Avr 9, 2020

RGPD : Comment réaliser un PIA ?

L’article 35 du RGPD impose aux responsables de traitement de réaliser des analyses d’impact relatives à la protection des données – plus communément connues sous le nom de PIA (Privacy Impact Assessment) – pour certains de leurs traitements.

En tant que DPO, RSSI ou même métier, il est donc plus que probable que vous soyez amené à participer à la réalisation d’un PIA. 

Pour cette nouvelle saison des Tutoriaux d’Adequacy, je m’attaque à ce beau sujet qu’est la réalisation d’un PIA.

Qu’est ce qu’un PIA et pourquoi l’exercice est considéré comme difficile ? 

Le PIA est un outil nécessaire à la conformité d’un traitement de données personnelles à risque pour un individu. La difficulté rencontrée par nos interlocuteurs réside à la fois dans l’identification des traitements pour lesquels la réalisation d’un PIA est obligatoire et la méthode à utiliser pour réaliser le dit PIA.

 

Comment identifier les traitements pour lesquels le PIA est obligatoire ?

Le PIA est donc obligatoire pour les traitements qui comportent au moins deux des neufs critères suivants : 

  • L’évaluation ou scoring (y compris le profilage) ;
  • Une décision automatique avec effet légal ou similaire ;
  • La surveillance systématique ;
  • La collecte de données sensibles ou données à caractère hautement personnel ;
  • La collecte de données personnelles à large échelle ;
  • Le croisement de données ;
  • Concerne des personnes vulnérables ;
  • Un usage innovant dont utilisation d’une nouvelle technologie ;
  • L’exclusion du bénéfice d’un droit ou contrat

 

Quelle méthode pour réaliser le PIA ?

Dans cette vidéo je vous expose les 4 grandes étapes de la Méthode “EBIOS” établie par l’ANSSI en 1995 et adoptée par la CNIL en 2015 : 

  • Etape 1 : L’étude du Contexte
  • Etape 2 : L’étude des principes fondamentaux
  • Etape 3 : L’étude des risques liés à la sécurité des données
  • Etape 4 : Validation du PIA

Le RGPD ne se limite pas à la réalisation des PIA 

Vous n’avez pas encore regardé les vidéos de la saison 1 des Tutoriaux d’Adequacy ? Elles sont disponibles ici, n’hésitez pas à les commenter et les partager si vous les trouver intéressantes.
Comment rédiger un contrat de sous-traitance RGPD ?

Comment rédiger un contrat de sous-traitance RGPD ?

Le RGPD impose l’encadrement et la formalisation des relations entre un Responsable de Traitement et un Sous-traitant. Traduction : pour chaque sous-traitant identifié, un contrat de sous-traitance (ou un acte juridique écrit) doit être rédigé. DPO,...