Depuis le 25 mai 2018, l’Union Européenne recommande l’application du RGPD dans tous les entreprises et organismes qui collectent et utilisent des données à caractère personnel. Le règlement général sur la protection des données est obligatoire pour les entreprises implantées dans le territoire économique européen exploitant des données qui risquent de porter atteinte à la vie privée des utilisateurs.
Parmi les recommandations stipulées dans le RGPD figure le PIA ou évaluations de l’impact sur la vie privée. Bien qu’il s’agisse d’une obligation pour les entreprises qui se sont mises en conformité au RGPD, son adoption s’avère être bénéfique pour ces entités.
PIA RGPD : la définition
La PIA ou Privacy Impact Assessment, traduit en français évaluations de l’impact sur la vie privée est un procédé qui vise à obliger les organismes concernés à adopter des mesures de traitement de données plus respectueux de la vie privée, mais aussi à démontrer qu’ils respectent le RGPD. Cette démarche touche notamment les organismes qui effectuent des traitements de données qui présentent un risque élevé pour les droits et les libertés des utilisateurs.
On ne voit pas la définition exacte de ce que c’est la PIA dans le RGPD, mais cette obligation repose sur deux grands points :
- Une évaluation du système de traitement actuel basé sur une analyse comparative avec les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) qui sont fixés par la loi et doivent être respectés, quelles que soient la nature, la gravité et la vraisemblance des risques.
- Une étude des risques sur la sécurité des données (abus, accès aux données personnelles, disparition des données…) permet de déterminer les mesures techniques et d’organisation pour protéger les données.
Quand est-ce que le PIA est-il obligatoire ?
Le texte ne précise pas dans quels cas la PIA RGPD est obligatoire. Le RGPD stipule seulement dans son article 35-1 que la PIA est obligatoire pour les « traitements présentant un risque élevé pour les droits et libertés des personnes physiques ». En outre, il cite certains exemples de cas sur lesquels la PIA est obligatoire :
- Les traitements des données à grande échelle. Plus les données à traiter sont nombreuses, plus les risques d’atteinte aux droits privés sont élevés.
- La surveillance permanente et systématique d’un endroit ouvert au public.
- Les traitements des données sensibles (information santé, opinion politique, etc.).
- Les études basées sur l’exploitation de données personnelles (construction de stratégie marketing, prédiction, etc.).
- L’utilisation de données biométriques ou données liées à des condamnations pénales et infractions.
Pourquoi la PIA a été mise en place ?
La PIA a été mise en place afin d’aider les organismes concernés à mettre en place des mesures juridiques et techniques fiables pour mieux organiser et mieux protéger les données utilisées.
Comment réaliser une PIA ?
Comme on a dit plus haut, le RGPD ne précise pas de forme spécifique pour la réalisation d’une PIA. Le responsable du traitement sera donc libre d’implémenter une PIA légale et efficace tout en basant sur le principe du RGPD. Toutefois, il peut également suivre les indications de la CNIL et du GW29. Cette démarche peut être résumée en quatre étapes :
- Délimiter et définir le contexte des traitements de données à effectuer ;
- Évaluer les mesures permettant de respecter les principes fondamentaux : la proportionnalité et la nécessité du traitement ainsi que la protection des droits des personnes concernées ;
- Étudier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités ;
- Formaliser la validation de la PIA au regard des éléments précédents ou bien décider de réviser les étapes précédentes.