Avr 9, 2020

RGPD : Comment réaliser un PIA ?

L’article 35 du RGPD impose aux responsables de traitement de réaliser des analyses d’impact relatives à la protection des données – plus communément connues sous le nom de PIA (Privacy Impact Assessment) – pour certains de leurs traitements.

En tant que DPO, RSSI ou même métier, il est donc plus que probable que vous soyez amené à participer à la réalisation d’un PIA. 

Pour cette nouvelle saison des Tutoriaux d’Adequacy, je m’attaque à ce beau sujet qu’est la réalisation d’un PIA.

Qu’est ce qu’un PIA et pourquoi l’exercice est considéré comme difficile ? 

Le PIA est un outil nécessaire à la conformité d’un traitement de données personnelles à risque pour un individu. La difficulté rencontrée par nos interlocuteurs réside à la fois dans l’identification des traitements pour lesquels la réalisation d’un PIA est obligatoire et la méthode à utiliser pour réaliser le dit PIA.

 

Comment identifier les traitements pour lesquels le PIA est obligatoire ?

Le PIA est donc obligatoire pour les traitements qui comportent au moins deux des neufs critères suivants : 

  • L’évaluation ou scoring (y compris le profilage) ;
  • Une décision automatique avec effet légal ou similaire ;
  • La surveillance systématique ;
  • La collecte de données sensibles ou données à caractère hautement personnel ;
  • La collecte de données personnelles à large échelle ;
  • Le croisement de données ;
  • Concerne des personnes vulnérables ;
  • Un usage innovant dont utilisation d’une nouvelle technologie ;
  • L’exclusion du bénéfice d’un droit ou contrat

 

Quelle méthode pour réaliser le PIA ?

Dans cette vidéo je vous expose les 4 grandes étapes de la Méthode “EBIOS” établie par l’ANSSI en 1995 et adoptée par la CNIL en 2015 : 

  • Etape 1 : L’étude du Contexte
  • Etape 2 : L’étude des principes fondamentaux
  • Etape 3 : L’étude des risques liés à la sécurité des données
  • Etape 4 : Validation du PIA

Le RGPD ne se limite pas à la réalisation des PIA 

Vous n’avez pas encore regardé les vidéos de la saison 1 des Tutoriaux d’Adequacy ? Elles sont disponibles ici, n’hésitez pas à les commenter et les partager si vous les trouver intéressantes.
La CJUE invalide le Privacy Shield

La CJUE invalide le Privacy Shield

La Cour de Justice de l'Union Européen invalide la décision 2016/1250 relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis En revanche, elle juge que la décision 2010/87 de la Commission relative...