Théorie et conseils pour la pratique quotidienne.
Une Analyse d’Impact sur la Protection des Données (AIPD), ou Privacy Impact Assessment (PIA) en Anglais, est une méthode d’analyse de risque spécifiquement liée aux risques concernant les données personnelles.
Elle consiste en une longue liste d’éléments à évaluer et de critères à remplir :
éléments définissant le traitement de données ;
critères de risques juridiques et réglementaires ;
critères de risques techniques.
Ces critères sont suivis d’un cadre d’évaluation du niveau de risque que le traitement de données fait peser sur la vie privée des personnes concernées, d’un plan d’action permettant de mitiger ce risque, et finalement d’une évaluation du niveau de risque résiduel post-plan d’actions.
Pour terminer, la partie formelle consiste en une signature du DPO affirmant que l’AIPD a été effectuée de manière fiable, et une décision contre-signée du responsable de traitement de mise en oeuvre, ou de non-mise en oeuvre, du traitement en regard des risques évalués.
Contexte d’utilisation
Une AIPD est un élément méthodologique introduit lors de l’entrée en vigueur du RGPD en mai 2018.
La CNIL indique sur son site :
“L’AIPD est un outil qui permet de construire un traitement conforme au RGPD et respectueux de la vie privée, lorsqu’un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.”
On comprend dans cette phrase qu’une AIPD est ainsi destinée à être utilisée lors de la conception d’un traitement de données, plutôt qu’a posteriori comme un outil d’analyse d’un traitement en place.
Malgré tout, de nombreux traitements ayant été mis en place avant l’arrivée du RGPD, des AIPD doivent être effectuées sur des traitements déjà en place. De plus, le fonctionnement d’une organisation et la dispersion des traitements de données personnelles font qu’il est encore fréquent, bien que non-souhaitable, que des AIPD soient effectuées après la mise en action d’un nouveau traitement de données personnelles.
Modalités d’utilisation
Il n’est absolument pas nécessaire d’utiliser un logiciel, que ce soit celui fournit par la CNIL ou un logiciel payant proposé par un éditeur, bien que ces derniers puissent bien sûr apporter des fonctionnalités pratiques.
Tout mode d’utilisation qui permet de suivre la méthode et de tracer les résultats peut être utilisée, aussi simplement que par un document en format texte. La CNIL fournit d’ailleurs un template d’un tel document.
Si vous utilisez un simple fichier texte, tracez l’état des lieux des AIPD ("à faire", "faite", "en cours de finalisation", etc.) en introduisant une colonne ou un attribut spécifique dans votre registre des traitements.
Bénéfices
Le bénéfice principal d’une AIPD, par rapport au fait de considérer la conformité d’un traitement sans méthode particulière, réside dans l’exhaustivité de la liste d’éléments et de critères listés.
Cela permet, même si cela peut paraître lourd, de ne rien oublier dans la longue liste d’éléments qui peuvent impacter la conformité d’un traitement de données.
Rien n’échappe au template d’une AIPD, y compris les risques sismiques ou les mises à jours d’anti-virus.
De plus, le fait de proposer un cadre de plan d’actions, aussi rudimentaire qu’il puisse être, encourage les organisations à ne pas négliger cet aspect, ce qui peut sembler évident pour certains, mais ne l’est pas pour tous. Ce cadre incite les organisations à ne surtout pas effectuer une analyse pour la ranger dans un tiroir, mais au contraire à concevoir un plan d’actions (et à l’implémenter) pour mitiger les faiblesses révélées par l’analyse.
Quand sont-elles obligatoires ?
Le RGPD définit à l’origine l’obligation d’une AIPD lorsque qu’une première analyse rudimentaire fait apparaitre des risques élevés. Devant ce critère abstrait et subjectif, certains critères objectifs ont été définis ultérieurement par la CNIL qu’il faut considérer en sus de l’existence probable de risques élevés qui reste un critère applicable à garder à l’esprit.
Demande d’une autorisation CNIL (traitement de données de santé) : une AIPD doit obligatoirement être jointe à la demande.
Le traitement remplit au moins 2 des 9 critères issus des lignes directrices du G29 :
évaluation/scoring (y compris le profilage) ;
décision automatique avec effet légal ou similaire ;
surveillance systématique ;
collecte de données sensibles ou données à caractère hautement personnel ;
collecte de données personnelles à large échelle ;
croisement de données ;
personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
usage innovant (utilisation d’une nouvelle technologie) ;
exclusion du bénéfice d’un droit/contrat.
