Le RGPD oblige toutes les entreprises à faire une analyse d’impact dans le cadre d’opérations de traitement vulnérables ou PIA, pour se conformer aux droits et libertés des personnes concernées. Cette analyse d’impacts est un outil indispensable pour responsabiliser les organismes et pour établir une gestion des données ainsi qu’un traitement des données qui puisse respecter la vie privée et les droits des personnes. Aussi, ils pourront montrer la mise en conformité selon le règlement général.
A quel moment exécuter un PIA ?
Selon l’article 35 du nouveau règlement européen, garantissant la sécurité informatique et la protection des données, il énonce qu’une étude d’impact doit se faire quand une collecte de données faite sur des données à caractère personnel et sensible peut créer un risque assez fort d’atteinte aux libertés et à la vie privée des personnes physiques concernées. Si vous vous demandez qu’est-ce que le PIA, sachez donc que c’est la garantie du respect de la vie privée des utilisateurs.
Il est donc important d’être conforme au règlement car il y a un risque important si une personne externe perce la sécurité des données, pour changer, détruire ou voler ces dites données. C’est le DPO qui se chargera de faire des mesures techniques pour juger cette notion de risques en fonction de 4 niveaux de critères différents. Il examinera ainsi s’il doit faire un suivi régulier et systématique avec des actions correctrices à l’appui.
Les différents points où assurer la mise en conformité est recommandée
Il est de votre devoir en tant qu’entreprise ou organisme public, de faire une surveillance automatique, car nous ne sommes jamais à l’abri de violation de données. Selon le Cnil, la réalisation d’une analyse d’impact doit se faire dans les situations suivantes afin d’éviter les infractions et les poursuites pénales :
- Les personnes vulnérables au regard de la loi informatique comme les patients, les enfants ou les personnes âgées.
- Le traitement à large échelle des données qui sont vulnérables selon le pays et la région par exemple.
- L’examen systématique et approfondie d’aspects personnels comme le profilage.
- La décision automatique traitant des aspects personnels de personnes provoquant des effets juridiques.
Comment effectuer un PIA ?
La date protection doit au être au centre des préoccupations des professionnels, selon la loi Informatique et libertés. La CNIL agit comme une autorité de contrôle, s’assurant que le PIA est mené avant tout nouveau traitement. Pour faire un PIA, la CNIL donne les recommandations suivantes :
- Tout d’abord, il faut délimiter le contexte des traitements de données qui seront pris en considération ;
- Puis, il faudra examiner les mesures attestant le respect des principes fondamentaux comme la protection de la vie privée des personnes concernées ainsi que la nécessité d’un traitement ;
- Ensuite, l’entreprise devra noter les risques sur la vie confidentielle, connectés à la sécurité des données et vérifier que le traitement se fait dans les règles ;
- Enfin, il est primordial de faire une validation de ce PIA.
Il est à préciser que pour que pour cette mission soit bien réalisée, le DPO joue un rôle important. Il se charge de conseiller les responsables du traitement et va veiller à la bonne exécution du PIA. Dans tous les cas, il est recommandé de faire un rapport au CNIL si, après le PIA, le niveau de risque est toujours aussi important ; si la législation nationale d’un Etat juge que cela est nécessaire ; et bien évidemment en cas de contrôle par la CNIL. En cas d’absence de PIA, l’entreprise peut encourir des sanctions vraiment lourdes : jusqu’à 10 millions d’euros d’amendes ou 2% du CA annuel.