en cas de non-respect des règles en matière d’analyse d’impact ?

En cas de non-respect des règles relatives aux analyses d’impact posées par l’article 35 du RGPD, la sanction peut être est exemplaire. En effet, l’amende peut atteindre jusqu’à dix millions d’euros. Pour une entreprise, le montant retenu correspond à 2 % des chiffres d’affaires réalisés précédemment. La somme retenue étant la plus élevée.

 

L’anonymisation : Rendre impossible toute re-identification d’une personne

L’anonymisation : Rendre impossible toute re-identification d’une personne 1260 840 jeremy
Qu’entend-on par anonymiser ?

L’anonymisation est une technique permettant d’empêcher de manière irréversible l’identification d’une donnée. L’anonymisation consiste à changer le contenu ou la structure même des données, de sorte que toutes les informations directes ou indirectes pouvant permettre l’identification d’une personne soient supprimées ou modifiées. Anonymiser une donnée suppose donc la suppression de l’identité de la personne à qui cette donnée se rapporte, rendant donc impossible la ré-identification de la personne à partir de cette donnée, et ceci même après traitement.


Pourquoi anonymiser les données ?

Cette technique ouvre des potentiels de réutilisation des données initialement interdits du fait du caractère personnel des données exploitées, et permet ainsi aux acteurs d’exploiter et de partager leur « gisement » de données sans porter atteinte à la vie privée des personnes. Elle permet également de conserver des données au-delà de leur durée de conservation.

Le RGPD ne s’applique pas aux données anonymisées dans la mesure où l’utilisation de ces données n’ont pas d’impact sur les droits et libertés des personnes concernées.


Quelles différences avec la pseudonymisation ?

La pseudonymisation est un traitement de données personnelles réalisé de manière à ce qu’on ne puisse plus attribuer les données relatives à une personne physique sans information supplémentaire. En pratique, la pseudonymisation consiste à remplacer les données directement identifiantes (nom, prénom, etc.) d’un jeu de données par des données indirectement identifiantes (alias, numéro séquentiel, etc.). La pseudonymisation permet ainsi de traiter les données d’individus sans pouvoir identifier ceux-ci de façon directe. En pratique, il est toutefois bien souvent possible de retrouver l’identité de ceux-ci grâce à des données tierces. L’opération de pseudonymisation est également réversible, contrairement à l’anonymisation.


Quels procédés utilisés pour anonymiser les données ?

Deux grandes méthodes existent pour anonymiser les données. Il s’agit de :

– La randomisation : cette méthode permet la destruction du lien entre la donnée et la personne, par l’emploi de techniques telles que la troncature, la substitution, la suppression ou la mise à blanc.

– La généralisation : cette méthode se caractérise par la dilution de la donnée, ou sa généralisation par modification de sa précision, de son échelle et de sa grandeur.


Comment s’assurer que l’anonymisation est effective ?

Les autorités de protection des données européennes définissent trois critères qui permettent de s’assurer qu’un jeu de données est véritablement anonyme :

Individualisation :

    • ll ne doit pas être possible d’isoler un individu dans le jeu de données
    • Ex : une base de données de CV où seuls les nom et prénoms d’une personne auront été remplacés par un numéro (qui ne correspond qu’à elle) permet d’individualiser cette personne. Dans ce cas, cette base de données est considérée comme pseudonymisée et non comme anonymisée.

Corrélation :

    • Il ne doit pas être possible de relier entre eux des ensembles de données distincts concernant un même individu 
    • Ex : une base de données cartographique renseignant les adresses de domiciles de particuliers ne peut être considérée comme anonyme si d’autres bases de données, existantes par ailleurs, contiennent ces mêmes adresses avec d’autres données permettant d’identifier les individus.

Inférence :

    • Il ne doit pas être possible de déduire, de façon quasi certaine, de nouvelles informations sur un individu.
    • Ex : si un jeu de données supposément anonyme contient des informations sur le montant des impôts de personnes ayant répondu à un questionnaire, que tous les hommes ayant entre 20 et 25 ans qui ont répondu sont non imposables, il sera possible de déduire, si on sait que M. X, homme âgé de 24 ans, a répondu au questionnaire, que ce dernier est non imposable.

Quelle utilisation du numéro de sécurité sociale

Quelle utilisation du numéro de sécurité sociale 1260 840 jeremy

Le numéro d’inscription des personnes (NIR), plus couramment appelé « Numéro de sécurité sociale » est une donnée considérée comme « sensible » par le droit français. En effet, c’est un numéro personnel unique attaché à chaque personne et permettant ainsi son identification sans aucune ambiguïté. Sa collecte et son utilisation doit donc faire l’objet d’une nécessité ainsi que de mesures de protection particulières afin de garantir la protection des données personnelles.

