PIA ou AIPD : analyses d’impact relatives à la protection des données

Analyse d’impact sur la protection des données (AIPD ou DPIA – Data Privacy Impact Assessment)

L’analyse d’impact sur la protection des données, plus connu sous le terme de PIA ou AIPD, est un outil de responsabilisation pour les organismes. Elle leur permet de démontrer leur conformité au Règlement général sur la protection des données (RGPD) puisqu’elle est obligatoire pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Alliant une analyse juridique des principes de protection des données personnelles à une étude des risques sur la sécurité des données, la réalisation d’une analyse d’impact implique une double compétence. DIGITEMIS met à disposition ses experts juridiques et en sécurité des SI pour garantir une analyse complète et pertinente.

Plus d’informations sur la PIA ou AIPD :

L’analyse d’impact sur la protection des données, menée conjointement par un juriste spécialisé en protection des données et un consultant SSI, suit la méthodologie établie par la Cnil. Des entretiens avec les opérationnels du métier, accompagnés d’une analyse documentaire du traitement, vont ainsi permettre de parcourir les trois parties qui composent une analyse d’impact :

  • Une description détaillée du traitement mis en œuvre permet d’avoir une bonne vision du contexte et des finalités de celui-ci, d’identifier les données personnelles concernées, et de connaître les supports de ce traitement tels que les matériels, les logiciels, les documents papier, ou encore les canaux de transmission utilisés.
  • L’analyse juridique porte sur les mesures mises en place et contribuant au respect des principes fondamentaux de la protection de la vie privée. Quelques soient les risques, les principes de proportionnalité et de nécessité du traitement doivent être pris en compte, de la même manière que les droits dont disposent les personnes concernées.
  • L’étude des risques vise à évaluer, pour chaque type de risque (accès illégitime aux données, modification non désirée des données, disparition des données), son origine, sa nature, sa particularité et sa gravité. Elle permet d’apprécier les risques pesant sur la vie privée des personnes compte tenu des mesures existantes ou prévues.
    Un plan d’action est ensuite établi pour déterminer les mesures complémentaires à mettre en œuvre pour diminuer les risques.
    La validation finale de l’analyse d’impact par le responsable du traitement, qui décide de l’acceptabilité des mesures choisies, des risques résiduels et du plan d’action, intervient suite au recueil de l’avis du Délégué à la protection des données (DPO) et des personnes concernées.