PIA RGPD : Le Privacy Impact Assessment en 4 étapes

Le PIA ou Privacy Impact Assessment est le nom anglophone de l’AIPD décrite par l’article 35 du RGPD. Il s’agit d’une méthode de contrôle des mesures de protection des données mises en place par les entreprises. Plus précisément, il s’agit de décrire les traitements de données réalisés, puis de vérifier deux éléments : d’une part, que les principes fondamentaux et les règles “non-négociables” imposées par le RGPD sont bien respectées. D’autre part, que les mesures de protection apportées sont bien en phase avec le niveau de risque que le traitement fait peser sur la vie privée des personnes concernées.

En règle générale, c’est le DPO en charge du RGPD qui prend la responsabilité de la construction du PIA. Néanmoins, RSSI, responsables juridiques ou encore expertises métier peuvent gérer ou participer à l’élaboration du PIA.

Commençons par préciser que le PIA n’est pas nécessaire en toutes circonstances. En effet, lorsque certains traitements sont par nature à risque et imposent donc de mener un PIA, d’autres sont considérés comme faisant peser peu de risques sur la vie privée des personnes et permettent donc aux entreprises de s’en passer. Pour en savoir plus, consulter notre article sur les cas où l’AIPD est obligatoire ou non.

Cela étant dit, voyons maintenant 4 étapes à suivre pour réaliser le PIA.

Etape 1 : Délimiter le contexte du PIA

La première partie du PIA se décompose en deux temps.

Le premier bloc est une vision d’ensemble du traitement de données concerné et notamment de ses finalités (objectifs) et enjeux. Ce bloc reprend également l’identité du responsable de traitement et s’il y a lieu des sous-traitants. Il s’agit donc d’une synthèse des opérations de collecte et de traitement qui vont être menées.

Un second bloc entre dans le détail du périmètre du traitement : il indique quelles sont les données personnelles concernées, leurs éventuels destinataire et la durée de conservation applicable ou prévue.

Ce second volet décrit également les processus et les supports de collecte, conservation et traitement des données sur l’ensemble de leur cycle de vie, c’est-à-dire de leur collecte à leur effacement.

Etape 2 : Vérifier que les principes fondamentaux du RGPD sont respectés

Comme dans toute opération de traitement, les principes fondamentaux du RGPD doivent être respectés. Cette étape vise justement à vérifier que les bons processus ont été mis en place et que le traitement respecte les règles.

Il convient ainsi d’une part de vérifier que le traitement garantit les principes de nécessité et de proportionnalité du traitement. Autrement dit et sans entrer ici dans les détails, les principes encadrant les finalités, le fondement du traitement, mais aussi ceux de minimisation et de qualité des données, et enfin le respect des limites de durée de conservation des données, doivent être respectés.

Par ailleurs, les mesures de protection des droits des personnes concernées doivent être prises. Il s’agit, encore une fois sans les détailler ici, des principes de bonne information des personnes, de recueil de leur consentement et de respect des différents droits (accès, portabilité, effacement…).

Pour résumer, cette deuxième partie vise à vérifier que les fondamentaux de la conformité au RGPD sont bien respectés : il s’agit des éléments non-négociables, qui s’appliquent à tous les traitements.

Etape 3 : Apprécier les risques et les mesures de protection par le PIA

L’identification des risques

Cette étape est le cœur du PIA. Elle a pour but d’anticiper les risques qui pourraient peser sur les personnes et leurs données. Concrètement, il s’agit d’envisager différents scénarios pouvant porter atteinte à la vie privée des personnes à travers leurs données.

Pour chaque scénario, l’enjeu est de déterminer d’une part sa gravité (est-ce que l’atteinte a des conséquences importantes sur la vie privée des personnes, par exemple en raison de la sensibilité de la donnée ?) et sa vraisemblance (ce scénario a-t-il de fortes chances d’arriver ou non ?).

Chaque scénario est déterminé en isolant les sources du problème, les fichiers ou processus qui pourraient être atteints, les données concernées et les conséquences sur les personnes.

En pratique, ce sont surtout les sources de risques et la solidité des supports de données qui vont avoir une influence sur la vraisemblance du scénario, (par exemple, le fait de sensibiliser régulièrement les collaborateurs au phishing réduit la vraisemblance qu’une opération de phishing survienne) ; tandis que la gravité dépend surtout de la nature des données concernées.

L’évaluation des mesures de protection

Assez logiquement, cette partie du PIA a également pour but d’évaluer les mesures prises ou prévues en réaction à la présence de ces risques.

Ces mesures peuvent être de trois catégories.

D’abord, certaines mesures portent spécifiquement sur les données et leur protection : il s’agit par exemple du chiffrement des données ou de leur anonymisation.

Ensuite, des mesures plus générales viennent renforcer la sécurité du système en général : sauvegardes, sécurité des matériels, sécurité de l’exploitation…

Enfin, le dernier type de mesure est dit organisationnel et s’adresse plutôt au facteur humain : dans la relation avec les tiers ou dans la gestion des personnels par exemple (gestion de projet, sensibilisation aux enjeux de la protection des données…).

Pour chaque mesure, l’idée est de vérifier et de décider s’il convient d’améliorer ou de renforcer la protection en place, en fonction du niveau de risque constaté et des possibilités concrètes.

C’est aussi à cette étape que des mesures supplémentaires vont pouvoir être proposées.

Etape 4 : Evaluer la validité du PIA

Cette étape du PIA permet de valider le niveau de protection apporté à l’opération de traitement considérée, mais aussi de prouver à la CNIL (en cas de contrôle) que vous avez bien mené un PIA adapté et cohérent.

Il s’agit donc de mettre en forme et de résumer les étapes précédentes, notamment d’exposer les mesures choisies visant soit à augmenter la sécurité et notamment la cybersécurité des données, soit à respecter les principes fondamentaux du RGPD, par exemple.

Cette étape du PIA a aussi pour but de présenter les risques résiduels qui subsistent malgré l’adoption des mesures de sécurité. Celles-ci doivent toujours être classées selon leur vraisemblance et leur gravité.

Par ailleurs, c’est à cette étape qu’un plan d’action doit éventuellement être proposé pour améliorer les mesures de conformité décidées ou proposées.

Enfin, cette étape a pour fonction de valider ou non l’ensemble de l’opération. Autrement dit, un avis doit être rendu sur les mesures prises, les risques résiduels et donc le niveau de risque restant lié à l’opération.

Dans certains cas, le PIA peut donc être à améliorer (en augmentant les mesures de protection par exemple) voire refusé, ce qui conduit à renoncer au traitement considéré.

Le PIA est donc un outil qui permet d’itérer sur les mesures et les processus à choisir pour mener une opération de traitement donnée. Un PIA à améliorer ou refusé peut donner lieu à une refonte de l’opération, qui lui-même conduira à la rédaction d’un nouveau PIA, qui celui-ci pourra être favorable.

Pour aller plus loin et tout savoir sur le PIA, consultez notre webinaire sur la méthodologie de l’analyse d’impact.