RGPD : comment réaliser une étude d’impact ?

RGPD : rédiger une étude d'impact

L’étude d’impact sur le traitement des données personnelles est très importante, mais aussi compliquée. Vous trouverez dans cet article des éléments généraux à titre indicatif car chaque projet est différent. Pour des précisions par rapport à un projet, contactez la CNIL. Voyons ensemble ce qu’est une étude d’impact.

Qu’est-ce qu’une étude d’impact ?

L’étude d’impact ou PIA (privacy impact assessment) est un processus qui assure que tout traitement de données personnelles a pris en compte les obligations concernants :

  • L’évaluation des risques de violation de la vie privée du propriétaire des données.
  • La mise en place de tous les mesures nécessaires pour réduire ou supprimer les risques.
  • La prise en compte de la durée de vie d’une donnée (conservation, suppression, collecte, …).

Elle doit être formalisée par écrit. Je vous conseille de la mettre en annexe de votre registre de traitement de données personnelles.

A quoi sert une étude d’impact ?

L’étude d’impact doit être réalisée au début de chaque lancement de projet. Elle a pour but de considérer les risques liés aux données personnelles avant la mise en place de tout projet. Elle sert également à démontrer la conformité à la réglementation. L’article 35 du RGPD l’impose pour les traitements qui pourraient présenter un risque élevé.

Comment déterminer un risque élevé ?

Le risque peut être caractérisé « élevé » en cas de traitement de données sensibles (données médicales, données raciales, …) et par rapport au conséquence en cas de perte, de vol ou de divulgation de ces données. Des textes tels que l’article 35 du RGPD, l’avis du G29 qui propose 9 critères et des listes émises par les autorités compétentes.

Que contient l’étude d’impact ?

Ce document peut être coupé en quatre parties :

  • La description du traitement des données personnelles
  • Une évaluation de la proportionnalité et de la nécessité de la collecte des données
  • L’évaluation des risques
  • Quelles sont les mesures mises en place pour pallier à ces risques

Qui est responsable de l’étude d’impact ?

Le responsable de traitement des données personnelles qui est désigné et nommé dans le registre de traitement de données personnelles, est responsable de la mise en place de l’étude d’impact.

Qui est consulté ?

Tout d’abord les personnes concernées par la collecte de données ou leur représentant le cas échéant. Le sous-traitant des données (s’il y en a un) doit être consulté.

Quel est le rôle du DPO ?

Dans cette étude le DPO à un rôle de conseil, notamment sur la nécessite de faire l’étude, comment la faire, si elle est bien faite, …

L’étude d’impact doit-elle être transmise à la CNIL ?

Elle doit obligatoirement être transmise à la CNIL dans certains cas, notamment s’il demeure un risque pour les données, si une loi vous y oblige ou si la CNIL vous le demande. Dans tous les cas, contactez la CNIL si vous avez le moindre doute.

L’étude d’impact est importante et das certains cas obligatoire. Si vous avez un doute sur ce sujet, la CNIL dispose d’une hot line qui peut répondre à vos questions. 




Si vous avez aimé cet article, partagez-le!
  • 1
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *