RGPD : Comment réaliser un PIA ?
![Patrick Tiev](https://www.adequacy.app/wp-content/uploads/20190408-PatrickTiev164_uncropped_social.jpg)
Consultant | DPO Certifié
![Episode-01-Vignette](https://www.adequacy.app/wp-content/uploads/Episode-01-Vignette-1.jpg)
L’article 35 du RGPD impose aux responsables de traitement de réaliser des analyses d’impact relatives à la protection des données – plus communément connues sous le nom de PIA (Privacy Impact Assessment) – pour certains de leurs traitements.
En tant que DPO, RSSI ou même métier, il est donc plus que probable que vous soyez amené à participer à la réalisation d’un PIA.
Pour cette nouvelle saison des Tutoriaux d’Adequacy, je m’attaque à ce beau sujet qu’est la réalisation d’un PIA.
Qu’est ce qu’un PIA et pourquoi l’exercice est considéré comme difficile ?
Le PIA est un outil nécessaire à la conformité d’un traitement de données personnelles à risque pour un individu. La difficulté rencontrée par nos interlocuteurs réside à la fois dans l’identification des traitements pour lesquels la réalisation d’un PIA est obligatoire et la méthode à utiliser pour réaliser le dit PIA.
Comment identifier les traitements pour lesquels le PIA est obligatoire ?
Le PIA est donc obligatoire pour les traitements qui comportent au moins deux des neufs critères suivants :
- L’évaluation ou scoring (y compris le profilage) ;
- Une décision automatique avec effet légal ou similaire ;
- La surveillance systématique ;
- La collecte de données sensibles ou données à caractère hautement personnel ;
- La collecte de données personnelles à large échelle ;
- Le croisement de données ;
- Concerne des personnes vulnérables ;
- Un usage innovant dont utilisation d’une nouvelle technologie ;
- L’exclusion du bénéfice d’un droit ou contrat
Quelle méthode pour réaliser le PIA ?
Dans cette vidéo je vous expose les 4 grandes étapes de la Méthode “EBIOS” établie par l’ANSSI en 1995 et adoptée par la CNIL en 2015 :
- Etape 1 : L’étude du Contexte
- Etape 2 : L’étude des principes fondamentaux
- Etape 3 : L’étude des risques liés à la sécurité des données
- Etape 4 : Validation du PIA
Le RGPD ne se limite pas à la réalisation des PIA
Dernières actualités
Rencontre avec nos 4 « DPO en herbe » 2024
Dans le cadre de notre programme “DPO en herbe” destiné à sensibiliser des stagiaires de 2nde sur la Privacy. Ces derniers ont interrogé Alessandro FIORENTINO sur leurs pratiques et leurs habitudes d'usage.🎙️ Découvrez cet échange intergénérationnel...
Interview de Philippe Ebert, DPO du Groupe Dassault Aviation
Dans quel contexte avez-vous fait appel à Adequacy ? Avec l’entrée en vigueur du RGPD, nous avons mis en place un réseau de correspondants afin de structurer et de compléter notre registre. Le contexte nous a fait privilégier un outil maîtrisé par...
Anticiper l’entrée en application de la directive NIS II et du futur IA ACT à la lumière du RGPD
📅 Calendrier de ces différentes normes européennesAlors que le RGPD s’applique depuis plus de 5 ans, la nouvelle directive 2022/2555 « NIS II » sera applicable à partir du 18 octobre 2024. Le règlement sur l’intelligence artificielle « IA Act », quant à lui, devrait...