Données personnelles - RGPD

PIA RGPD : dois-je réaliser une analyse d’impact ?

L’analyse d’impact relative à la protection des données, plus souvent appelée PIA RGPD pour “Protection Impact Assessment relative au RGPD”, est obligatoire dès lors qu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Retrouvez les conseils de notre cabinet d’avocats expert en droit des nouvelles technologies pour mener à bien votre PIA RGPD.

PIA RGPD

1. Qu’est-ce qu’un PIA RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) entraine de nouvelles obligations à la charge des entreprises, notamment la réalisation d’un Protection Impact Assessment (plus couramment PIA RGPD). Aussi appelé PIA GDPR, il s’agit d’une analyse d’impact relative à la protection des données. Elle est obligatoire lorsqu’un traitement de données est susceptible d’entrainer un risque élevé pour la vie privée des personnes concernées.

Le RGPD PIA vous oblige donc à mettre en place des traitements qui respectent les droits et libertés des personnes concernées. Il doit aussi permettre de démontrer votre conformité RGPD à la Cnil. A défaut, vous vous exposez à de lourdes sanctions de la part de la Cnil, notamment des amendes jusque 20 millions d’euros.

Il s’agit d’une obligation lourde et compliquée à mettre en place. Cependant, vous pouvez utiliser le PIA RGPD à votre avantage. En effet, vous pouvez publier et communiquer un rapport ou résumé de votre PIA RGPD. Cela montre aux personnes concernées que vous êtes soucieux de la protection de leurs données personnelles. Une telle démarche peut donc avoir un effet très positif sur l’image de votre entreprise.

 

2. Mon entreprise doit-elle réaliser un PIA RGPD ?

Selon le RGPD, l’analyse d’impact est obligatoire lorsque votre traitement entraine un risque élevé pour les droits et libertés des personnes concernées. Il s’agit de l’unique critère qui définit si oui ou non votre PIA RGPD est obligatoire. Ce critère essentiel reste cependant assez flou.

Il est donc plus simple de regarder un exemple PIA RGPD obligatoire. L’article 35 du RGPD donne trois exemples de traitements pour lesquels l’analyse d’impact est obligatoire. Cette liste a été complétée par la Cnil.

Cependant, aucune de ces listes n’est limitative. Pour avoir une vue d’ensemble de l’obligation de PIA GDPR, il faut regarder les lignes directrices du G29. Le PIA RGPD est ainsi obligatoire pour les traitements qui remplissent deux des critères suivants :

  • Evaluation ou scoring, par exemple étude de marché ou profilage.
  • Collecte de données personnelles à grande échelle.
  • Collecte de données sensibles, par exemple des données relatives à l’état de santé.
  • Décision automatique avec effet légal ou similaire.
  • Surveillance systématique, par exemple un dispositif de vidéosurveillance dans un lieu public.
  • Croisement de données.
  • Données qui concernent des personnes vulnérables (patients, personnes âgées, enfants, etc.).
  • Usage innovant, par exemple l’utilisation d’une nouvelle technologie.
  • Exclusion du bénéfice d’un droit ou d’un contrat, par exemple lorsque les données servent de référence pour accorder ou non un prêt.
  • Transfert de données en dehors de l’UE.

Certains de ces critères laissent toujours place à l’interprétation. L’appel à un professionnel est donc fortement recommandé. Si vous avez désigné un Délégué à la Protection des Données (ou DPO), c’est lui qui va ou non vous conseiller de réaliser un PIA RGPD et veiller à son bon déroulement.

Deshoulières Avocats intervient en tant que DPO externe auprès de nombreuses entreprises. Nous vous accompagnons à chaque étape de votre mise en conformité RGPD et réalisons pour vous votre PIA RGPD.

 

3. Comment réaliser votre PIA RGPD ?

Le RGPD PIA doit être effectué avant de mettre en œuvre le traitement. Il faut en outre le revoir de manière régulière tout au long de la vie du traitement afin de vérifier le niveau de risque. Le cas échéant, les mesures de sécurité devront être adaptées. Si votre traitement a été mis en place avant le 25 mai dernier, vous pouvez dans certains cas bénéficier d’un délai de trois ans pour réaliser votre PIA RGPD.

Il existe plusieurs méthodes pour réaliser une PIA GDPR. Vous êtes libre de choisir celle qui vous convient. La Cnil propose une méthode de base sur son site. Il existe aussi un outil PIA que vous pouvez télécharger afin de créer des modèles d’analyses.

Deshoulières Avocats réalise pour vous votre PIA RGPD grâce à une méthodologie éprouvée en plusieurs 20 étapes.

 

4. Comment documenter votre PIA RGPD ?

Le GDPR PIA doit faire l’objet d’un document qui prouve votre conformité au RGPD. Il doit être transmit à la Cnil en cas de contrôle, mais aussi automatiquement lorsque le niveau de risque reste élevé ou si la législation d’un Etat membre l’exige.

Il comporte plusieurs parties et doit porter tant sur les aspects juridiques que techniques.

  • Tout d’abord il décrit précisément les opérations de traitement envisagées et leurs finalités, c’est-à-dire les raisons pour lesquelles vous collectez ces données.
  • Il comporte ensuite une évaluation de la nécessité et la proportionnalité du traitement au regard de ces finalités.
  • Puis il décrit les risques du traitement. Cette évaluation se fait en deux temps. Dans un premier temps, il faut prendre en compte la gravité du risque compte tenu de ses impacts potentiels. Dans un second temps, il faut regarder le niveau de vraisemblance de survenance du risque. Pour cela, il faut lister toutes les menaces qui permettraient que l’événement en question se produise.
  • Enfin, le document doit comporter une liste de toutes les mesures envisagées pour faire face à ses risques.

Deshoulières Avocats réalise et rédige pour vous votre PIA RGPD puis effectue les formalités nécessaires auprès de la Cnil.

 

5. Combien de temps dure mon PIA RGPD ?

Le PIA RGPD doit évaluer tous les éléments de votre traitement de données. En fonction de la quantité et de la sensibilité des données collectées, le PIA RGPD peut être généralement réalisé en 1 à 7 jours, selon la quantité de traitements réalisés et les risques relatifs à ces traitements.

 

6. Combien coûte un PIA RGPD ?

Le PIA RGPD est une étape essentielle de votre conformité RGPD. Sa réalisation est complexe et nécessite des connaissances juridiques et techniques spécifiques. Nous vous conseillons donc de passer par un DPO externe à votre entreprise.

Un PIA RGPD coûte de 500 euros à plusieurs milieu d’euros selon la complexité de l’opération.

Deshoulières Avocats intervient auprès de nombreuses entreprises pour leur mise en conformité RGPD. Notre équipe d’experts réalise pour vous votre PIA RGPD et s’occupe de toutes les formalités nécessaires auprès de la Cnil.

Bouton Devis final

REFERENCES :