Qu’est-ce qu’un PIA et comment l’utiliser comme un investissement ?

22/11/2021
Edouard Schlumberger
Guides

446 millions. C’est le nombre d’habitants de l’UE (Union Européenne) selon Eurostat. Un nombre incalculable d’informations protégées par le RGPD (Règlement Général sur la Protection des Données), loi extraterritoriale entrée en vigueur le 23 mai 2018.

Consentement de l’internaute, définition d’une finalité claire et explicite, limitation de la durée de conservation… Le RGPD responsabilise les entreprises et encadre l’utilisation des données personnelles de leurs interlocuteurs (clients, employés, partenaires…).

Près de 3 ans ont passé, les entreprises françaises éprouvent toujours des difficultés à l’adopter.

Selon le rapport Netwrix « Data Risk & Security 2020 », “77 % des entreprises françaises contreviennent au Règlement Général sur la Protection des Données.”

Clairement, le RGPD apparaît comme un cadre strict, un outil qui ne participe pas significativement au développement de leur activité. Peu de moyens humains et financiers y sont consacrés. Les risques augmentent, les incidents également.

“22 % des responsables français interrogés reconnaissent avoir subi un incident de sécurité dû à un partage de données non autorisé au cours des 12 derniers mois.” Et “11 % des entreprises françaises interrogées ont enregistré une utilisation abusive de données sensibles ou réglementées au cours de l’année écoulée”. (Source : New Informatiques.)

Un laxisme étonnant au regard des sanctions :

  • financières (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial) ;
  • atteinte à la réputation de l’entreprise (perte de confiance des personnes concernées en cas de fuite).

Une certitude : les règles de base et les fondamentaux du RGPD ne sont pas respectés.

Dans ce contexte, difficile d’imaginer un recours régulier à l’analyse d’impact relative à la protection des données (AIPD ou PIA : Privacy Impact Assessment en anglais), “protection ultime” définie par le RGPD pour protéger les données hautement sensibles (religion, sexe…).

Au premier abord complexe, elle peut être pourtant un formidable levier de croissance pour votre entreprise.

Dans cet article, nous vais vous informer sur le PIA, et vous expliquer comment cette apparente contrainte, imposée par le RGPD, peut devenir un investissement.

Qu'est-ce que le Privacy Impact Assessment ?

La définition de la CNIL (Commission Nationale de l'Informatique et des Libertés) est particulièrement explicite : “un outil qui permet de construire un traitement conforme au RGPD et respectueux de la vie privée, lorsqu’un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées."

En d’autres termes, c’est une analyse de risques, un outil de responsabilisation des entreprises qui doivent suivre des lignes directrices pour assurer la protection de la vie privée des ressortissants européens, et ce, conformément au RGPD.

Quel impact sur votre activité ?

Prouver votre conformité au RGPD, c’est un levier puissant pour gagner la confiance de vos clients et vous démarquer de la concurrence.

Les données personnelles sont un sujet sensible au cœur de toutes les préoccupations.

Selon un sondage de l’Ifop (Institut français pour l’opinion publique) intitulé “Les Français et la protection des données personnelles”, publié en novembre 2018 pour la CNIL, 66 % des Français semblent plus sensibles à la gestion de leurs données personnelles et, pour 61 %, le RGPD constitue une contrainte supplémentaire nécessaire pour les entreprises.

De toute évidence, “montrer patte blanche” et adopter une attitude responsable sur la gestion des données personnelles sont impératifs.

L’ignorer, c’est susciter la méfiance des consommateurs. Un sentiment défavorable à la croissance de votre activité.

L’ignorer, c’est risquer une explosion en interne. Comment réagiraient vos équipes en cas de fuite de données sensibles ?

L'analyse d'impact prouve votre sérieux

Cette analyse n’est pas forcément obligatoire. Tout dépend de la nature de l'opération de traitements envisagée.

Le site Internet de la CNIL propose deux listes non exhaustives. L'une énumère les opérations ne nécessitant pas une AIPD. La seconde, celles pour lesquelles l'analyse est obligatoire (lorsque les traitements des données personnelles impliquent un risque important pour les droits et les libertés des personnes concernées).

Une formidable opportunité de démontrer votre sérieux à vos équipes, à vos clients !

Mais attention...

