Effectuer une analyse d’impact relative à la protection des données (AIPD) est une tâche complexe, mais essentielle pour veiller à ce que vos données soient à l’abri des lacunes de sécurité et des vulnérabilités. Par ailleurs, de nombreuses réglementations exigent la réalisation d’AIPD. Mener des analyses d’impact régulièrement constitue d’ailleurs une exigence essentielle requise par le Règlement général sur la protection des données (RGPD), une loi complète sur la protection des données personnelles qui s’applique à toutes les organisations qui stockent ou traitent les données des résidents de l’Union européenne (UE). Les AIPD sont également exigées par le RGPD au Royaume-Uni.
Continuez votre lecture pour en savoir plus sur les AIPD, les principales exigences requises dans le cadre du RGPD, les circonstances dans lesquelles elles sont obligatoires, et comment effectuer des analyses d’impact relatives à la protection des données.
Demander une démo individuelle :
Qu’est-ce qu’une analyse d’impact relative à la protection des données ?
Les analyses d’impact relatives à la protection des données, aussi appelées évaluations de l’impact sur la vie privée (ou PIA, pour Privacy Impact Assessment en anglais), sont réalisées pour identifier, analyser et minimiser les risques liés à la protection des données d’un projet ou d’un plan qui comprend des informations d’identification personnelle (IIP) ou, selon la terminologie du RGPD, des « données à caractère personnel ».
Les risques pour les informations personnelles peuvent inclure, entre autres, l’accès non autorisé par des acteurs internes ou externes, le traitement des données personnelles de manière non conforme aux souhaits de la personne concernée, etc. Une AIPD doit toujours conduire à la création d’une liste de mesures que l’organisation devra prendre pour faire face aux risques identifiés.
Feuilletez maintenant :
Quels sont les avantages d’une AIPD ?
Effectuer des AIPD présente des avantages qui vont bien au-delà de la conformité au RGPD. En voici une liste :
- Diminution de la probabilité de violations de données pour les systèmes, les cookies, les applications et les sites web ;
- Réduction du risque de ne pas respecter les obligations légales
- Risque limité pour les organisations d’assumer des coûts très élevés en cas de violation de données pour reprendre leurs activités, ou de payer de lourdes amendes, d’encourir des poursuites judiciaires ou encore d’interrompre leur activité ;
- Conformité plus simple aux autres réglementations en matière de protection des données.
Quand mon organisation doit-elle réaliser une AIPD ?
Le RGPD n’exige pas des organisations qu’elles effectuent une AIPD pour chaque opération de traitement liée à la protection de la vie privée. Les organisations doivent plutôt réaliser une AIPD lorsque le traitement des données est susceptible d’entraîner un risque élevé pour les droits et les libertés des individus (les « personnes physiques », selon le terme utilisé dans le RGPD).
Tout manquement aux règles officielles relatives aux AIPD peut entraîner des poursuites judiciaires, ainsi que l’imposition de lourdes amendes de la part du Comité européen de la protection des données.
Quand une AIPD est-elle nécessaire ?
Pour déterminer si une AIPD est obligatoire, vous pouvez utiliser les critères suivants, issus des Lignes directrices concernant l’analyse d’impact relative à la protection des données :
- Évaluation ou notation — Vous devez effectuer des AIPD lorsque vous menez des activités de profilage portant notamment sur des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, son comportement, ou sa localisation et ses déplacements. Le RGPD exige également des AIPD pour le calcul des cotes de crédit (solvabilité), les tests génétiques afin d’évaluer les risques de problèmes de santé, et la création de profils comportementaux ou marketing basés sur le comportement des utilisateurs.
- Prise de décision automatisée — Les AIPD sont obligatoires pour tout traitement ayant pour finalité la prise de décision (avec effet juridique) automatisée. Vous devez veiller à ce que ce dernier n’entraîne pas l’exclusion ou la discrimination des personnes concernées.
- Surveillance systématique — Vous devez réaliser des AIPD lorsque vous observez, contrôlez ou surveillez des personnes concernées par le traitement de leurs données, y compris lorsqu’elles se trouvent dans des lieux publics. Parmi les exemples figure entre autres la surveillance à distance de la sécurité, notamment les systèmes de portier vidéo.
- Traitement des données sensibles — Les AIPD sont obligatoires chaque fois que vous traitez des données à caractère hautement personnel, comme peut l’être le dossier médical d’un patient, par exemple.
