RGPD : comment réaliser une étude d’impact sur la vie privée ?

Le RGPD impose de nouvelles obligations à toutes les entreprises. Outre la nécessité de mettre les données personnelles au coeur de votre stratégie, le RGPD impose de réaliser une étude d’impact sur la vie privée, parfois appelée PIA pour Privacy Impact Assessment. Cette étude d’impact a pour but de détecter les risques relatifs à la violation de la vie privée et à la protection des données personnelles que vous traitez. Cet impératif découle des obligations prévues à l’article 34 de la loi de 1978 qui dispose que le responsable de traitement doit «  prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données ». Cette étude pourra le cas échéant imposer la prise de mesures notamment techniques pour éviter les risques relatifs à la sécurité des données personnelles.

Une étude d’impact est-elle nécessaire ?

RGPD : comment faire une étude d'impactPour savoir si vous devez une telle étude d’impact, vous devez dans un premier temps identifier parmi les différents traitements de données personnelles que vous faites, celui ou ceux qui induisent des risques élevés pour la vie privée. Vous devez pour ce faire, avoir au préalable cartographier l’ensemble des traitements de données personnelles que vous faites.
Pour chacun de ces traitements vous devez réaliser une étude d’impact pour vous assurer du respect de la réglementation.
En d’autres termes, à chaque fois que vous traitez des données personnelles, vous devez vous poser les 4 questions suivantes :

  • Le traitement que vous allez faire a-t-il potentiellement un impact sur la vie privée des personnes concernées, vos clients par exemple ?
  • Ensuite, les données concernées par le traitement sont-elles sensibles pour les personnes ?
  • Puis, les données traitées le sont-elles en grand nombre pour une même personne ?
  • Enfin, les données dont vous envisagez le traitement proviennent-elles de plusieurs sources ?

S vous répondez oui à au moins une de ces 4 questions, une étude d’impact est nécessaire.

Comment réaliser une étude d’impact ?

RGPD : comment faire une étude d'impactMaintenant que vous savez si vous devez réaliser une étude d’impact, il s’agit de savoir comment procéder. Les études d’impact sur la vie privée repose sur deux piliers :

  • les principes et droits fondamentaux dits « non négociables ». Ces principes sont fixés par la loi. Ce sont des principes d’ordre public et donc il n’est pas possible d’y déroger. IL n’est pas davantage possible d’y apporter quelque modulation que ce soit.
  • la gestion des risques relatifs à la vie privée des personnes. Ce pilier permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données personnelles concernées.

La méthodologie comprend quant à elle 4 étapes successives :

  1. L’étude du contexte : cette étape permet de délimiter et décrire les traitements envisagés. Le contexte et les enjeux en cause sont également à prendre en compte ;
  2. L’étude des mesures : cette étape sert à identifier les mesures techniques et organisationnelles existantes ou prévues. Sont concernés ici le respect de la réglementation mais aussi la gestion des risques relatifs à la vie privée  ;
  3. Vient ensuite l’étude des risques : il s’agit ici d’apprécier les risques liés à la sécurité des données et ceux qui pourraient avoir un impact sur la vie privée des personnes. Le but est de vérifier si le traitement est réalisé de manière proportionné ;
  4. Enfin, l’étude de validation : cette dernière étape permet de valider la manière dont la réglementation sera respectée et de gérer les risques identifiés. Si la validation n’est pas possible; il est nécessaire de recommencer les étapes précédentes.

Cette méthodologie vous permettra de vous assurer de la prise en compte optimale de la protection des données personnelles que vous traitez dans le cadre de votre activité.

La rédaction des études d’impact est indispensable dans le cadre de la transformation numérique de votre entreprise.

Vous souhaitez des conseils sur l’audit de vos données et sur la méthodologie pour la rédaction des études d’impact ?

Discutons-en !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *