Depuis l’entrée en vigueur du règlement général sur la protection des données (RGPD), toute entreprise amenée à exécuter un traitement de données à caractère personnel et des données dites sensibles est tenue à de nouvelles obligations. En France, ce nouveau règlement européen vient renforcer les mesures de protection des droits et libertés des individus déjà prévues par la loi Informatique et Libertés.
Une nouvelle mesure pour prévenir les risques
Le RGPD introduit de nombreuses mesures afin d’uniformiser la protection des données personnelles au sein de l’Union Européenne. Il est contraignant pour tout organisme opérant des traitements de données européennes qui sera donc tenu de se mettre en conformité avec les nouvelles dispositions, parmi lesquelles on retrouve :
- Les droits des personnes concernées par le traitement des données personnelles : droit à l’oubli, droit d’accès aux données, droit de rectification… ;
- Le principe de « protection des données dès la conception » qui impose la mise en conformité de tout système d’information, de tout produit ou service avec les normes de protection des données personnelles dès sa conception ;
- Des sanctions en cas de non-respect des normes édictées par le RGPD.
Une autre nouveauté prévue par le RGPD est l’analyse d’impact relative à la protection des données (AIPD) qui est obligatoire pour les traitements représentant un risque élevé pour l’obligation légale de respect de la vie privée des personnes. Un risque étant défini comme toute opération de traitements de données personnelles susceptible de faire l’objet de violation des droits et libertés des individus. L’objectif est de minimiser les effets néfastes des risques identifiables et de mettre en œuvre toute mesure permettant de prévenir la survenance de ces risques.
La Commission nationale de l’informatique et des libertés (CNIL) a notamment édicté une liste des types d’opérations de traitement pour lesquels l’AIPD est obligatoire. Il s’agit par exemple :
- Du traitement de données de localisation à grande-échelle ;
- Du traitement des données génétiques de personnes dites « vulnérables » ;
- Des opérations de profilage de personnes conduisant à l’exclusion de prérogatives contractuelles, à la suspension d’un contrat ou à sa rupture…
De l’utilisation du logiciel PIA pour les AIPD
Parmi les différents outils informatiques permettant de se conformer à cette nouvelle réglementation, la CNIL met à disposition le logiciel pia qui accompagne les responsables de traitement des données à réaliser leur AIPD.
Le logiciel pia s’adresse en premier lieu à tout responsable de traitement n’étant pas encore à l’aise avec les nouvelles dispositions édictées par le RGPD. Il détaille toutes les étapes à mettre en œuvre pour réaliser une AIPD en conformité avec les lois en vigueur et avec les recommandations de la CNIL. Son interface intuitive permettra en outre d’identifier facilement les risques afin d’agir efficacement.
Ce travail ne pouvant s’effectuer sans aucune base juridique, cet outil met également en évidence les normes juridiques ainsi que les guides de la CNIL relatifs à la protection des données à caractère personnel afin d’opérer toute modification nécessaire. Ce lien vous permettra de tout savoir sur le logiciel pia.
Des modalités d’exercice d’une AIPD
Compte tenu du principe de « protection des données dès la conception » suscité, l’AIPD doit être réalisée en amont de tout projet envisagé. Toute information nouvelle ou toute modification viendra, par la suite, actualiser l’analyse dans le but de s’assurer que les risques ne se soient pas accrus.
Plusieurs collaborateurs au sein d’un organisme peuvent être amenés à piloter et à participer à la réalisation de l’AIPD, il peut s’agir du responsable de traitement ou de son sous-traitant ou, le cas échéant du Data Protection Officer (DPO). En effet, si la désignation d’un DPO intervient dans l’entreprise, de par son rôle de conseil et de par son excellente connaissance du cadre juridique, celui-ci a la mission de vérifier et d’encadrer la réalisation de l’AIPD.
