Nous appeler
Nous rejoindre

L’Analyse d’Impact à la Protection des Données (AIPD / PIA)

Analyse d’Impact à la Protection des Données : De fait, l’AIPD représente un outil qui permet de bâtir un traitement conforme au RGPD et respectueux de la vie privée. Ainsi, elle concerne les traitements de données personnelles qui peuvent être susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes.

A partir de 750 € HT / 1 jour 

 

Obtenir un devis

Qu’est-ce qu’une Analyse d’Impact relative à la Protection des Données (AIPD) ?

Analyse d’Impact à la Protection des Données : Dans les faits, l’AIPD représente un outil important pour la responsabilisation des entités. En ce sens, elle les aide non seulement à construire des traitements de données respectueux de la vie privée. Mais également à démontrer leur conformité au Règlement Général sur la Protection des Données (RGPD). A noter, elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.

L’AIPD se décompose en trois parties :

  • D’abord, une description détaillée du traitement mis en œuvre, comprenant tous les aspects, techniques et opérationnels ;
  • Puis, l’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux. En fait, il s’agit de la finalité, des données et des durées de conservation, de l’information et des droits des personnes, etc. Ainsi, ces aspects non négociables, se fixent par la loi et doivent se respecter, quels que soient les risques ;
  • Et enfin, l’étude, de nature plus technique, des risques sur la sécurité des données. Plus clairement, il s’agit de la confidentialité, de l’intégrité et de la disponibilité. Ainsi que leurs impacts potentiels sur la vie privée, ce qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

On notera qu’Analyse d’Impact relative à la Protection des Données, AIPD (Data Protection Impact Assessment), et PIA (Privacy Impact Assessment) sont des synonymes.

(Source : CNIL)

Quelles sont les traitements non-soumis à analyse d’impact ? La CNIL en donne une liste

Quand une Analyse d’Impact à la Protection des Données n’est pas obligatoire ?

Une AIPD n’est pas nécessaire dans les cas suivants :

  • En premier lieu, quand le traitement figure sur la liste des exceptions validée par la CNIL après consultation du Comité Européen de Protection des Données).
  • Mais aussi, quand le traitement ne représente pas de risque élevé pour les droits et libertés des personnes concernées.
  • Ou encore, lorsque la nature, la portée, le contexte et les finalités du traitement envisagé apparaissent très similaires à un traitement pour lequel une AIPD a déjà fait l’objet d’un traitement.
  • Egalement, quand le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public (article 6 du RGPD). Sous réserve que les conditions suivantes s’avèrent remplies :
  • Ou, qu’il ait une base légale dans le droit de l’UE ou le droit de l’État membre.
  • Ou que ce droit règlemente cette opération de traitement.
  • Enfin, qu’une AIPD ait déjà été menée lors de l’adoption de cette base légale.

(Source : CNIL).

La définition de l’AIPD

Qui intervient dans la réalisation d’une analyse d’impact ?

Ainsi, le responsable de traitement est tenu par l’obligation de s’assurer de la conformité de son traitement au RGPD.

Dans les faits, s’il a désigné un DPO, interne ou externe (externalisé), il lui demande conseil et le charge de vérifier l’exécution de l’AIPD.

D’autre part, si un sous-traitant intervient dans le traitement, il doit fournir son aide et les informations nécessaires à la réalisation de l’AIPD.

Egalement, le responsable de traitement devrait demander l’avis des personnes concernées. Notamment, par le biais d’une enquête, d’un sondage, d’une question formelle aux représentants du personnel, ou le justifier sinon.

Idéalement, les métiers (maîtrise d’ouvrage), les équipes chargées de la mise en œuvre (maîtrise d’œuvre). Et la personne chargée de la sécurité des systèmes d’information devraient également participer au processus de réalisation de l’AIPD et à sa validation (Source : CNIL).

Visitez le site de la CNIL au sujet de l’AIPD

Quel est le montant des sanctions prévues par le règlement en cas de manquements aux dispositions relatives aux analyses d’impact ?

Le montant des amendes peut s’élever jusqu’à 10 000 000 euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu (art. 83 du RGPD)

(Source : CNIL).

Visitez notre page sur la Jurisprudence en matière de contention au RGPD