Qu’est-ce qu’un PIA et comment l’utiliser comme un investissement ?

5/3/2024
⚙️ Mise en oeuvre
📚 Notions de base

Consentement de l’internaute, définition d’une finalité claire et explicite, limitation de la durée de conservation… Le RGPD responsabilise les entreprises et encadre l’utilisation des données personnelles de leurs interlocuteurs (clients, employés, partenaires…).

Près de 4 ans ont passé, les entreprises françaises éprouvent toujours des difficultés à l’adopter.

Selon le rapport Netwrix « Data Risk & Security 2020 », “77 % des entreprises françaises contreviennent au Règlement Général sur la Protection des Données.”

Clairement, le RGPD apparaît comme un cadre strict, un outil qui ne participe pas significativement au développement de leur activité. Peu de moyens humains et financiers y sont consacrés. Les risques augmentent, les incidents également.

Dans ce contexte, difficile d’imaginer un recours régulier à l’analyse d’impact relative à la protection des données, protection ultime prévue par le RGPD pour protéger les données hautement sensibles (religion, sexe…) et les traitements de données hautement intrusifs.

Au premier abord complexe, elle peut être pourtant un formidable levier de croissance pour votre entreprise et devenir un investissement.

Dans cet article, nous exposerons les éléments essentiels du PIA : qu’est un PIA (1), quand (2) et comment le réaliser (3) et si vous devez le publier (4) 🪄

1 - Qu'est-ce qu’un Privacy Impact Assessment (PIA)?

D’un point de vue terminologique, on parle d’une Analyse d’Impact sur la Protection des Données (AIPD) ou en anglais d’une Data Protection Impact Assessment (DPIA) ou encore Privacy Impact Assessment (PIA). Ces trois termes désignent exactement la même chose bien que ce soit le terme de PIA qui est le plus utilisé.

Un PIA est une analyse de risque que le responsable de traitement est tenu de réaliser lorsqu’il existe un risque élevé pour les droits et libertés des personnes concernées (article 35 RGPD).

En effet, dans le cadre de leurs activités, les responsables de traitement sont amenés à traiter (collecter et utiliser) des données personnelles et sont, à ce titre, tenus de se conformer au RGPD.

💡 Pour rappel, les données à caractère personnel sont toutes les informations se rapportant à une personne physique identifiée ou identifiable directement ou indirectement (article 4 RGPD). Rappelons encore qu’un responsable de traitement est la personne qui détermine la finalité et les moyens du traitement des données personnelles (article 4 RGPD).

Quels sont les traitements qui sont de nature à engendrer un risque pour les droits et libertés des personnes concernées ? Cette notion de risque est centrale pour déterminer si un PIA est obligatoire ou non.

Le risque peut être de nature diverse. Par exemple, il peut provenir d’un niveau de sécurité faible protégeant les données et engendrer une violation des données personnelles.

💡 Pour rappel, une violation des données à caractère personnel correspond à une violation de leur sécurité entraînant, de manière intentionnelle ou non, la destruction, la perte, la divulgation ou l’accès non autorisé (article 4 RGPD).

La nature même du traitement peut être la source de ce risque lorsqu’il a pour objet des données sensibles (informations relatives à l’origine raciale, politique, religieuse, données de santé etc.) (article 9 RGPD) ou concerne des personnes vulnérables (les mineurs bénéficient d’une protection renforcée du traitement de leurs données - article 38 RGPD).

Pour simplifier la démarche, la CNIL a établi une liste claire des traitements qui comportent un risque et qui doivent, à ce titre, faire l’objet d’un PIA.

⚠️ Votre activité procède à des traitements divers dont un ou plusieurs peuvent être de nature à engendrer un risque et nécessiter un PIA. Si en pratique un PIA concerne souvent plusieurs traitements qui sont liés à votre activité, elle peut tout à fait ne concerner qu’un seul traitement isolé.

2 - Êtes vous obligé de faire un PIA ?

À travers une lecture combinée de l’article 35 RGPD, des lignes directrices du Groupe 29, la CNIL a établi une liste de questions à se poser dans un ordre précis afin de déterminer si un PIA est obligatoire ou non.

En résumé :

Question n°1 : mon traitement est-il dans la liste des traitements pour lesquels un PIA n’est pas obligatoire ?

  • Si oui, PIA non-obligatoire ❌
  • Si non, question n°2 :

Question n°2 : mon traitement est-il dans la liste des traitements pour lesquels un PIA est obligatoire ?

  • Si oui, PIA obligatoire ✅
  • Si non, question n°3 :

Question n°3 : mon traitement remplit-il deux des 9 critères ?

