fbpx

aipd

analyse d'impact protection des données

Audit RGPD & AIPD : objectifs et différences ?

Audit RGPD & AIPD : objectifs et différences ? 1260 840 Optimex Data

Analyse d’impact protection des données personnelles et audit RGPD, quels différences, quels objectifs …

Objectifs et différences : analyse d’impact protection des données personnelles et audits RGPD

Selon les recommandations de la CNIL, une fois que le délégué à la protection des données a été désigné, l’étape suivante est de cartographier les traitements de données personnelles. Ensuite, il convient de gérer les risques potentiels via la conduite d’analyse d’impact relative à la protection des données – AIPD, pour les traitements ayant été identifiés à risques pour les droits et libertés des personnes concernées. Et beaucoup s’interroge sur la différence entre un audit de conformité RGPD et une AIPD. A travers cet article, nous allons vous expliquer la différence entre les deux sujets et surtout leurs objectifs respectifs.

Les objectifs d’un audit de conformité RGPD ?

Dans une démarche de mise en conformité, le délégué à la protection des données réalise un audit de conformité RGPD. Cela consiste à faire le tour des services afin d’évaluer les actions à mettre en place conformément aux exigences du RGPD. Lors de ce tour des services, le DPO / DPD est amené à rencontrer les différents acteurs en interne. Il pourra ainsi mieux appréhender leur quotidien professionnel.

De cet échange, il en ressort généralement avec une liste des traitements (la cartographie) réalisés dans chacun des services ; les prémices pour rédiger le fameux registre des traitements. Ensuite, le DPO / DPD récupère les documents et formulaires utilisés pour …

  • recueillir des données personnelles ;
  • recueillir les contrats signés avec les sous-traitants – sous-traitants au sens du RGPD ;
  • Identifie les mesures de sécurité en place – techniques et organisationnelles.

Enfin, il conçoit un plan d’actions pour identifier et prioriser les actions à mettre en place, pour se conformer aux obligations du RGPD et de la loi Informatique et Libertés. Effectivement, les priorités sont définies au regard des risques qui pèsent sur les droits et les libertés des personnes.

En résumé, un audit de conformité RGPD permet de faire un état des lieux de l’existant afin de recenser les actions déjà conformes à la réglementation vigueur et celles nécessitant une mise à jour. Parmi les mises à jour identifiées, une analyse d’impact relative à la protection des données – AIPD est quelques fois nécessaire.

Les objectifs d’une analyse d’impact relative à la protection des données – AIPD ?

Pour les traitements présentant des risques élevés, et qui ont été identifiés lors de l’audit RGPD, il est important de s’interroger sur l’utilité de réaliser ou non une AIPD. Afin de clarifier certains traitements courants, la CNIL a publié une liste des traitements nécessitant la réalisation d’une AIPD et la liste des traitements dont la réalisation d’une AIPD n’est pas requise. Les traitements les plus couramment concernés par la conduite d’une AIPD concerne soit un public vulnérable – personnes âgées, mineurs, salariés … soit des données sensibles – santé, appartenance religieuse, données judiciaires …

Cependant, même pour les traitements figurant sur la 2ème liste – AIPD non requise ; nous recommandons vivement de faire à minima une analyse des risques. En effet, une analyse des risques est réalisée en amont de la conduite d’une AIPD ; la raison est que la conclusion d’une analyse des risques peut conduire à la décision qu’une AIPD n’est pas nécessaire. Contrairement à une analyse des risques, la conduite d’une AIPD permet de :

  • Délimiter et décrire le contexte du traitement
  • Analyser et identifier les mesures garantissant le respect des principes fondamentaux
  • Apprécier les risques sur la vie privée
  • Valider (ou non) le traitement, et ainsi autoriser la continuité du traitement

Les conclusions d’une AIPD se basent le niveau gravité et de vraisemblance du risque encourus, au regard des 9 critères issus des lignes directrices du G29. La validation d’une AIPD vient corréler des risques potentiels avec des mesures spécifiques pour garantir la protection des données personnelles.

