PIA RGPD

Démontrer son engagement RGPD

Une démarche qui représente la clé de voute de la mise en conformité RGPD et se révèle un outil judicieux pour le DPO externe (ou interne)

Qu'est-ce qu'un PIA ?

Le Privacy Impact Assessment (PIA) — en français, AIPD pour « analyses d’impact relatives à la protection des données » — est une méthode conçue et validée par le groupe de travail européen dit de Article 29 sur la protection des données (G29), le groupe des autorités de contrôle sur les données personnelles européennes (ex. : la CNIL, en France), pour réaliser les analyses d’impact requises par le Règlement général sur la protection des données concernant la protection des données personnelles, appliqué depuis le 25 mai 2018 dans toute l’Union Européenne.  

Cette méthode est fortement inspirée du standard ISO29134 définissant les études d’impacts sur les informations personnelles identifiables (IPI ou PII en anglais). 

Pourquoi le PIA est si important ?

Le PIA, lorsqu’il est obligatoire, est l’un des premiers documents – avec le registre des traitements – demandé par la CNIL au début de chacun de ses contrôles et il doit être produit sans délais par l’organisation 

Le PIA va permettre de vérifier et démontrer que l’organisation a pris en considération la protection des données de la personne dans la conception et la mise en œuvre du traitement. 

Son absence, son insuffisance ou la non mise en œuvre du plan d’action y afférent permet à la CNIL de disposer d’arguments objectifs permettant de faire la démonstration de la non-conformité de l’organisation. 

Quand faut-il faire un PIA ?

L’article 35 du RGPD(section 3 – article 35) de la réglementation européenne sur la protection des données stipule qu’une étude d’impact doit être réalisée lorsqu’un traitement sur des données personnelles ou sensibles (par traitement, il faut comprendre « activité », « action », « manipulation », etc.) peut entraîner un risque élevé d’atteinte à la vie privée des personnes concernées. 

Il s’agit d’une obligation aux entreprises ou organismes de mettre en place un PIA (analyse d’impact) au regard des droits et des libertés des personnes. Le PIA (analyse d’impact) correspond à un document et à un outil qui doit aider les entreprises ou les organismes à prouver qu’ils sont conformes au RGPD. 

Le PIA est notamment est obligatoire dès lors qu’un traitement concernant des données à caractère personnel4 : 

  • est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ; 
  • consiste en l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ; 
  • s’opère à grande échelle sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ; 
  • la surveillance systématique à grande échelle d’une zone accessible au public. 

La délibération n° 2018-327 de la CNIL liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise.

Comment faire un PIA ?

La CNIL a publié suite à l’entrée en application du RGPD le logiciel PIA afin de faciliter la réalisation et la gestion des analyses d’impact relatives à la protection des donnéesEn deux ans, ce logiciel est devenu un outil précieux permettant au DPO d’avoir un dialogue structuré et construction avec le management de l’entreprise, Responsable du Traitement de Données Personnelles. 

Deux ans après l’entrée en application du RGPD, les analyses d’impact sur la vie privée se sont multipliées au sein des organismes. L’outil PIA de la CNIL fait référence et est disponible en 20 langues : allemand, anglais, croate, danois, espagnol, estonien, finnois, français, grec,  hongrois, italien, lituanien, néerlandais, norvégien, polonais, portugais, roumain, slovène, suédois et tchèque. 

CITIZEN SHIELD utilise le logiciel PIA de la CNIL pour l’ensemble de ses analyses. 

Le logiciel PIA peut être téléchargé directement et gratuitement  sur le site de la CNIL à partir de la page de l’outil PIA ou vous pouvez nous contacter directement par e-mail contact@citizen-shield.com ou par téléphone au 01 48 78 24 90 

Ce qu’en disent nos clients :

Olivier Cerf, président de PAYPS : « En quelques jours, en nous appuyant sur l’expertise de CITIZEN SHIELD, nous avons pu sécuriser le lancement de notre solution, procéder à un audit tiers de la sécurité et ajuster les points de progrès ». 

Philippe Lourenco, président de TREE DIGITAL FACTORY : « Non seulement le PIA nous permet d’être en conformité, mais il nous permet également de renforcer la confiance avec nos clients. » 

3 jours pour y voir clair, 8 semaines pour réussir

Nous avons rédigé un guide complet et gratuit sur la mise en conformité RGPD. 

Voulez-vous le recevoir ?

Vous allez recevoir un email pour télécharger le livre blanc !