- Données traitées à grande échelle — Les AIPD sont obligatoires lorsque vous traitez des données à grande échelle. Les critères permettant de déterminer si le traitement des données s’effectue à grande échelle comprennent le nombre de personnes concernées ainsi que la durée et l’étendue géographique de l’activité.
- Croisement ou combinaison d’ensembles de données — Vous devez effectuer une AIPD lorsque vous fusionnez ou comparez deux ou plusieurs ensembles de données collectées à des fins différentes.
- Données concernant des personnes vulnérables — Les AIPD sont obligatoires lorsqu’un déséquilibre des pouvoirs existe entre les personnes concernées et le responsable du traitement, ce qui pourrait créer un préjudice pour les premières. Les AIPD sont obligatoires lorsque les personnes concernées se trouvent dans l’incapacité de s’opposer au traitement de leurs données, par exemple les enfants, les employés et les personnes souffrant de maladie mentale ou de problèmes cognitifs.
- Utilisation innovante — Les AIPD sont obligatoires pour les nouvelles technologies, notamment les dispositifs IoT ou les systèmes de reconnaissance des empreintes digitales et de reconnaissance faciale.
- Transferts internationaux en dehors de l’UE ou du R.-U. — Vous devez effectuer des AIPD lorsque vous transférez des données en dehors de l’UE ou du Royaume-Uni. Cela permet de veiller à ce que des garanties appropriées soient en place.
- Traitements en eux-mêmes (personnes concernées) — Lorsque vous mettez en œuvre des processus qui empêchent les personnes concernées d’exercer un droit ou de bénéficier d’un service ou d’un contrat, vous devez effectuer une AIPD. À titre d’exemple, prenons le cas d’une banque qui procède à des vérifications de solvabilité pour les demandes de prêt.
Quand une AIPD n’est-elle pas nécessaire ?
Une AIPD n’est pas nécessaire dans les cas suivants :
- Lorsque le traitement a une base juridique — Si vous traitez des données dans le cadre d’une obligation légale ou d’une mission d’intérêt public, vous n’êtes pas tenu de réaliser une AIPD. Cette exception ne s’applique néanmoins que lorsque le traitement des données répond au moins à l’une des situations suivantes :
- Le traitement de données a une base juridique.
- L’opération de traitement est réglementée par une disposition légale ou un code juridique.
- Le traitement figure dans la liste des opérations de traitement qui ne requièrent pas d’AIPD, selon les lois applicables.
- Une analyse d’impact relative à la protection des données a été réalisée dans le cadre d’une évaluation d’impact lors de l’adoption du RGPD en mai 2018.
- Vous avez déjà effectué une AIPD semblable — Si vous avez réalisé une AIDP et que vous pouvez démontrer que la nature, la portée, le contexte et les finalités de la situation actuelle sont semblables, une nouvelle AIPD ne devrait pas être nécessaire.
Quand convient-il d’effectuer une AIPD ?
Vous devez intégrer une AIPD à tout nouveau projet qui implique le traitement de données à caractère personnel, et ce, dès sa conception, et la mettre à jour au fur et à mesure de l’avancée du processus de développement. Si vous souhaitez par exemple créer une application IoT, il vous faudra tenir compte des obligations en matière d’AIPD dès les premières étapes du processus de planification et jusqu’à son achèvement.
Qu’en est-il des opérations de traitement qui existaient avant l’entrée en vigueur du RGPD ?
L’obligation d’effectuer des AIPD s’applique aux opérations de traitement qui ont commencé le 25 mai 2018 ou après cette date, ainsi qu’à celles qui ont débuté avant cette date, mais dont l’évolution des risques affecte les exigences de conformité.
Il est possible que vous en soyez techniquement exempté. Toutefois, la plupart des experts en conformité recommandent la réalisation d’une AIPD pour les opérations de traitement existantes avant l’entrée en vigueur du RGPD susceptibles d’engendrer un risque élevé.
Que doit contenir une AIPD ?
Pour tirer pleinement parti des AIPD et s’assurer de la conformité au RGPD, l’adoption d’une approche globale est recommandée. Voici quelques listes de contrôle pour vous aider à n’oublier aucune information ou situation cruciale.
Liste de sensibilisation à l’AIPD
Une liste de contrôle de sensibilisation peut vous aider à comprendre les processus actuels de votre entreprise en ce qui concerne l’évaluation de l’impact sur la vie privée, et à promouvoir une culture dans laquelle tous les employés tiennent compte des besoins en matière d’AIPD, réduisant ainsi la probabilité d’une erreur humaine. Cette liste comprend généralement :
- Formation des employés — Formez les employés sur l’AIPD et précisez-leur comment elle protège les données à caractère personnel et quand elle est nécessaire.
