top1position.com
Image default
Hi-tech / Informatique / Technologie

Dans quel cas mettre en place le pia rgpd ?

Notez cet article

Utilité du PIA dans le cadre du RGPD

Méta-title : Pia rgpd : quand et comment le réaliser ?

Méta-description : Pia rgpd : les démarches à entreprendre pour réaliser cette étape

La mise en conformité du Règlement Général sur la Protection de Données (RGPD) oblige les entreprises à prendre certaines dispositions. Parmi celle-ci, il y a le PIA RGPD qui s’avère assez complexe et qui nécessite un savoir-faire spécifique.

De quoi s’agit-il ?

Le « Private Impact Assessment » (PIA) ou Étude d’Impact sur la Vie Privée (EIVP) en français découle de l’article 35 de la nouvelle réglementation européenne sur la protection des données. Ce texte précise qu’il faut réaliser une étude d’impact quand un traitement de données sensibles ou personnelles peut engendrer un niveau de risque élevé d’atteinte à la vie privée des individus concernés. Ici, le terme traitement peut être assimilé à manipulation, activité, action, etc.

En conséquence, le PIA qui est encore appelé pia rgpd est un outil qui permet aux entreprises ou organismes de prouver qu’ils sont en totale conformité avec le Règlement Général sur la Protection de Données (RGPD). L’objectif du PIA est donc de réfléchir sur les moyens qui permettent de limiter le risque de voir une personne extérieure modifier, détruire ou subtiliser des données personnelles. 

Selon la Commission Nationale de l’Informatique et Libertés (CNIL), l’analyse pia rgpd repose sur deux grands principes. D’un côté, il y a l’étude des risques sur la sécurité des données. Cette étape vise à définir les mesures techniques et organisationnelles qui permettent d’assurer la protection des données. De l’autre côté, il y a l’évaluation juridique de la nécessité et de la proportionnalité en ce qui concerne les principes et les droits fondamentaux. Ces derniers sont d’ailleurs fixés par la loi et il faut les respecter, qu’importe la gravité, la vraisemblance et la nature des risques. 

Du reste, la CNIL présente un certain nombre de situations qui nécessitent la réalisation d’un pia rgpd :

  • Une collecte de données à grande échelle ;
  • Une collecte de données sensibles pour les enfants, les personnes âgées, les patients, etc.
  • Un système de surveillance dans un endroit public ;
  • L’utilisation d’une technologie nouvelle ;
  • Une analyse de marché ou scoring ou encore un profilage ;
  • Un traitement de données sur l’état de santé ;
  • Une donnée de référence pour un prêt ;
  • Des transferts de données dans un pays étranger ;
  • Un traitement automatisé licite.

En d’autres termes, le risque est toujours élevé dès qu’il s’agit de toucher des données sensibles des droits des personnes physiques. Dès que les traitements remplissent au minimum deux des critères mentionnés précédemment, l’analyse d’impact est obligatoire !

Comment mener cette étude d’impact ? 

La mise en place du pia rgpd est un travail de longue haleine et relativement complexe. Pour découvrir comment mettre en place cette étude d’impact, il suffit de lire les guides DPIA de la CNIL. D’après ces documents, voici les étapes à suivre :

  • Déterminer le contexte du traitement des données considéré ;
  • Analyser les mesures qui peuvent garantir le respect des droits et principes fondamentaux ;
  • Faire une estimation des risques sur la vie privée liés avec la sécurité des données. En même temps, vérifier le traitement effectif de ces données ;
  • Formaliser la validation du pia rgpd compte tenu des éléments précédents ou bien revoir chacune de ces étapes.

Il faut souligner l’importance du rôle joué par le « Data Protection Officer » (DPO) ou Délégué à la Protection des Données. En effet, il s’assure de la bonne exécution de l’étude d’impact en même temps qu’il guide le responsable de traitement. 

Combien de temps pour réaliser l’étude d’impact ? 

La plupart du temps, un pia rgpd peut être effectué dans un délai d’une semaine. Cependant, cela dépend étroitement de la quantité de données à évaluer. En ce qui concerne son coût, il varie entre 500 euros et plusieurs milliers d’euros, selon la complexité des opérations. Il convient de noter qu’en l’absence du PIA, les sanctions peuvent être très lourdes, à savoir jusqu’à 10 millions d’euros. Si le contrevenant est une entreprise, les sanctions peuvent s’élever jusqu’à 2 % du chiffre d’affaires mondial total de l’exercice précédent. 

2

Autres articles

Team-Building à distance : les meilleures animations en ligne

administrateur

L’alarme connectée, une solution optimale pour une protection multirisque

administrateur

Logiciel GED : ses 7 principaux avantages pour les entreprises !

Emmanuel

Windows 10 gratuit : mode d’emploi !

administrateur

Comment sécuriser votre système d’information ?

Journal

Booster la notoriété d’un blog High Tech

administrateur