Or, il était difficile de savoir en pratique dans quelle mesure une entreprise pouvait ou avait besoin d’utiliser ce fameux NIR, tant nous avions l’habitude de l’utiliser, notamment sur les fiches de paye du personnel. Pour pus d’information sur l’utilisation du numéro de sécurité sociale, vous pouvez consulter notre précédente Newsletter de mars 2020. (que vous pouvez consulter en cliquant ici)

Le Décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l’usage du numéro d’inscription au répertoire national d’identification des personnes physiques ou nécessitant la consultation de ce répertoire est venu clarifier la situation en établissant une liste limitative des acteurs et des finalités pour lesquels le NIR peut être utilisé.

Il détermine donc 4 secteurs pour lesquels le NIR peut être utilisé ainsi que des acteurs s’y rattachant :

  • pour la réalisation de missions en matière de sécurité sociale: Pôle Emploi, de la Caisse des dépôts et consignation, de la Caisse nationale de sécurité sociale ou d’assurance vieillesse.
  • pour la réalisation de missions en matière d’action sociale: les Collectivités territoriales, les maisons départementales ou les organismes versant les rémunérations ou les aides à l’emploi et à la formation.
  • pour la réalisation de missions en matière de prévoyance: organismes chargés de l’assurance maladie ou retraite complémentaire.
  • pour la réalisation de missions à des fins sanitaires et médico-sociales : les établissements ou services prenant en charge des mineurs et des majeurs de moins de vingt et un ans, les établissements ou services d’enseignement qui assurant une éducation adaptée et un accompagnement social ou médico-social aux mineurs ou jeunes adultes handicapés ou présentant des difficultés d’adaptation, les centres d’action médico-sociale précoce ou encore les établissements ou services mettant en œuvre les mesures éducatives ordonnées par l’autorité judiciaire par exemple.

Vous pouvez consulter la liste de l’ensemble des acteurs et des finalités de traitement par secteur directement sur le site de la CNIL.

optimex data agence spécialisée dans la protection des données personnelles

Avez-vous l’obligation de réaliser un analyse d’impact ?

Avez-vous l’obligation de réaliser un analyse d’impact ? 1320 880 jeremy

L’article 35 du RGPD (Règlement sur la protection des données personnelles) prévoit la réalisation d’une analyse d’impact sur la protection des données à caractère personnel (« AIPD » ou « PIA » en anglais) lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

L’AIPD est un élément central du RGPD, et un outil important pour la responsabilisation des organismes : elle leur permet de construire des traitements de données respectueux de la vie privée, mais également à démontrer leur conformité au RGPD. C’est au responsable de traitement de mesurer, à travers l’analyse d’impact, l’échelle du risque en termes de gravité et de vraisemblance. Par exemple, il est possible d’évaluer le risque pour la vie privée des patients d’un hôpital suite un piratage d’une base de données contenant des données médicales. Ce risque pourrait être estimé comme particulièrement grave (conséquences graves pour les patients) mais peu vraisemblable (dans la mesure où les logiciels d’hébergement des données de santé sont bien protégés).

Pas facile cependant de déterminer si nous sommes dans l’obligation de réaliser une analyse d’impact. Comment juger si un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes ?

Pour répondre à cette interrogation et accompagner les responsables de traitement dans leur réflexion, la CNIL a précisé les conditions dans lesquelles l’analyse d’impact est obligatoire :

  • Lorsque le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données. C’est le cas par exemple pour les traitements mis en œuvre par les hôpitaux, pour les analyses comportementales sur les réseaux sociaux, ou pour la publicité ciblée en ligne.
  • Lorsque le traitement remplit au moins deux des neuf critères issus des lignes directrices du CEPD (Comité européen de la protection des données), par exemple s’il porte sur des données dites « sensibles » ou « à caractère hautement personnel », sur des personnes dites « vulnérables » (patients, personnes âgées, enfants, etc.), ou encore lorsque le traitement consiste en une collecte de données personnelles à large échelle.

A noter : La CNIL classe les salariés dans les « personnes vulnérables ». Par exemple, un système de géolocalisation des véhicules du personnel à large échelle doit faire l’objet d’une analyse d’impact.

Pour conduire une telle analyse, le responsable de traitement fait appel au délégué à la protection des données (DPO), chargé de le conseiller et de vérifier l’exécution du travail.

Pour accompagner les organismes, la CNIL met à disposition un logiciel PIA.