- Gestion des processus et des politiques — Examinez dans quelle mesure les politiques de votre entreprise correspondent aux exigences de l’AIPD.
- Lignes directrices de mise en œuvre — Documentez les situations qui exigent une AIPD.
Listes de contrôle des traitements pour lesquels une AIPD est requise ou non
Ces listes de contrôle fournissent une analyse plus approfondie qui définit les critères permettant de déterminer si une AIPD est nécessaire selon le type d’opération de traitement. Elle comprend notamment les éléments suivants :
- Comprendre les données en jeu — Créez des documents qui interrogent la quantité de données, la vulnérabilité des personnes concernées et le caractère personnel et privé des données collectées. Élaborer également des lignes directrices pour distinguer les données à haut risque de celles à faible risque.
- Détails sur le traitement des données — Précisez la durée du traitement des données, les lieux de stockage et la surveillance, les personnes ayant accès aux données, les mesures de sécurité mises en place et les modalités de notification du traitement aux personnes concernées. Définissez également une méthode de consultation des professionnels de la protection de la vie privée et des autorités de contrôle.
- Déclaration claire sur les raisons pour lesquelles une AIPD a été jugée nécessaire ou non — Si vous décidez d’effectuer une AIPD, vous devez disposer d’une déclaration d’intention écrite et claire. Dans le cas contraire, présentez toujours les documents qui expliquent les raisons de votre choix.
Liste de contrôle des processus d’une AIPD
Cette liste indique aux sous-traitants la marche à suivre une fois que l’AIPD a commencé, ce qui vous permet de vous conformer aux exigences du RGPD du début à la fin. Ne pas utiliser une liste de contrôle des processus augmente considérablement la probabilité d’erreur humaine, entre autres problèmes, au cours de la phase de traitement. Cette liste comprend notamment les éléments suivants :
- Identification des risques — Définissez une méthode de consultation des sous-traitants pour comprendre les risques avant le début du traitement des données. Assurez-vous que la portée du traitement corresponde à l’objectif général. Une fois les risques évalués, établissez des règles par écrit qui vous permettront de les mesurer et de les atténuer.
- Liste des parties prenantes — Identifiez toutes les parties prenantes clés et définissez un calendrier de communications des mises à jour selon la progression de l’AIPD.
- Registre des décisions — Fournissez une documentation détaillée sur les personnes consultées avant et pendant le traitement, ainsi que sur toutes les personnes qui ont eu accès aux données. Documentez également toutes les méthodes de traitement, toutes les technologies utilisées et tout changement de méthodologie.
- Processus de révision — Lorsque vous réalisez une AIPD, établissez un calendrier pour examiner en permanence l’état d’avancement de votre projet et les modifications qui y sont apportées. N’oubliez pas que toute modification de la nature, du contexte ou de la portée de l’évaluation peut vous obliger à reprendre le processus depuis le début.
Quelles sont les étapes à suivre pour effectuer une AIPD ?
Pour garantir la conformité au Règlement général sur la protection des données, voici les étapes à suivre lorsque vous réalisez une analyse d’impact relative à la protection des données.
1. Évaluer si une AIPD est nécessaire ou non
Pour déterminer si une AIPD est nécessaire ou non, utilisez les critères ci-dessus. Veillez à documenter les aspects suivants du traitement :
- Nature — Que comptez-vous faire avec les données ?
- Portée — Quelles données seront traitées ?
- Contexte — Quels sont les facteurs, aussi bien internes qu’externes, susceptibles d’avoir une incidence sur les attentes ou l’impact ?
- Finalité — Pourquoi votre organisation souhaite-t-elle traiter les données ?
2. Décrire les opérations de traitement et leurs finalités.
Documentez la manière dont les données seront traitées tout au long du projet et l’étendue des données collectées. Répondez aux questions suivantes :
- Comment les données sont-elles collectées et utilisées ?
- Où et comment les données sont-elles stockées ?
- D’où proviennent les données collectées ?
- Les données sont-elles conservées par des tiers ?
- Le traitement concerne-t-il des données à haut risque ?
- Quel est le volume de données collectées et combien de personnes concernées sont-elles touchées ?
- Où se déroulent les activités de traitement des données ?
- Quelles sont les exigences en matière de conservation des données ?
Décrivez ensuite la finalité des activités de traitement des données par rapport aux objectifs du projet. Fournissez une description de chaque activité de traitement des données, son impact sur les personnes concernées et son utilité dans le cadre du projet.
