Réaliser une Analyse d'Impact • De la théorie à la pratique
L’analyse d’Impact sur la Protection des Données (AIPD ou PIA) est l’une des avancées les plus marquantes du RGPD. Mais, au-delà de la théorie, comment la réaliser très concrètement ?
Quel rôle doit jouer le DPO : simple spectateur, pilote et leader, voire réalisateur ?
Comment éviter de produire une analyse d’impact « alibi » et réaliser une « bonne » AIPD ?
Faut-il obligatoirement suivre la méthode de la CNIL et utiliser son outil ?
Qui décide si les risques résiduels permettent de passer « au-dessous du radar » et d’éviter d’avoir à consulter la CNIL ?
Si nous consultons la CNIL au titre de l’article 36 du RGPD, en combien de temps est-elle obligée de statuer ?
Peut-on en sous-traiter la réalisation ? Quelles précautions prendre ?
Autant de questions cruciales auxquelles Bruno RASLE, expert reconnu de longue date et ancien DPO mutualisé de l’une des branches de la Sécurité sociale, répond lors d’une journée durant laquelle les aspects opérationnels sont privilégiés.
À l’issue d’une session très interactive, avec l’intense participation des apprenants (études et travaux sur des cas concrets - dont certains de ceux signalés au préalable par les participants-, mises en situation, réponses aux questions, …), les participants repartent forts de toutes les connaissances leur permettant de maîtriser le sujet.
En bonus, l’intervenant partage des documents opérationnels qu’il a forgés dans le cadre de sa pratique professionnelle (voir en bas de page Que contient la base documentaire qui me sera communiquée à l'issue de la formation ?).
Je télécharge le programme détaillé
Objectifs généraux de la formation
Au-delà de la théorie, permettre aux DPO (internes, externes) et aux futurs DPO (ainsi qu'à leurs collaborateurs) de disposer de tous les éléments pour se forger leur propre méthode de pilotage/de réalisation/ contrôle d'une analyse d'impact au titre de l'article 35 du RGPD, afin que soit produite la « meilleure » AIPD possible.
Cette journée permet aussi à toute personne prenant part à la réalisation d'une analyse d'impact d'optimiser ses apports.
En savoir plus ...
Je teste mes connaissances sur les AIPD : le Quiz
La présentation et l'interview du formateur, Bruno RASLE
Plus d'information sur cette formation
Prochaine session
La prochaine session aura lieu le 10 juin.
Les autres formations par Bruno RASLE
Violations de données • Pour ne pas subir
Être un DPO efficace dès les premiers jours • Réussir sa prise de poste
Contrôle de la CNIL • S’y préparer, le gérer, y survivre
L’informatique appliquée au RGPD ; cette journée est également proposée dans le cadre de notre parcours de préparation à la certification
Que contient la base documentaire qui me sera communiquée à l'issue de la formation ?
Quiz corrigé et commenté
Quarante-neuf questions concernant les analyses d'impact (PIA / AIPD) trouvent des réponses détaillées dans ce document. A titre d'exemple, si une personne demande à la CNIL de lui communiquer l'AIPD que vous avez communiquée auprès de la Commission au titre du CRPA (Code des Relations entre le Public et l'Administration), savez-vous ce que va faire l'autorité de contrôle ?
Exemple complet d'une AIPD réalisée sur un traitement très répandu
Ce document présente une analyse d'impact intégrale, portant sur un traitement de données personnelles devant être mis en œuvre obligatoirement au sein de très nombreux responsables de traitement.
Support permettant de sensibiliser les parties prenantes à la réalisation d'une AIPD
Compte-tenu du fait que la réalisation des premières analyses est généralement laborieuse et n’emporte pas spontanément l’adhésion et l’enthousiasme des collègues concernés, il est important de dégager les arguments qui permettront au DPO de motiver les troupes et de « vendre » les bienfaits de l’exercice.
Rôle des acteurs lors de la formalisation d'une analyse d'impact
Même si le DPO est appelé à donner l'impulsion pour qu'une AIPD soit réalisée (et qu'il réponde aux attentes), une analyse d'impact est avant tout un exercice collectif. Mais quels doivent être les apports du RSSI, du Chef de projet Métier, du Chef de projet DSI, du responsable PRA/PCA, des personnes concernées (ou de leurs représentants), de la direction juridique, du Risk manager, du fournisseur de données, du destinataire, du sous-traitant ?
Exemples d'atteinte aux personnes
Quels sont les impacts possibles pour les personnes concernées ? De quelle nature peuvent-elles être ? Ce document en fournit une liste.
Exemple de checklist de suivi de réalisation d'une AIPD
Pour ne rien oublier et suivre la réalisation d’une analyse d’impact, le DPO peut se constituer une « fiche de suivi » adaptée à ses besoins et à la méthode retenue au sein de l’organisme pour formaliser l'AIPD. Le document présente, à titre d’exemple, une fiche qui correspond à un PIA en cours de réalisation.
Comment traiter les principales difficultés rencontrées quand on réalise un PIA ?