  • Si oui PIA obligatoire ✅
  • Si non PIA non obligatoire ❌

Ainsi, il convient d’abord de se référer à la liste des traitements pour lesquels un PIA n’est pas obligatoire (étape n°1), puis la liste des traitements pour lesquels un PIA est obligatoire (étape n°2). Enfin, le si traitement ne correspond à aucunes de ces listes, la CNIL a établi 9 critères permettant d’identifier un risque de nature à entrainer obligatoirement un PIA (étape n°3).

Voyons ensemble plus en détails ces traitements et ces critères.

Etape n°1 - Mon traitement est-il dans la liste des traitements pour lesquels un PIA n’est pas obligatoire ?

  • Le traitement est très similaire à un traitement ayant déjà fait l’objet d’un PIA.
  • Le traitement est dicté par une obligation légale ou lorsqu’il est nécessaire à l’exercice d’une mission de service public et qu’il remplit les deux conditions suivantes :
  • Cette opération de traitement est réglementée,
  • Et un PIA a été mené lors de l’adoption de cette réglementation.
  • Le traitement est mis en œuvre à des fins de ressources humaines et pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage.

💡Pour rappel, le profilage est un type de traitement de donnée personnelle automatisé, c’est-à-dire effectué par un algorithme, pour évaluer certains aspects personnels relatifs à une personne en vue de prédire un comportement (article 4 RGPD)(article 22 RGPD).

  • Le traitement est relatif à la relation fournisseurs.
  • Le traitement est relatif à la gestion du fichier électoral des communes.
  • Le traitement est relatif à la gestion des activités des comités d’entreprise.
  • Le traitement est relatif à la gestion des membres et donateurs des associations, fondations et organismes à but non lucratif.
  • Le traitement est nécessaire à la prise en charge d’un patient par un professionnel de santé.
  • Le traitement est mis en œuvre par un avocat ou un notaire dans l’exercice de sa profession.
  • Le traitement est mis en œuvre par les tribunaux de commerce dans l’exercice de leur profession.
  • Le traitement est mis en œuvre par une personne morale de droit public et privé pour la gestion des services publics scolaire, périscolaires et petite enfance.
  • Le traitement a pour objet un dispositif de contrôle d’accès à un bâtiment (badge) ou de contrôle du temps de travail à l’exclusion de toutes données biométriques.

→ Si votre traitement est concerné par l’un de ces cas, il n’est pas obligatoire de procéder à une analyse d’impact.  Si votre traitement n’est pas dans cette liste, il faut se référer à la liste des traitements pour lesquels un PIA est obligatoire (étape n°2).

⚠️ En tout état de cause, même si le traitement est concerné par cette liste, le RGPD vous laisse seul décideur. Vous êtes responsable de la décision de réaliser ou pas un PIA. En présence d’un risque, un PIA s’impose.

Etape n°2 - Mon traitement est-il dans la liste des traitements pour lesquels un PIA est obligatoire ?

Il s’agit des traitements qui engendrent en eux-mêmes un risque élevé pour les droits et libertés des personnes concernées. Donc cette liste est indicative et ne peut prétendre à l’exhaustivité (c’est toute la difficulté).

C’est pour cette raison que, si le traitement ne se trouve pas dans la première liste, la CNIL a établi une liste de critères permettant de couvrir un champ plus large d’hypothèses.

Option n°1 - Liste des traitements entraînant l’obligation de réaliser un PIA ✅

  • Le traitement est mis en œuvre par les établissements de santé ou médico-sociaux concernant la prise en charge des patients.
  • Le traitement porte sur des données génétiques de personnes vulnérables (patient, employés dans leurs rapports à l’employeur, mineurs etc.).
  • Le traitement établit des profils de personnes à des fins de gestion des ressources humaines pour leurs évaluations ou notations (notamment utilisation d’un algorithme pour leurs évaluations).
  • Le traitement a pour finalité de surveiller de manière constante l’activité des employés (cybersurveillance, vidéosurveillance etc.).
  • Le traitement a pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire (systèmes de gestion de la crise sanitaire).
  • Le traitement a pour finalité la gestion des alertes et des signalements en matière professionnelle (alertes de trafic d’influence, corruption dans l’organisme etc.)
  • Le traitement est mis en œuvre pour un registre de données de santé (par exemple destiné à la recherche).
  • Le traitement, par rapprochement de données ou par profilage, est susceptible d’exclure des personnes du bénéfice d’un contrat (par exemple les systèmes des établissements de crédit bancaire ou traitement visant à interdire une personne sur les réseaux sociaux).
  • Le traitement réalise un profilage à l’aide de données externes à l’organisme (par exemple combinaison de données par les courtiers en données, personnalisation des publicités en ligne).
  • Le traitement concerne des données biométriques de personnes vulnérables (patients, mineurs etc.).

