Javascript is required
logo-dastralogo-dastra

Comment faire une analyse d'impact ?

Comment faire une analyse d'impact ?
Marine Boquien
Marine Boquien
14 février 2024·6 minutes de lecture

Analyse d'impact définition

L'analyse d'impact sur la protection des données (AIPD ou PIA) est requise lorsqu'un traitement de données personnelles présente un risque élevé pour les droits et libertés des personnes concernées.

L'AIPD se divise en trois parties :

  1. Une description générique du traitement : cela englobe à la fois les aspects techniques et opérationnels.

  2. Une évaluation juridique du traitement : il s'agit d'analyser la nécessité et la proportionnalité du traitement par rapport aux principes et droits fondamentaux établis par la Loi Informatique et Libertés et le RGPD. Ces deux principes incluent a minima la finalité du traitement, la minimisation des données, la durée de conservation des données, l'information et le respect des droits des personnes concernées sur leurs données personnelles. Ils doivent être respectés par le responsable de traitement indépendamment des risques encourus sur les droits et libertés des personnes concernées.

  3. Une analyse technique des risques sur la sécurité des données personnelles : cette partie consiste à réaliser une analyse plus technique des risques pesant à la fois sur la confidentialité, l'intégrité et à sur la disponibilité des données. L'objectif est de déterminer tous les risques potentiels sur les données et de prendre les mesures techniques et organisationnelles nécessaires pour protéger les données contre ces risques.

Qui participe à la réalisation d'une analyse d'impact ?

Découvrez les acteurs qui participerons à l'AIPD :

  • Le responsable du traitement : celui-ci doit approuver l'Analyse d'Impact sur la Protection des Données (AIPD) et s'engager avec l'aide des opérationnels à mettre en place le plan d'action qui y est défini.

  • Le délégué à la protection des données (DPO) : celui-ci est chargé de rédiger l'AIPD avec l'aide du RSSI d'élaborer le plan d'action et doit veiller à sa mise en œuvre. Le DPO peut s'aider de toute personne dont il juge l'aide utile ou nécessaire pour la réalisation de la PIA.

  • Le sous-traitant : celui-ci doit fournir toutes les informations nécessaires à la réalisation de l'AIPD.

  • Enfin, les personnes concernées peuvent exprimer leur avis sur le traitement faisant l'objet de l'AIPD, étant donné qu'elles sont directement impactées.

Quand faire une analyse d'impact ?

Dans l'idéal, l'AIPD doit être réalisée avant de mettre en place le traitement. Elle doit être rédigée et finalisée le plus tôt possible et être actualisée tout au long du traitement.

Il est essentiel de réviser régulièrement (tous les ans par exemple ou tous les mois) l'analyse d'impact afin de garantir que le niveau de risque demeure acceptable au fil du temps. Cela est particulièrement crucial étant donné que l'environnement et le contexte lié au traitement, notamment sur le plan technique et humain, est susceptible de changer, nécessitant ainsi des ajustements et des correctifs permanents dans les mesures de mise en œuvre du dit traitement.

Quand est-ce qu'une analyse d'impact n'est pas requise ?

Une analyse d'impact sur la protection des données (AIPD) n'est pas requise dans les situations suivantes :

  1. Lorsque le traitement est répertorié parmi les exceptions établies par la CNIL après consultation du CEPD (Comité européen de protection des données).

  2. En cas de traitement ne présentant pas de risques élevés pour les droits et libertés des personnes concernées.

  3. Lorsque la nature, la portée, le contexte et les finalités du traitement envisagé sont très similaires à un traitement pour lequel une AIPD a déjà été réalisée.

  4. Si le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public (conformément à l'article 6 du RGPD), sous réserve que les trois conditions suivantes soient remplies :

    • Le traitement repose sur une base légale dans le droit de l’UE ou le droit de l’État membre (droit national auquel est soumis le responsable de traitement).
    • Ce droit réglemente spécifiquement l'opération de traitement pour laquelle une APID est obligatoire.
    • Une AIPD a déjà été effectuée au moment de l'adoption de cette base légale.

Rédiger une analyse d'impact (AIPD) : les différentes étapes

Voici les étapes générales pour réaliser une analyse d'impact :

  1. Définir le périmètre et le contexte de l'analyse : identifiez clairement ce qui est inclus dans l'analyse et ce qui ne l'est pas. Cela peut inclure des processus, des équipes, des systèmes, des parties prenantes, etc. Cette étape permet au DPO de préciser le contour et le contenu de l'AIPD.

  2. Identifier les parties prenantes : identifiez les personnes concernées et les acteurs du traitement qui seront directement ou indirectement affectés par le traitement. Cela peut inclure les employés, les clients, les fournisseurs, etc.

  3. Établir les critères d'évaluation : définissez les critères spécifiques que vous utiliserez pour évaluer l'impact. Cela peut inclure des aspects tels que la productivité, la satisfaction des clients, les coûts, la qualité, etc.

  4. Collecter des données : rassemblez des informations pertinentes sur les processus, les systèmes, les équipes et les parties prenantes. Cela peut impliquer des entretiens, des enquêtes, l'analyse de documents existants, etc.

  5. Évaluer l'impact : analysez les données collectées pour déterminer comment le traitement affectera chaque aspect identifié. Classez les impacts en termes de gravité et de priorité.

  6. Identifier les mesures d'atténuation : proposez des mesures pour atténuer les impacts négatifs et renforcer les impacts positifs du traitement. Cela peut inclure des formations, des ajustements de processus interne, des communications ciblées, etc.

  7. Préparer un rapport d'analyse d'impact : documentez vos résultats dans un rapport clair et compréhensible pour tous. Assurez vous d'inclure les conclusions de l'analyse, les recommandations et les plans d'atténuation / plans d'actions.

  8. Communiquer les résultats :partagez les résultats de l'analyse d'impact avec les parties prenantes concernées. La communication transparente contribue à la compréhension et à l'acceptation des actions à mettre en place ou des changements prévus pour que le traitement souhaité / en cours réponde aux exigences de la protection des données personnelles.

  9. Réviser et mettre à jour : l'analyse d'impact est un processus itératif. Révisez régulièrement son contenu à mesure que le projet avance et ajustez vos plans d'atténuation / d'actions en conséquence.

En suivant ces étapes, vous devriez être en mesure de mener une analyse d'impact complète et suffisamment approfondie pour anticiper les conséquences d'un ou plusieurs traitements jugés "sensibles".

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.