Mais quand doit-on réaliser une analyse d’impact – AIPD ? La CNIL recommande de réaliser une AIPD avant la mise en œuvre du traitement. Cependant, dans la plupart des situations, le traitement est déjà en place, et l’AIPD est donc réalisée à posteriori. Néanmoins, il est nécessaire de revoir une AIPD de façon régulière. Le traitement peut en effet évoluer en termes d’environnement technique et organisationnel.

En conclusion …

En résumé, un audit de conformité RGPD conduit très souvent à la nécessité de réaliser une analyse d’impact – AIPD sur certains traitements ayant été identifiés à risques pour la vie privée. L’un ne va pas sans l’autre. Mais il est préférable de commencer par un audit de conformité RGPD. Ce-dernier permet d‘avoir une vision globale de la structure et des traitements nécessitant l’utilisation de données à caractère personnel. Ensuite, dans un second temps, la réalisation d’une analyse d’impact – AIPD permet de valider un traitement en ayant identifié les risques potentiels sur la vie privé et en ayant mis en place des actions garantissant la protection des données personnelles.

analyse d’impact AIPD

Les analyses d’impact AIPD

Les analyses d’impact AIPD 1260 839 Optimex Data

solution analyse d’impact AIPD grenoble chambery annecy lyon valence

Agence rgpd et analyse d’impact isère

Prestation d’analyse d’impact AIPD france

Analyse d’impact AIPD

Définition :

L’analyse d’impact relative à la protection des données est une procédure de contrôle fixée par l’article 35 du RGPD. Elle intervient lorsque le traitement de données personnelles mis en place par un organisme (privé ou public) est susceptible de présenter un risque important pour les droits et libertés des individus concernés par ce même traitement.

L’analyse d’impact RGPD doit être mise en œuvre en amont du traitement en question, pour ensuite être mis à jour en fonction de son développement. En effet, dans la mesure où les technologies évoluent, il est nécessaire de prévenir au maximum les risques qu’un nouvel environnement de traitement pourrait occasionner sur les données analysées.

Un « risque sur la vie privée » est un scénario décrivant un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données, et ses impacts potentiels sur les droits et libertés des personnes) et toutes les menaces qui permettraient qu’il survienne.


Cas obligatoires ou non :

L’analyse d’impact est obligatoire à partir du moment où le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». En effet, soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29.

En revanche, la PIA n’est pas nécessaire lorsque le traitement figure dans la liste des exceptions adoptée par la CNIL, lorsque le traitement ne présente pas de risque élevé pour les droits et libertés des personnes ou encore lorsque le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public.


Procédure :

La CNIL a mis à la disposition des responsables de traitement et leur délégué à la protection des données, un logiciel de PIA pour faciliter la conduite et la formalisation des analyses d’impact telles que prévues par le RGPD.  S’agissant de la procédure, elle doit contenir :

– La description détaillée, l’intérêt et la finalité de l’opération envisagée afin de décrire précisément le traitement de données.

– Une évaluation de la nécessité de ce traitement en fonction des risques encourus sur les droits et libertés des personnes concernées

– Les mesures de sécurité et garanties envisagées pour diminuer les risques cités au préalable

Par la suite, aucune obligation de publication n’est demandée. Toutefois, si suite à l’analyse d’impact, les risques pour la sécurité des données restent élevés, le rapport doit être transmis à la CNIL. Cette dernière peut également initier cette vérification en demandant elle-même à avoir accès à ce rapport.


Avantages de la réalisation d’une analyse d’impact :

La réalisation d’une analyse d’impact est un bon moyen pour les entreprises de réduire les craintes, les inquiétudes des personnes concernées quant à l’utilisation de leurs données personnelles. Elle offre également un cadre de travail précis pour parvenir à rester conforme aux exigences du RGPD et aux recommandations de la CNIL. Enfin, c’est une preuve de sérieux, de professionnalisme qui ne peut qu’être bénéfique auprès des partenaires, clients, administrés …


Sanctions en cas de non-respect :

En cas de non-respect des règles relatives aux analyses d’impact posées par l’article 35 du RGPD, la sanction peut être est exemplaire. En effet, l’amende peut atteindre jusqu’à dix millions d’euros. Pour une entreprise, le montant retenu correspond à 2 % des chiffres d’affaires réalisés précédemment. La somme retenue étant la plus élevée.

Pour en savoir plus …