💡Pour rappel, les données biométriques sont les données personnelles résultant d’une caractéristique spécifique d’une personne qui permet de l’identifier (article 4 RGPD)(article 9 RGPD).

  • Le traitement concerne le traitement des demandes de logements sociaux et leurs gestions.
  • Le traitement a pour finalité l’accompagnement social ou médico-social des personnes (personnes vulnérables par définition).
  • Le traitement concerne des données de localisation à large échelle (géolocalisation d’une application mobile par exemple).

Après avoir vérifié que votre traitement n’appartient ni à la liste n°1, ni à la liste n°2, vous devez encore consulter la troisième liste des 9 critères de la CNIL : si le traitement est concerné par deux d’entre eux, un PIA s’impose.

Option n°2 - Liste des 9 critères entraînant l’obligation de réaliser un PIA ✅

  1. Toute opération de traitement consistant en une évaluation, notation, profilage ou prédiction.
  2. Toute opération de traitement par décision automatique avec effet légal ou similaire (cas des établissements de crédit bancaire).
  3. Toute opération de surveillance systématique (par exemple au travail, dans l’espace public ou sur les réseaux sociaux).
  4. Toute opération de traitement visant à la collecte de données sensibles (origine raciale, opinion religieuse, politique, données de santé etc.)(article 9 RGPD) ou données à caractère hautement personnel (condamnations pénales et infractions)(article 10 RGPD).
  5. Toute opération de traitement visant à la collecte de données personnelles à large échelle (volume de personnes ou de données ou étendue géographique).
  6. Toute opération visant à croiser deux opérations de traitements ayant des finalités différentes ou opérés par des responsables de traitement différents d’une manière outrepassant les attentes raisonnables des personnes concernées.
  7. Toute opération de traitements relatifs à des personnes vulnérables (patients, personnes âgées, mineurs, employés etc.).
  8. Usage d’une technologie innovante ou utilisation d’une nouvelle technologie (par exemple utilisation d’une nouvelle intelligence artificielle).
  9. Toute opération de traitements qui en eux-mêmes conduisent à exclure une personne du bénéfice d’un droit ou d’un contrat (exemple des établissements bancaire dont le traitement viserait à interdire une personne l’accès à un crédit bancaire).

Plus le traitement rempli de critère plus il engendre un risque pour les droits et libertés des personnes. À partir de deux critères, un PIA est obligatoire.

Par exemple lorsqu’un employeur met en place un système de surveillance de ses employés par un système vidéo dans les locaux de l’entreprise ou un système de surveillance de leurs activités sur internet, le traitement correspond à une surveillance systématique (critère n°3) et de personnes vulnérables (critère n°7).

En définitive, si votre traitement n’appartient ni à la liste n°1, ni à la liste n°2 et ne correspond pas à deux des critères ci-dessus, un PIA n’est pas obligatoire.

Néanmoins, l’esprit du RGPD est de responsabiliser les responsables de traitement. Vous êtes seul chargé d’évaluer le risque engendré par le traitement sur la vie privée des personne et de décider de réaliser une analyse d’impact.

En tout état de cause, il ne faut pas envisager le PIA comme une contrainte mais bien comme une formidable opportunité de démontrer votre sérieux à vos équipes, vos clients et vos partenaires.

3 - Comment réaliser un PIA ?

Le RGPD ne prévoit pas la forme précise que doit prendre un PIA. Cet esprit se retrouve dans l’ensemble du RGPD qui ne prévoit pas un formalisme particulier mais plus un résultat.

Ceci étant dit, il existe tout de même un moment où réaliser un PIA (3.1), des acteurs clés (3.2) et des exigences à respecter (3.3).

3.1. - Quand réaliser son PIA ?

En principe, le PIA doit être effectué avant le traitement envisagé (article 35 RGPD).

Cette exigence rejoint un autre principe important du RGPD, celui du “Privacy by Design” qui signifie que le responsable de traitement doit garantir un niveau approprié de sécurité dès la conception du traitement de données personnelles (article 25 RGPD).

Mais pas de panique si vous n’avez pas effectué votre PIA avant votre traitement ! Le PIA est un processus continu : au cours de l’évolution de votre activité vous devez continuellement vous interroger sur la nécessité de réaliser une analyse d’impact.

Ainsi, un traitement qui ne nécessitait pas d’analyse d’impact lors de sa conception peut progressivement en nécessiter une par exemple si la technologie utilisée évolue.

