L’analyse d’impact pour les traitements sensibles, imposé aux entreprises

L’analyse d’impact pour les traitements sensibles, imposé aux entreprises

L’analyse d’impact relative à la protection des données s’applique aux entreprises œuvrant dans le traitement de données sensibles et se veut de responsabiliser ses acteurs aux regards des droits et des libertés des personnes. Pour des mesures de sécurité, cet outil est obligatoire pour la surveillance systématique de l’utilisation raisonnée et fiable des données dans son processus de traitement. Voici de plus amples informations sur le sujet.

Qu’est-ce que le PIA ?

Le PIA ou Process Impact Assessment constitue un outil indispensable pour assurer la mise en conformité des entreprises aux règlements et à la législation en vigueur concernant la protection des données à caractère personnelles. Ce système permet de responsabiliser les organismes notamment sur la conservation des données et leurs traitements, conforme au règlement européen de la loi informatique et liberté.

Il vise à démontrer la conformité de l’entreprise aux bases juridiques de la protection des données. En effet, Le PIA CNIL devient obligatoire lorsque les traitements en question engendrent des risques élevés. L’entreprise se doit alors de démontrer sa politique de confidentialité, ainsi que les moyens qu’il utilise pour sécuriser les traitements de données personnelles. Le document fait en quelque sorte office d’audits. Des mises à jour relative au nouveau règlement européen ont effectuées, toujours dans la finalité de protéger les données sensibles et d’exercer un contrôle sur la conformité avec la législation des politiques de conservation des données en entreprises.

Quelles sont les lignes directrices qui composent le PIA CNIL ?

Avant toute chose, il faut savoir que le PIA est le synonyme de l’AIPD. L’AIPD ou Data Protection Impact est le terme utilisé dans le RGPD pour définir les mêmes principes que le Privacy Impact Proccess.

La méthode Pia Cnil se dévoile alors en trois parties, qui ont pour objectif de décrire la démarche, et d’éclairer sur les éléments qui formalisent l’étude d’impact. Elle fait également mention des principes directeurs qui promeuvent les bonnes pratiques de la protection des données personnelles. À savoir :

La description fidèle du traitement entrepris,

Cette partie offre une vue d’ensemble sur le traitement, intégrant ainsi les aspects opérationnels et techniques privilégiés pour la protection et la sécurisation des données sensibles. En ce sens, elle fournit une vision d’ensemble sur les traitements des données personnelles. Dans la cnil guide pia, elle mentionne :

  • La présentation du produit en question, sa nature, sa portée, ses contextes et surtout sa finalité…
  • La description des données personnelles, leur durée de conservations et leurs destinataires.
  • Le portrait du cycle de vie du produit depuis leur collecte jusqu’à leur effacement. Il offre des détails sur les processus et les supports des données.

L’étude des principes fondamentaux de la protection de la vie privée

Cette partie mentionne les obligations de protection soumises à l’entreprise. Elle détermine, entre autres :

  • Les finalités de collecte de données, entretenue dans le registre de traitement ;
  • La licéité du traitement,
  • La période de conservation des données ;
  • Le consentement des personnes ;
  • La politique d’accès à ces données, plus précisément les droits d’accès à ces renseignements ;
  • La portabilité des données ;
  • La possibilité de détruire ou de rectifier les données par une simple demande ;
  • L’encadrement du système de transfert des données en dehors de l’Union européenne ;
  • Les mesures entreprises pour la protection des droits et la liberté des personnes concernées, la politique de confidentialité utilisée.

L’objectif est de justifier le choix des actions entreprises et d’expliquer les mesures appliquées pour être conformes aux règlements et pour respecter au mieux les droits et les libertés des personnes. L’entreprise peut alors éclairer les termes d’utilisation des données, par exemple : pour de la prospection commerciale. Elle y indique aussi la démarche de mise en conformité au loi informatique et liberté.

L’analyse technique des risques sur la sécurité des données

Dans cette phase, il est question de la confidentialité, de l’intégrité et de la disponibilité entretenues pour assurer au mieux la protection des données sensibles. Elle concerne les mesures de conformités techniques et organisationnelles pour la sécurisation et la conservation des données. Les analyses se portent alors sur :

  • L’évaluation des mesures existantes, concernant la sécurité des données, les méthodes organisationnelles adaptées (la gouvernance), la sécurisation du système…
  • L’analyse des atteintes potentielles à la vie privée basée sur l’étude d’impact des causes et des conséquences des risques (violation des données, disparition des données, modification non désirée, accès illégitimes…)

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *