Privacy Impact Assessment

Un risque est un scénario évalué en termes de gravité et de vraisemblance. Par exemple perte et diffusion de données de santé sur internet suite à un piratage. Un PIA n'est requis que lorsque le traitement est "susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques" (article 35 (1)). Dans les cas où il n'est pas clair qu’un PIA soit requis, le G29 recommande qu'un PIA soit effectué en tant qu’outil de gestion des risques utile pour aider les RT de données à se conformer à la loi sur la protection des données.

Le RGPD ne donne pas de définition du risque élevé, il mentionne des cas de risques élevés dans les articles :

• 35 (1) recours à de nouvelles technologies,

• 35 (3) (a) une évaluation systématique et approfondie des aspects personnels relatifs aux personnes physiques qui repose sur le traitement automatisé, y compris le profilage, et sur lesquelles les décisions sont fondées qui produisent des effets juridiques concernant la personne physique ou affectent de manière similaire la personne physique;

• 35 (3) (b) traiter à grande échelle les catégories spéciales de données visées à l'article 9, paragraphe 1, ou des données à caractère personnel relatives aux condamnations et infractions pénales; ou

• 35 (3) (c) un suivi systématique d'une zone accessible au public à grande échelle ". D’autres cas peuvent être précisés par le G29 (art 70), ce qu’il a fait dans sa première ligne directrice sur le PIA en ajoutant :

• Les données concernant les personnes vulnérables (considérant 75), • Un ensemble de données issues de combinaison de plusieurs traitements qui dépasserait les attentes raisonnables de la personne concernée.

• Le transfert de données au-delà des frontières en dehors de l'Union européenne (considérant 116),

• Lorsque le traitement en soi «empêche les personnes concernées d'exercer un droit ou d'utiliser un service ou un contrat» (article 22 et considérant 91). Le G29 considère que les opérations de traitement qui répondent à au moins deux de ces critères nécessiteront un PIA.

Avant la collecte des données et de mettre en œuvre le traitement (art 35 (1) et 35 (10), considérants 90 et 93). La réalisation d'un PIA est un processus continu, pas un exercice ponctuel, il devra être adapté si nécessaire à toute situation (collecte commencée, changement de finalités… etc.).

Le RT, avec le DPO et le (s) ST (s) de données. Le DPO peut être externe (art 37-6).

Le GDPR offre aux RT une certaine flexibilité pour déterminer la structure et la forme précises du PIA. Cependant quelle que soit sa forme, un PIA doit être une véritable évaluation des risques, permettant aux RT de prendre des mesures pour y remédier.

Art 35-7.L'analyse contient au moins:

1. une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement;
2. une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;
3. une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1; et d) les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

Le PIA en tant que processus de gestion de risque reprend la démarche d’analyse de risque qui utilise trois processus :

• établir le contextepour obtenir une vision claire du traitement: «en tenant compte de la nature, de la portée, du contexte et des finalités du traitement et des sources du risque»; il conviendra de définir le type de traitement considérés, ses finalités, ses enjeux et décrire son périmètre (décrire les données personnelles concernées (DCP), les destinataires, la durée de conservation, décrire les processus et les supports pour l’ensemble du cycle de vie des DCP).
• évaluer les risquespour s’assurer que le dispositif est conforme: «évaluer la probabilité et la gravité particulières du risque élevé»; on appliquera les obligations de conformité en décrivant le traitement (finalité, minimisation, intégrité des données, durée de conservation, les mentions d’informations, la gestion du consentement, le respect des droits, les modalités de transfert.
• traiter les risques: «atténuer ce risque» et «assurer la protection des données personnelles» et «démontrer le respect du présent règlement». Pour mesurer les conséquences des risques, il conviendra d’identifier les sources de risques [qui ou quoi pourrait être un risque ?] les évènements redoutés et atteintes potentielles à la vi privée en estimant la gravité [que craindre qu’il arrive aux personnes ?], les menaces [comment cela pourrait-il arriver ?]. Présenter une cartographie de tous les risques. Pour réduire les risques, on s’attachera de réduire les risques organisationnelle (organisation, politique, gestion des risques, gestion de projets, gestion des incidents, supervision), les risques de sécurité logique (anonymisation, chiffrement, sauvegardes, cloisonnement des données, gestion des doits d’accès…), les risques de sécurité physique (contrôle d’accès, sécurité des matériels, gestion des risques non humains - incendie, dégâts des eaux).

Il convient d’examiner périodiquement le PIA et le traitement qu'il évalue (tous les 3 ans), au moins lorsqu'il existe un changement du risque posé par le traitement de l'opération.

Les décisions, notamment en cas de validation (poursuite) di traitement  doivent être documentées (justifiées).

La CNIL recommande d’avoir recours à la méthode de gestion de risque EBIOS qui répond aux normes requises par le GDPR.

L’étude donnera lieu à un rapport : le rapport de PIA (présentation du traitement, description du périmètre, liste des mesures de nature juridique, liste des mesures traitant les risques, cartographie des risques et décision argumentée de validation du PIA).

En règle générale, les mesures aux risques identifiés doivent être proportionnées, elles agissent sur :

• les « éléments à protéger »: minimiser les données, chiffrer, anonymiser, permettre l’exercice des droits, etc.
• les « impacts potentiels »: sauvegarder les données, tracer l’activité, gérer les violations de données etc.
• les « sources de risques »: contrôler les accès, gérer les tiers, lutter contre les codes malveillants etc.
• les « supports » : réduire les vulnérabilités des matériels, logiciels, réseaux, documents papier etc

La publication d'un PIA n'est pas une exigence légale du GDPR. Le G29 en recommande fortement la publication d’un résumé à des fins de confiance et de transparence.

Le non-respect des exigences du PIA peut entraîner des amendes imposées par l'autorité de contrôle compétente (CNIL), pour les motifs suivants :

• Défaut d'effectuer un PIA lorsque le traitement est soumis à un PIA (article 35 (1) et (3)),
• PIA effectué de manière incorrecte (art 35 (2) et (7) à (9)),
• Non consultation de l'autorité de surveillance compétente si besoin (article 36 (3) (e))

L’amende administrative peut aller jusqu'à 10 M € ou, dans le cas d'une entreprise, jusqu'à 2% du total dans le monde chiffre d'affaires annuel de l'exercice précédent, selon le plus élevé des deux.