C’est donc au moment où vous avez un doute sur le risque pour la vie privée des personnes concernée qu’il est opportun d’effectuer un PIA.

3.2 - Quels sont les acteurs clés du PIA ?

Il existe trois acteurs clés dans la réalisation du PIA :

  • Le responsable de traitement : c’est la personne responsable de veiller à ce que soit effectué le PIA et le preneur de décision.
  • Le DPO (en anglais) ou délégué à la protection des données (DPD). C’est la personne désignée dans l’organisme qui est en charge de la protection des données. Concrètement, le responsable de traitement a le pouvoir de décisions et le DPO a la mission de documenter et vérifier l’exécution du PIA (article 39 RGPD).
  • Les sous-traitants. Le sous-traitant a l’obligation d’aider le responsable pour remplir son obligation de mettre en œuvre un PIA (article 28 RGPD) par la mise à disposition des informations relatives à la manière dont il traite les données personnelles pour le responsable de traitement.

💡 Pour rappel, le sous-traitant est la personne ou l’organisme (souvent un prestataire de services) qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement (article 4 RGPD).

De plus, le responsable de traitement peut solliciter les personnes concernées par le traitement, ou leurs représentants, pour leur demander leurs avis (article 35 RGPD). Par exemple, le responsable peut solliciter les représentants du personnel avec un questionnaire concernant la mise en place d’un système de vidéosurveillance sur le lieu de travail.

Enfin, aidez-vous de vos collaborateurs ! En particulier les collaborateurs impliqués dans la réalisation du traitement que vous projetez et les responsables de la sécurité informatique de vos systèmes.

3.3 - Comment réaliser son PIA ?

Comme exposé plus haut, le RGPD n’impose aucun formalisme. Ce qui signifie que le choix de la forme est libre, mais le contenu du PIA est fixé par le RGPD.

Au préalable, notons que la CNIL a créé un logiciel permettant de conduire un PIA que vous retrouverez juste ici. Cependant, cet outil peut sembler difficile à manier. Nous vous proposons une clé de lecture simple des étapes à suivre.

L’article 35 RGPD dispose que le PIA doit, au moins, contenir les éléments suivants :

Étape n°1 - Description des opérations de traitement envisagées.

La première marche du processus consiste à décrire le traitement à risque et sa finalité : nature du traitement, finalité, identité des intervenants, données personnelles collectées, durée de conservation, destinataires etc.

Tout le contexte doit être documenté.

Étape n°2 - Evaluer la nécessité du traitement.

Le responsable de traitement doit réaliser une évaluation de la nécessité et de la proportionnalité du traitement au regard de sa finalité : pour quelles raisons traiter ces données au regard de l’objectif poursuivi (finalité).

Cet élément permet de notamment de vérifier le respect du principe de minimisation selon lequel ne sont collectées que les données personnelles nécessaires au traitement et pas plus (article 5 RGPD).

→ Cette étape doit permettre au responsable de traitement d’opérer une balance entre son intérêt à collecter une donnée et l’intérêt de la personne concernée.

Par exemple, une entreprise de papier n’est pas légitime à collecter les données biométriques de ses clients pour livrer des rames de papier.

Étape n°3 - Evaluer les risques pour les droits et libertés des personnes.

Après l’analyse du traitement, il est nécessaire de tirer des conclusions : évaluer le risque du traitement envisagé en documentant sa source, sa probabilité de survenir et ses conséquences sur la vie privée des personnes.

Le risque peut relever par exemple d’une faille informatique ou de la gravité des conséquences en cas de divulgation des données. Par exemple, la conservation des données bancaires dans un cloud accessible à tous les employés peut engendrer un risque quant à la divulgation de ces données : les conséquences pour les personnes sont graves.

→ En l’absence de toutes mesures de sécurité supplémentaires, le risque est élevé.

Avec ces informations, vous êtes en mesure d'apprécier la nature acceptable (ou non) des risques liés à vos traitements.

Vous disposez d'une classification claire qui facilite votre prise de décision.

Étape n°4 - Mesures envisagées

La dernière étape du PIA consiste logiquement à prévoir des mesures de sécurité pour réduire efficacement les risques identifiés. Ces mesures de sécurité doivent en particulier permettre (article 35 RGPD) :

  • de faire face aux risques,
  • et apporter la preuve du respect du RGPD.

Pour vous aider à choisir la mesure de sécurité la plus adaptée aux traitements envisagés, il peut être utile de se référer à l’article 32 RGPD qui établit une liste (non exhaustive) de mesures qui peuvent être envisagées.