Si vos opérations de traitements figurent dans la liste non obligatoire de la CNIL, cela ne signifie pas que vous ne devez pas réaliser une PIA. Le RGPD vous responsabilise, profitez-en !

Selon la nature de votre activité, il vous revient d'estimer la nécessité de réaliser ou non une analyse de risque. Si vous estimez que les opérations de traitements que vous allez mener s’accompagnent d’un risque élevé, faites-la.

À noter : AIPD non obligatoire pour tout traitement similaire déjà évalué. Un gain de temps et de productivité appréciable.

Autres cas pour lesquels une PIA est obligatoire

Vous êtes concerné si vos traitements répondent à 2 des 9 critères suivants :

  • la réalisation d’une évaluation ou d’un scoring ;
  • une prise de décision automatique avec effet légal ;
  • une surveillance systématique ;
  • une collecte de données sensibles (religion, sexe, appartenance politique ou syndicale) ;
  • une collecte de données personnelles à large échelle ;
  • un croisement de données ;
  • les informations de personnes dites "vulnérables" (enfants, patients...) ;
  • une utilisation pour une nouvelle technologie, un usage innovant ;
  • une exclusion d'un droit ou d'un contrat.

Quels sont les participants ?

3 acteurs incontournables :

  •  le responsable des données ;
  •  le DPO (le délégué à la protection des données contrôle la bonne exécution) ;
  •  les sous-traitants ;
  • les personnes concernées par le traitement des données (clients, employés, représentants du personnel...). 

Et rien ne s’oppose à ce que vous incluiez d’autres participants comme les “métiers”, le responsable de la sécurité des systèmes d’informations…

Faire participer vos collaborateurs, vos clients (avec des enquêtes en ligne)... Une extraordinaire opportunité de créer une synergie autour d’un sujet majeur, d’un projet commun. Un plus pour le dynamisme de votre société.

À noter : Si vous n’impliquez pas les personnes concernées, vous devez le mentionner et expliquer pourquoi.

Une méthodologie existe-t-elle pour réaliser une analyse d'impact ?

C'est étonnant et pourtant...

Malgré son importance, la CNIL et le RGPD ne définissent aucun protocole pour réaliser une analyse d'impact.

Le responsable de traitement est complètement libre. Vous avez surtout une obligation de résultat.

Vous devez être capable de motiver vos décisions et de respecter les critères de l’annexe 2 des lignes directrices de l'article 29 du RGPD.

Vous choisissez la méthodologie la plus adaptée pour démontrer :

  • que les opérations de traitement envisagées respectent les droits fondamentaux des citoyens européens et les principes du RGPD ;
  • que vous contrôlez les risques associés à la nature des opérations réalisées (mise en place de mesures de sécurité...).

Votre analyse doit être conclue avant la mise en place effective du traitement et cet outil de décision ne restera pas figé. Vous devrez anticiper et le mettre régulièrement à jour pour vous adapter à un environnement numérique en constante mutation. Mais aussi pour affronter incessamment de nouvelles problématiques. Si de nouveaux risques informatiques apparaissent, des mesures complémentaires doivent être prises pour protéger la vie privée des personnes qui vous ont accordé leur confiance.

Nul doute que cette liberté et cette vision à long terme vous permettent d’envisager votre produit ou votre service sous un angle nouveau pour une bien meilleure satisfaction clients.

Comment réaliser une PIA ?

4 Étapes, 2 phases : un bilan et une anticipation.

1ère étape : une description de votre activité

En tant que responsable de données, vous expliquez les mesures techniques et opérationnelles mises en place pour un traitement des données personnelles conforme au RGPD.

  • La nature du traitement, ses finalités et ses enjeux... 
  • Identités du responsable de traitement et des sous-traitants… 
  • Données personnelles concernées, leur durée de détention, les destinataires... 

Vous détaillez précisément les opérations de traitements réalisées.

2ème étape : une évaluation juridique

La finalité des opérations de traitement est-elle explicite ? Est-elle légitime ? Le principe de la minimisation est-il bien observé ? La durée de conservation est-elle appropriée ? Comment l'internaute exerce-t-il ses droits à l'information, d'accès (les procédures internes) ? Quels sont les moyens techniques mis en place pour recueillir son consentement ?

D’innombrables questions auxquelles vous êtes amené à répondre pour respecter deux piliers incontournables du RGPD : proportionnalité et nécessité.