Nombreux sont les freins qui rendent laborieuse la réalisation d’une analyse d’impact ("Les Métiers rechignent à m’accorder du temps et/ou à me fournir les informations nécessaires", "Nous avons du mal à identifier les événements redoutés", "En tant que DPO, j’ai du mal à obtenir des propositions de mesures pour traiter les risques" ou "Nous avons du mal à déterminer si nous avons l’obligation de demander l’avis de la CNIL").
Ce document fournit les pistes pour les traiter.
Exemple de fiche parapheur introduisant un PIA soumis à la signature du responsable de traitement
Voici un exemple de fiche qui doit être apposée sur le parapheur qui contient l'AIPD soumis à la signature du responsable de traitement pour approbation et endossement des risques.
La base de connaissance est complétée de documents sélectionnés par l'intervenant pour leur pertinence et leurs apports.
À quel moment faut-il mener une analyse d‘impact ?
L'article 35.2 du RGPD dispose clairement que « le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel ».
La vraie question est plutôt « Faut-il démarrer l'analyse d'impact (le PIA) le plus tôt possible ? ». Il appartient au responsable de traitement (et à son DPO, si celui-ci a été chargé du pilotage du PIA) d'en décider.
Trop tôt, il est probable que tous les éléments indispensables ne soient pas encore connus (à titre d'exemple : le projet va-t-il faire appel à un sous-traitant – et, si oui, lequel ?).
Si l'analyse d'impact est initiée trop tardivement, il n'est pas sûr que les mesures de traitement des risques puissent être mises en œuvre à temps.
Le mieux est sans doute d'ouvrir la réflexion le plus en amont possible, quitte à laisser les choses « mûrir » et à finaliser le PIA au bout de plusieurs mois (mais, de toute façon, avant la mise en œuvre du traitement).
Faut-il revoir une AIPD de manière régulière ?
Plusieurs des éléments qui figurent dans l'analyse d'impact réalisée à un instant Tpeuvent évoluer, comme le traitement lui-même, son environnement et les menaces. Il estdoncindispensabledes’assurerqueleniveauderisqueresteacceptabletoutau long de la vie du traitement. On adaptera la fréquence de revue à la sensibilité du traitement.
Naturellement, un PIA doit aussi être revu à l'occasion d'une violation de données qui impacte le traitement en question. L'article 35.11 du RGPD indique que «Si nécessaire, le responsable du traitement procède à un examen afin d'évaluer si le traitement est effectué conformément à l'analyse d'impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement», tandis que les lignes directrices du G29/CEPD indiquent «À titre de bonne pratique, une AIPD devrait faire l’objet d’un examen continu et être régulièrement réévaluée».
Faut-il publier l’analyse d’impact ?
Le RGPD ne prévoit aucune obligation de publication. En revanche, publier un résumé est une bonne pratique qui contribue à améliorer la confiance entre les parties prenantes. C'est, par exemple, recommandé concernant les traitements dans le périmètre Ressources humaines afin de rassurer les partenaires sociaux et pour donner des gages de responsabilité et de transparence.
Quels liens entre violation de données et PIA ?
En cas de violation de données, le réflexe devait être de consulter l'AIPD qui a (peut-être) été réalisée.
Y avions-nous prévu l’incident qui vient de se produire ?
Pourquoi la mesure de traitement du risque n’a-t-elle pas permis d’éviter la violation ?
À l'occasion d'une violation de données, il est donc sain de relire l'analyse d'impact qui a été réalisée sur le traitement concerné.
Le RetEx (retour d’expérience) qui doit être mené après chaque violation de données devrait être l'occasion de remettre en question les PIA concernés, pour lesparfaire.
Lors de la réalisation d'un PIA, faut-il consulter les personnes concernées ?
L'article 35.5 du RGPD dispose que «Le cas échéant, le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu».
Il ne s'agit donc pas d'une obligation mais d'une latitude. Cette démarche est fortement recommandée lorsque, malgré les mesures de traitement des risques, ceux-ci restent encore trop élevés. Qui, mieux que les personnes concernées,est bien placé pour apprécier l'équilibre entre les apports du traitements projetés et les risques qu'ils crée ?
Cet effort peut aussi permettre d’ajouter un risque oublié ou de revoir l'évaluation de l’impact d’un événement redouté sur les personnes.
Enfin, à ce sujet, les lignes directrices du G29/CEPD apportent la précision suivante : «Le responsable du traitement doit également justifier toute décision de ne pas recueillirl’avis des personnes concernées s’il juge la démarche inappropriée».
Sommes-nous obligés d’utiliser la méthode et l’outil de la CNIL pour réaliser une analyse d’impact ?
Non, du moment que notre résultat répond aux exigences du RGPD, un responsable de traitement est libre d’utiliser la méthode qui lui parait la plus efficace/efficiente.
Comme l'indiquent les« Lignes directrices concernant l’analyse d’impact relative à la protection des données» adoptées par le G29 (et endossées par le CEPD), «Il appartient au responsable du traitement de choisir une méthodologie» pour réaliser une AIPD, du moment que le résultat répond aux exigences de l’article 35 du RGPD.