Par exemple, la mise en œuvre d’un système de pseudonymisation ou d’anonymisation des données personnelles. Le chiffrement des données est également une mesure technique empêchant la lecture des données par un tiers. Pour plus d’information sur ce procédé, nous avons écrit un article à ce sujet dans le cadre d’une affaire récente concernant l’utilisation d’AWS par Doctolib ici.

Il existe également des mesures organisationnelles, cette fois-ci plutôt liées au facteur humain. Ces mesures visent à assurer que les personnes physiques qui travaillent sous l’autorité du responsable de traitement, ne traitent les données personnelles que sur leurs instructions.

Par exemple, une mesure organisationnelle consiste à soumettre les employés de l’entreprise ou du sous-traitant à une obligation de confidentialité (article 28 RGPD).

En plus des mesures techniques et organisationnelles, le responsable de traitement a tout intérêt à prévoir une procédure visant à tester régulièrement l’efficacité des mesures de sécurité.

☝🏻 Enfin, documentez tous ces éléments de la manière la plus précise possible.

4 - Faut-il consulter la CNIL avant un PIA ?

L’article 36 RGPD prévoit que le responsable de traitement consulte la CNIL préalablement au traitement lorsqu’il résulte du PIA que le risque ne peut pas être réduit à un niveau acceptable ou que le responsable de traitement n’arrive pas à choisir une mesure de sécurité adaptée.

Il s’agit d’un risque résiduel lorsqu’il a des conséquences graves pour les droits et libertés des personnes et qu’aucune mesure adaptée n’est envisageable. Dans ce cas, la consultation est obligatoire.

Par exemple de risque résiduel grave, selon le G29, consisterait en un accès non autorisé aux données personnelles qui pourraient entraîner une mise à pied, une mise en péril de leur situation financière ou qu’il existe une très forte probabilité que le risque se réalise.

Quoi qu’il en soit, votre décision doit être formalisée et documentée (graphiques des risques, plan d'actions des mesures mises en œuvre, délais de réalisation...).

5 - Faut-il publier son PIA ?

Rien n’interdit le responsable de traitement de publier son PIA et rien de l’y oblige. La décision de publier son PIA relève de la liberté du responsable de traitement (ou sous-traitant).

Néanmoins, pour votre activité il peut être très intéressant de publier la conclusion de votre PIA pour générer la confiance de vos utilisateurs, clients et employés.

Une déclaration sur le résultat de votre PIA et votre volonté de protéger au mieux les données personnelles est également un argument business très important. Il ne faut pas l’oublier, votre conformité au RGPD est un atout concurrentiel majeur !

Conclusion

Certes, la réalisation d’une analyse d’impact est un processus qui demande du temps et de la rigueur. C’est un enjeu de taille. Néanmoins, le jeu en vaut la chandelle !

Ce document démontre votre capacité à réaliser des opérations de traitements éthiques et responsables. Il vous aide à vous projeter dans l’avenir et à développer une aptitude à protéger la vie privée des personnes qui vous confient leurs données.

Clairement, votre réputation est en jeu. Une fuite d'informations sensibles liée à une PIA bâclée serait catastrophique.

Aussi, n’hésitez pas à publier votre PIA (même si cela n'est pas obligatoire). Vous prouvez à nouveau votre sérieux et votre souci de transparence. Les personnes concernées apprécieront votre démarche, se sentiront en confiance.

Un vrai plus pour un business pérenne.

Pour aller encore plus loin sur le sujet, n'hésitez pas à télécharger notre livre blanc complet sur le PIA, qui répondra en détail aux questions suivantes :

- Qu'est-ce qu'un PIA ?

- Dois-je faire un PIA ?

- Comment faire un PIA ?

Pour réussir votre conformité RGPD, nos experts sont là pour vous accompagner grâce au logiciel RGPD Leto. Réserver une démo avec nos experts.

Des doutes subsistent sur votre obligation de réaliser une analyse d'impact ? le logiciel RGPD Leto vous a deux modules dédiés :
1 - Répondez à notre questionnaires pour savoir si votre traitement répond à l'obligation d'un PIA
2 - Réaliser votre analyse d'impact sur Leto !

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

Non conformité au RGPD et concurrence déloyale
18/4/2023
Relations presse et RGPD : comment vous mettre en conformité ?
22/5/2023
Tout savoir sur les données personnelles
23/12/2022
RGPD : Les 7 règles à respecter pour être conforme
15/3/2024

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre
Leto
Nous rejoindreContactA proposRessourcesPresseYoutubeConnexion
Légal
Où est la bannière de cookie RGPD ?Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2023