L’analyse d’impact sur la protection des données (PIA)
Une analyse d’impact basée sur une méthodologie établie par la CNIL
L’analyse d’impact sur la protection des données (PIA), menée conjointement par un juriste spécialisé en protection des données personnelles et un consultant SSI, suit la méthodologie établie par la CNIL. Des entretiens avec les opérationnels du métier, accompagnés d’une analyse documentaire du traitement, vont ainsi permettre de parcourir les trois parties qui composent une analyse d’impact des données :
1ère partie : description détaillée du traitement mis en œuvre
Elle permet d’avoir une bonne vision du contexte et des finalités de celui-ci, d’identifier les données personnelles concernées, et de connaître les supports de ce traitement tels que les matériels, les logiciels, les documents papier, ou encore les canaux de transmission utilisés.
2ème partie : l’analyse juridique
Elle porte sur les mesures mises en place et contribuant au respect des principes fondamentaux de la protection de la vie privée. Quelques soient les risques, les principes de proportionnalité et de nécessité du traitement doivent être pris en compte, de la même manière que les droits dont disposent les personnes concernées.
3ème partie : l’étude des risques
Elle vise à évaluer, pour chaque type de risque (accès illégitime aux données, modification non désirée des données, disparition des données), son origine, sa nature, sa particularité et sa gravité. Elle permet d’apprécier les risques pesant sur la vie privée des personnes compte tenu des mesures existantes ou prévues.
Le plan d’action, complément de l’analyse d’impact sur la protection des données
Un plan d’action est ensuite établi par les experts Digitemis pour déterminer les mesures complémentaires du PIA ou analyse d’impact à mettre en œuvre pour diminuer les risques.
La validation finale de l’analyse d’impact sur la protection des données (PIA) par le responsable du traitement, qui décide de l’acceptabilité des mesures choisies, des risques résiduels et du plan d’action, intervient suite au recueil de l’avis du Délégué à la protection des données (DPO) et des personnes concernées.