Anne Renard et Anthony Sitbon animeront le 13 janvier 2021 un petit-déjeuner en visioconférence sur la réalisation des analyses d’impact (AIPD).
Les traitements concernés par les analyses d’impact
Issue du Règlement général sur la protection des données 2016/679 du 27 avril 2016 (RGPD), l’analyse d’impact vise à construire des traitements de données respectueux de la vie privée. Cette obligation s’impose en effet avant toute mise en œuvre d’un traitement « susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes ».
L’article 35 du RGPD énonce de manière générale et non limitative la liste des risques qui justifient une analyse d’impact. C’est le cas par exemple :
- des opérations de profilage conduisant à des prises de décisions (par exemple, scoring en matière bancaire) ;
- des traitements dits « à grande échelle » de données sensibles (gestion des alertes et des signalements en matière sociale et sanitaire) ;
- du « suivi régulier et systématique à grande échelle » des personnes concernées (notation à des fins d’évaluation de risques de fraude).
La Cnil a publié une liste des traitements pour lesquels une analyse d’impact est requise, mais que contient une telle analyse exactement et surtout comment la réaliser ?
Pour le savoir, il convient tout d’abord de définir les grands axes de la méthodologie applicable à l’analyse d’impact relative à la protection des données à caractère personnel.
La méthodologie des analyses d’impact
Une analyse d’impact se réalise en trois temps. Il faut premièrement s’assurer que le traitement est bien conforme au RGPD. Ensuite il faut évaluer les risques encourus au regard des droits et libertés des personnes (cartographies de risques).
Il faut enfin s’équiper d’outils spécifiques permettant d’identifier les mesures à prendre pour réduire les risques du traitement.
Ce petit-déjeuner débat sera aussi l’occasion de présenter l’outil d’analyse d’impact développé par Lexing Technologies, via sa plateforme Lexing SaaS RGPD. Cet outil permet la réalisation d’analyses d’impacts.
Anne-Renard est coauteure du Livre blanc « Gouvernance des données personnelles et analyse d’impact dans le cadre du RGPD », Cahier n°35 de l’Académie, Janvier 2019.
Anthony Sitbon est consultant et dirige le département Sécurité de Lexing Technologies. Il présentera, en complément des aspects juridiques, les aspects techniques et organisationnels d’une PIA auxquels il faut prêter attention et qui vous permettront d’appréhender la gravité et la vraisemblance des risques de vos traitements de DP.
Faites le point avec eux en vous inscrivant à la visioconférence qui aura lieu mercredi 13 janvier 2021 entre 9h et 11h.
Pour y assister, enregistrez-vous en renseignant les champs marqués d’un (*) :