3. Évaluer la nécessité et la proportionnalité du traitement.
Un aspect important d’une AIPD consiste à justifier les activités de traitement des données en expliquant ce qui est réellement nécessaire pour atteindre les objectifs et les résultats du projet. Commencez par répondre à ces questions :
- Existe-t-il une base juridique pour la collecte de ces données ?
- Des mesures de consentement appropriées sont-elles en place ?
- Des personnes vulnérables sont-elles concernées par le traitement des données ?
- Des projets antérieurs de même nature ont-ils donné lieu à des traitements semblables ? Si oui, les lacunes de sécurité ont-elles été identifiées et corrigées ?
- Le traitement des données est-il nécessaire pour atteindre les objectifs du projet ?
- Comment les droits des personnes concernées sont-ils respectés ?
- Existe-t-il des moyens de minimiser l’utilisation des données des personnes concernées ?
4. Consulter les différentes parties prenantes
Vous devez consulter plusieurs parties prenantes essentielles tout au long de l’AIPD, notamment :
- Le Délégué à la protection des données (DPD) — Le DPD de l’organisation est chargé de veiller au respect du RGPD et des autres lois sur la protection des données, de former le personnel impliqué dans le traitement des données et de servir de point de contact pour les personnes concernées. Un DPD vous aidera à démontrer votre conformité, à renforcer votre responsabilité et à obtenir un retour d’information sur les risques liés au projet.
- Les parties prenantes du projet — Impliquer l’ensemble des parties prenantes vous aidera à parfaitement comprendre l’étendue et la nécessité des activités de traitement des données, ainsi qu’à élaborer des stratégies appropriées pour faire face aux risques.
- Les personnes concernées et leurs représentants — Les personnes concernées et leurs représentants peuvent vous donner leur avis sur la manière dont leurs données sont traitées et garantir que vos activités de traitement s’effectuent en toute légalité.
- Experts externes — En qui concerne la confidentialité des données, envisagez de faire appel à des experts externes, notamment des professionnels de la sécurité de l’information, des juristes, des techniciens, des analystes de la sécurité et des sociologues.
5. Identifier et évaluer les risques pour les données personnelles
Dressez une liste de vos actifs par ordre de priorité et identifiez les vulnérabilités potentielles. Par exemple, si l’un de vos actifs est un serveur sur lequel vous stockez les données de vos clients, parmi les risques peuvent figurer des catastrophes naturelles, des pannes de matériel et des attaques malveillantes.
Dans votre analyse des risques, prenez en considération les éléments suivants :
- Les données dont la perte ou l’exposition aurait un impact sur les opérations
- Les principaux processus d’entreprise qui utilisent ces données
- Les données sont-elles rendues anonymes ?
- Une politique de conservation des données est-elle applicable ?
- Les données sont-elles stockées dans des lieux dangereux ou pourraient-elles être déplacées vers de tels lieux ?
- La portée du traitement des données peut-elle changer en cours de projet ?
- Des contrôles d’accès appropriés sont-ils appliqués ?
- Les menaces susceptibles de compromettre la capacité de fonctionnement de l’organisation, ainsi que la gravité et la probabilité de chacune d’entre elles
6. Définir les mesures à prendre pour faire face aux risques
Une fois que vous avez identifié les risques liés au projet, vous pouvez définir et mettre en œuvre de manière stratégique des mesures appropriées pour les atténuer. Pour vous y aider, vous pouvez utiliser une solution de sécurité des données :
- Les mesures de sécurité nécessaires ont été mises en place pour empêcher l’accès non autorisé aux données personnelles par des acteurs internes ou externes.
- Une politique de conservation des données a été mise en place pour supprimer les données qui ne sont plus nécessaires.
- Les technologies de découverte et les outils de suivi des données permettent de savoir où se trouvent les données personnelles, qui y accède, comment elles sont utilisées et comment elles circulent au sein de l’organisation.
- Les actions de remédiation (telles que la suppression des données inutiles et le nettoyage des accès) peuvent être automatisées et exécutées à grande échelle.
Vous devez définir une mesure d’atténuation spécifique qui permettra de traiter les risques en matière de protection de l’information, et documentez la méthode. Voici deux exemples :
Exemple no 1
Risque : L’organisation conserve des informations d’identification personnelle (IIP) plus longtemps que nécessaire.
Solution : Utilisez un outil automatisé de conservation des données pour garantir que les données seront supprimées en temps voulu.
Exemple no 2
Risque : Des utilisateurs non autorisés sont susceptibles d’accéder au serveur et aux données réglementées.
Solution : Augmenter les tests de sécurité et la surveillance du serveur afin de prévenir et de détecter toute activité suspecte.
7. Obtenir l’accord des parties prenantes
Une fois que tous les risques ont été identifiés et qu’une stratégie de sécurité appropriée a été élaborée, vous devez obtenir l’accord de toutes les parties prenantes pour la mise en œuvre du traitement. La liste peut varier en fonction de l’organisation et du projet spécifique, mais elle comprend souvent le délégué à la protection des données et les membres de l’équipe de direction.
8. Mettre en place des mesures pour faire face aux risques
Ensuite, mettez en place les solutions et autres mesures que vous avez identifiées pour réduire les risques.
9. Établir un rapport final d’AIPD
Enfin, vous devez établir un rapport final d’AIPD. Il doit comprendre les informations suivantes :
- Une description détaillée du projet et de sa finalité
- Une évaluation des besoins et de la portée du traitement des données
- Une évaluation des risques en matière de protection des données et de la vie privée des personnes concernées
- Une explication de l’approche de l’organisation pour atténuer les risques et se conformer aux exigences du GDPR
Il est recommandé de publier l’analyse d’impact dans son intégralité ou en partie, même si le RGPD ne l’exige pas. Vous renforcerez ainsi la confiance dans vos opérations de traitement de données tout en faisant preuve de responsabilité et de transparence à l’égard de toutes les parties prenantes.
Comment Netwrix peut vous aider à effectuer une analyse d’impact relative à la protection des données ?
Mener à bien une AIPD peut prendre beaucoup de temps, en particulier pour les organisations dont le personnel informatique est limité. Heureusement, Netwrix est là pour vous aider. Nous vous offrons des solutions d’audit de conformité qui renforcent la sécurité, répondent aux exigences des auditeurs et sécurisent les organisations de toutes tailles. Grâce à nos services, vous pouvez :
- Identifier les données réglementées et en verrouiller l’accès — Détectez avec précision le contenu réglementé de votre organisation et veillez à ce qu’il soit stocké uniquement dans des emplacements sécurisés.
- Contrôler l’accès à vos données — Appliquez strictement le principe du moindre privilège grâce à des processus automatisés de demande et d’approbation d’accès. Exercez un contrôle régulier sur vos données et exigez des attestations par les propriétaires de données. Gérez efficacement les stratégies de groupe, configurez vos systèmes de manière sécurisée et mettez en place des stratégies de mots de passe fortes. Détectez également les menaces à un stade précoce et éliminez-les rapidement.
- Réduire à seulement quelques minutes le temps de préparation des audits — Apportez rapidement des preuves tangibles de votre conformité réglementaire grâce à des rapports prédéfinis sur les configurations des systèmes, l’accès aux données, les comptes d’utilisateurs et bien plus encore.
FAQ
1. Les AIPD sont-elles obligatoires ?
L’article 35 du RGPD exige une AIPD lorsque vous mettez en œuvre des processus susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques. L’obligation d’effectuer des AIPD s’applique aux opérations de traitement qui ont commencé le 25 mai 2018 ou après cette date, ainsi qu’à celles qui ont débuté avant cette date, mais dont les modifications affectent les exigences de conformité.
2. Existe-t-il des exceptions ?
Une AIPD peut ne pas être nécessaire si vous traitez des données dans le cadre d’une obligation légale ou d’une mission d’intérêt public, ou si vous avez déjà effectué une AIPD semblable.
3. Qui est responsable de la réalisation d’une AIPD ?
Votre délégué à la protection des données, si vous en avez un, doit être impliqué dans l’analyse d’impact, ainsi que la personne responsable du projet à l’origine de l’AIPD et tous les sous-traitants de données concernés.
4. Quand convient-il d’effectuer une AIPD ?
Les organisations doivent effectuer une AIPD dès le début de tout nouveau projet et la mettre à jour tout au long du processus de planification et de développement.
5. Que doit contenir une AIPD ?
Le Bureau du Commissaire à l’information (Information Commissioner’s Office, ou ICO, en anglais) décrit le contenu d’une AIPD. Veillez à documenter tout particulièrement les éléments suivants concernant le traitement des données :
- Nature — Que comptez-vous faire avec les données ?
- Portée — Quelles données sont-elles incluses dans le traitement ?
- Contexte — Quels sont les facteurs, aussi bien internes qu’externes, susceptibles d’avoir une incidence sur les attentes ou l’impact ?
- Finalité — Pourquoi l’organisation souhaite-t-elle traiter les données ?