La CNIL a publié une liste de traitements de données sur lesquels une AIPD doit obligatoirement être effectuée, mais il s’agit d’une aide à l’évaluation des critères ci-dessus sur un certain nombre d’exemples. En effet tous les traitements de cette liste remplissent au moins 2 de ces critères issus des lignes directrices du G29.
Conseil : vous avez de très nombreux traitements sur lesquels une AIPD est obligatoire et vous ne savez pas par où commencer ? Nous vous conseillons de combiner les critères objectifs et le critère subjectif : ainsi, commencez par les traitements à AIPD obligatoires qui comportent à votre avis des risques les plus élevés, et avancez progressivement en suivant ce classement.
Quand sont-elles utiles ?
Question piège ! Effectuer une AIPD se révèle toujours utile car l’étendue des critères contenus permet quasiment toujours de déceler un aspect qui a été peu discuté ou géré avec une qualité discutable.
Il est ainsi extrêmement rare de finaliser une AIPD sans qu’aucune action d’amélioration ne soit mise en place.
Difficultés d’utilisation
Longueur et lourdeur
Effectuer une AIPD peut paraitre une tâche lourde, assez longue à effectuer. Nous conseillons d’en faire un vrai travail d’équipe, et d’y allouer un temps défini : par exemple, en 2 heures l’AIPD doit être terminée. Comment y arriver ? Tous les éléments sur lesquels vous hésitez ou sur lesquels vous devez avoir des informations supplémentaires peuvent être intégrés dans le plan d’action en fin d’AIPD, ce qui permettra aussi de faire vivre l’analyse.
Complexité de certaines questions ou difficultés de compréhension
Une AIPD remplie à 85% est toujours bien plus utile qu’une absence d’AIPD. Ne laissez pas la complexité apparente de la tâche vous empêcher d’analyser au moins toutes les parties que vous savez effectuer. Encore une fois, faites vivre le processus d’analyse en sollicitant les bons acteurs dans un deuxième temps. Ceci étant dit, si vous avez rassemblé la bonne équipe pour effectuer l’analyse, vous ne devriez pas rencontrer de problématique majeure.
Les erreurs à ne pas commettre
1. Vouloir repartir d’une AIPD vierge pour chaque traitement de données : il est fort probable que de nombreux traitements de données au sein d’une organisation aient de nombreux points communs, que ce soit en lien avec l’infrastructure informatique qu’ils utilisent ou les destinataires de données concernés. Il serait dommage de ne pas réutiliser une base d’AIPD existante pour ‘pré-remplir’ les nouvelles AIPD, tout en vérifiant bien sûr que les informations sont toujours pertinentes.
2. Vouloir la faire effectuer par le DPO seul : non seulement ce n’est pas son rôle, car il doit seulement faciliter l’exercice, mais cela résultera en une AIPD dont de nombreux critères seront mal évalués (car un DPO n’est pas un expert fonctionnel), et il n’y aura aucun gain en compréhension des enjeux et mécanismes de conformité pour les intervenants responsables du traitement qui n’auront pas participé à l’analyse.
3. Vouloir l’effectuer sans votre DPO : sollicitez son expertise en protection des données personnelles pour assurer une analyse pertinente pour le but recherché, mais aussi pour gagner en efficacité car votre DPO est familier avec l’exercice.
Synthèse et conseils
Effectuez une AIPD avant la mise en production d’un nouveau traitement de données : intégrez l’utilisation de cet outil dans la phase de conception, de manière systématique.
Constituez-vous une bibliothèque d’éléments pré-remplis qui vous permettront de ne pas ré-analyser indéfiniment les même critères.
En faire un travail d’équipe entre les responsables du traitements, les spécialistes fonctionnels et techniques liés au traitement, et le DPO.
Exploitez le plan d’action de fin d’AIPD pour cadrer l’exercice et limiter le temps pris par la première analyse.
Maintenez un état des lieux des AIPD pour chaque traitement au sein du registre des traitements.
Ces conseils sont issus de nos expériences liées à nos accompagnements d’entreprises et d’organisations publiques en conformité RGPD ou en tant que DPO externalisé.
Articles complémentaires :
Vous avez apprécié cet article de blog ?
Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !
Découvrez-en plus sur nos prestations de services en conformité réglementaire au RGPD !
Nous avons besoin de vos réponses !
En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.
Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !
Merci pour vos réponses !
Vous souhaitez être informé(e) de nos actualités et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !
Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos experts en cybersécurité !
Comments