Vous l'avez compris. Vous devez démontrer que vos opérations de traitements respectent les principes fondateurs du RGPD et les droits des Européens. Si besoin, mentionnez des mesures de protection complémentaires.

En résumé, ces 2 premières étapes expliquent le contexte du traitement... Rien de très compliqué...

3ème étape : une appréciation des risques sur la vie privée

Budget, anticipation, planification... Vous devez prouver l'acceptabilité des risques pris. Comment ?

3 catégories de mesures à présenter :

  • organisationnelles (procédures en place pour gérer les incidents...) ;
  • de sécurité logique (techniques de chiffrement, de sauvegarde...) ;
  • de sécurité physique (protection du matériel...).

Et ce n'est pas tout : vous devez estimer les risques sur la vie privée.

Comment le RGPD définit-il la notion de “risque” ?

Ci-dessous, la définition de la CNIL :

“Un « risque sur la vie privée » est un scénario décrivant :

  • un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données, et ses impacts potentiels sur les droits et libertés des personnes) ; 
  • toutes les menaces qui permettraient qu’il survienne.

Pour chaque événement, définissez l'impact virtuel pour la vie privée des personnes concernées et leur gravité, leur caractère préjudiciable.

Enfin, évaluez la vraisemblance des risques, c’est-à-dire sa probabilité de réalisation. 

2 points à identifier :

  • les menaces sur les supports de données, leurs faiblesses ;
  • l'origine du risque et son aptitude à exploiter les faiblesses déterminées.

Gravité, vraisemblance...  Avec ces informations, vous êtes en mesure d'apprécier la nature acceptable (ou non) des risques liés à vos traitements. Vous disposez d'une classification claire qui facilite votre prise de décision.

4ème étape : une appréciation des risques sur la vie privée.

C'est la conclusion de l'analyse d'impact. Informé, conscient des risques, vous prenez une décision.

Allez-vous conduire les opérations de traitement analysées pour atteindre votre objectif ? Devez-vous procéder à des améliorations ? Refusez-vous de valider l'analyse d'impact ?

En tout état de cause, si vous estimez que les mesures envisagées ne vous permettent pas de contrôler suffisamment un risque élevé, vous ne pouvez pas y échapper, vous devez contacter la CNIL.

Quoi qu’il en soit, votre décision doit être formalisée et documentée (graphiques des risques, plan d'actions des mesures mises en œuvre, délais de réalisation...)

L'ensemble des participants peuvent également partager leur avis.

À noter : Vous devez communiquer votre analyse d’impact à la CNIL si la législation d'un état membre de l'Union Européenne l'impose ou si vos opérations de traitements sont concernées par la directive « Police-Justice » (envoi à réaliser par le site internet de la CNIL).

Quel impact sur votre activité ?

Vous disposez d’une excellente protection. Vous vous offrez un véritable tableau de bord récapitulant les risques et les mesures envisagées pour les réduire, voire les supprimer. 

Un document précieux à conserver et à présenter en cas de contrôle de la CNIL.

Un PIA, après tout, pourquoi pas... 

Vous en savez désormais un peu plus sur l'analyse d'impact relative à la protection des données.

Un travail rigoureux, long et documenté vous attend.

Et l'enjeu est de taille. Ce document démontre votre capacité à réaliser des opérations de traitements éthiques et responsables. Il vous aide à vous projeter dans l’avenir et à développer une aptitude à protéger la vie privée des personnes qui vous confient leurs données. 

Clairement, votre réputation est en jeu. Une fuite d'informations sensibles liée à une PIA bâclée serait catastrophique.

Aussi, n’hésitez pas à publier votre PIA (même si cela n'est pas obligatoire). Vous prouvez à nouveau votre sérieux et votre souci de transparence. Les personnes concernées apprécieront votre démarche, se sentiront en confiance. 

Un vrai plus pour un business pérenne.

Des interrogations ? N’hésitez pas à nous contacter !

S'inscrire à la newsletter de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Rejoindre
En cliquant sur "Accepter", vous acceptez le stockage de cookies sur votre appareil qui permettent d'améliorer la navigation du site, analyser les statistiques et nous soutenir dans nos efforts marketing. N'hésitez pas à consulter notre Politique de confidentialité pour toute information complémentaire.