L’Analyse d'Impact relative à la Protection des Données ou AIPD (article 35 et 36 du RGPD) est une démarche de prévention des risques réalisée sur un traitement de données à caractère personnel.
Elle responsabilise les différents acteurs et les amène à construire un traitement des données à caractère personnel conforme au RGPD, donc respectueux de la vie privée de la personne.
L’étude est obligatoire quand le traitement de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées (voir l’article 35 paragraphe 1 du RGPD).
La CNIL a publié une liste de 14 traitements soumis à analyse d’impact,
La liste montre que les traitements de données de santé, de données concernant les ressources humaines, les assurances, les logements sociaux, la géolocalisation à grande échelle sont concernés par l’obligation de réalisation d’analyse d’impact. La liste montre aussi que les établissements médico-sociaux devront systématiquement effectuer une analyse d’impact sur leurs traitements, tout particulièrement quand les personnes concernées sont des personnes dites vulnérables (enfants, personnes âgées, patients par exemple).
Par ailleurs, la CNIL a aussi publié une liste de 12 traitements non soumis à l'analyse d'impact.
Attention !
Une structure est passible d’une sanction pouvant atteindre les 10 millions d’euros ou les 2% du chiffre d’affaires mondial globalisé dans les cas suivants :
- la structure ne réalise pas l'AIPD quand nécessaire,
- l'AIPD n'est pas correctement réalisée,
- la structure ne consulte pas l'autorité de contrôle après une AIPD montrant des risques significatifs.
À noter : analyse d’impact relative à la protection des données, AIPD (Data Protection Impact Assessment, terme retenu dans le RGPD) et PIA (Privacy Impact Assessment, terme plus commun utilisé dans d’autres régions du monde) sont synonymes.
Source :
https://www.cnil.fr
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
https://afcdp.net/
Mon avis de DPD/DPO
Pour réaliser l'AIPD :
- Appuyez-vous sur la liste de 14 traitements soumis à l'AIPD et sur la liste de 12 traitements non soumis à l'AIPD pour faire le choix de la réaliser ou non,
- Sollicitez l'avis des différents acteurs professionnels. Vous apprendrez plus vite !
- Sollicitez l'avis des personnes concernées,
- Réalisez une AIPD en cas de doute,
- Utilisez l'outil conçu par la CNIL,
- Utilisez l'outil conçu par la CNIL et enrichissez-le de modules ou adaptez-le à votre secteur si besoin, il est open source,
- Apprivoisez la démarche en pratiquant,
- Opérez une veille pour actualiser vos pratiques suite aux décisions et aux positions adoptées par les autorités de protection des données européennes et le Comité européen de la protection des données.
L'AIPD vous aidera à vous poser les bonnes questions. Vous évoluerez en évaluant :-). Elle vous aidera à mettre en oeuvre votre veille. De fait, elle vous motivera et renforcera la responsabilisation des équipes en prenant conscience des risques encourus ainsi que la confiance des personnes concernées.
Globalement l'AIPD vous accompagne dans l'amélioration de la gestion des risques au sein de votre structure. Alors, n'en faites pas l'impasse, de plus au risque d'être sanctionné.
Prévu à l'article 30 du Règlement Général pour la Protection des données ou RGPD, le registre des activités de traitement nourrit la 6ème étape de la mise en conformité au RGPD : il documente la conformité.
Le registre est un outil interne qui recense les traitements des données effectués et qui aide au pilotage de votre structure.
Il se présente sous la forme d’un document dans lequel vous identifiez les intervenants dans le traitement, les catégories de données traitées, les personnes susceptibles d’accéder aux données, les personnes auxquelles elles sont communiquées, la durée de conservation et les modalités de sécurisation des données.
Sources : https://www.cnil.fr
Mon avis de DPD/DPO
La CNIL recommande de tenir 2 registres. Le premier pour les traitements de données personnelles en tant que responsable de traitement et le second en tant que sous-traitants.
Je conseille l'ouverture d'un troisième registre pour les notifications de violations de données à caractère personnel à la CNIL.
À mon sens, le registre n'est pas à négliger, il permet d'améliorer votre gestion des risques et la qualité de vos services.
L'organisme, l'entreprise se met en conformité en 6 étapes
Étape 1. Désigner un pilote
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d'un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données ou DPD que l'on nomme aussi Data Protection Officer ou DPO.
Étape 2. Cartographier vos traitements de données personnelles
Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles.
L'élaboration du registre des traitements vous permet de faire le point.
Étape 3. Prioriser les actions à mener
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
Étape 4. Gérer les risques
Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une Analyse d'Impact relative à la Protection des Données (AIPD).
Étape 5. Organiser les processus internes
Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).
Étape 6. Documenter la conformité
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Mon avis de DPD/DPO
De mon point de vue, la constitution d'un comité de pilotage qui se réunit selon un rythme choisi favorise l'engagement des divers acteurs et facilite la démarche (meilleure gestion du temps, efficacité...).
Par ailleurs, pour prioriser les actions à mener, la construction d'un plan d'actions est nécessaire (objectifs, actions, planification, évaluation...), lequel est validé en comité de pilotage quand il existe.
Enfin, demander conseil vous fera gagner du temps et évitera le découragement. InterHop veut conseiller les collectifs, les associations et les petites et moyennes structures à organiser la démarche de mise en conformité avec le RGPD. InterHop s'adresse préférentiellement aux secteurs sanitaire, médicosocial et social.
Source : https://www.cnil.fr