Transcription of PIA, la méthode - cnil.fr
1 PIA, la m thode dition f vrier 2018 Table des mati res Avant-propos .. 1 Introduction .. 2 Comment mener un PIA ? .. 3 1 tude du contexte .. 4 Vue d'ensemble .. 4 Donn es, processus et supports .. 4 2 tude des principes fondamentaux .. 5 valuation des mesures garantissant la proportionnalit et la n cessit du traitement .. 5 valuation des mesures protectrices des droits des personnes des personnes concern es . 5 3 tude des risques li s la s curit des donn es .. 6 Qu est-ce qu un risque sur la vie priv e ? .. 6 valuation des mesures existantes ou pr vues .. 7 Appr ciation des risques : les atteintes potentielles la vie priv e.
2 7 4 Validation du PIA .. 8 Pr paration des l ments utiles la validation .. 8 Validation formelle .. 8 Annexes .. 9 D finitions .. 9 R f rences 10 Couverture des crit res des [LignesDirectrices-G29].. 11 PIA, la m thode dition f vrier 2018 1 Avant-propos La m thode de la CNIL est compos e de trois guides, d crivant respectivement la d marche, des mod les utiles pour formaliser l tude et des bases de connaissances (un catalogue de mesures destin es respecter les exigences l gales et traiter les risques, et des exemples) utiles pour mener l' tude : Ils sont t l chargeables sur le site de la CNIL : Conventions d criture pour l ensemble de ces documents.
3 Le terme vie priv e est employ comme raccourci pour voquer l ensemble des libert s et droits fondamentaux (notamment ceux voqu s dans le [RGPD], par les articles 7 et 8 de la [Charte-UE] et l article 1 de la [Loi-I&L] : vie priv e, identit humaine, droits de l homme et libert s individuelles ou publiques ) ; l acronyme PIA est utilis pour d signer indiff remment Privacy Impact Assessment, tude d impact sur la vie priv e (EIVP), analyse d'impact relative la protection des donn es, et Data Protection Impact Assessment (DPIA) ; les libell s entre crochets ([libell ]) correspondent aux r f rences bibliographiques.
4 PIA, la m thode dition f vrier 2018 2 Introduction Ce guide explique comment mener une "analyse d'impact relative la protection des donn es" (cf. art. 35 du [RGPD]), plus commun ment appel e Privacy Impact Assessment (PIA). Il d crit la mani re d employer la m thode [EBIOS]1 dans le contexte sp cifique Informatique et libert s . La d marche est conforme aux crit res des [LignesDirectrices-G29] (voir la d monstration de couverture fournie en annexe) et compatible avec les normes internationales relatives la gestion des risques (ex : [ISO 31000]). Le fonctionnement it ratif de cette m thode doit permettre de garantir une utilisation raisonn e et fiable de donn es caract re personnel dans le cadre de leur traitement.
5 La m thode ne traite ni des conditions en amont d terminant s'il faut mener un PIA (cf. art. du [RGPD]) ni de celles en aval d terminant qu'il faut consulter l'autorit de protection des donn es (cf. art. du [RGPD]). Th oriquement men par un responsable de traitement, un PIA a pour objectif de construire et de d montrer la mise en uvre des principes de protection de la vie priv e afin que les personnes concern es conservent la ma trise de leurs donn es caract re personnel. Ce guide s adresse aux responsables de traitements qui souhaitent justifier de leur d marche de conformit et des mesures qu ils ont choisies (notion de responsabilit ou d accountability en anglais, cf.)
6 Art. 25 du [RGPD]), ainsi qu aux fournisseurs de produits qui souhaitent d montrer que leurs solutions sont con ues dans une logique de conception respectueuse de la vie priv e (notion de Privacy by Design en anglais, cf. art. 25 du [RGPD])2. Il est utile toutes les parties prenantes dans la cr ation ou l am lioration de traitements de donn es caract re personnel ou de produits : les autorit s d cisionnaires, qui commanditent et valident la cr ation de nouveaux traitements de donn es caract re personnel ou produits ; les ma trises d ouvrage, qui doivent appr cier les risques pesant sur leur syst me et donner des objectifs de s curit ; les ma trises d uvre, qui doivent proposer des solutions pour traiter les risques conform ment aux objectifs identifi s par les ma trises d ouvrage.
7 Les correspondants informatique et libert s ou d l gu s la protection des donn es, qui doivent accompagner les ma trises d ouvrage et les autorit s d cisionnaires dans la protection des donn es caract re personnel ; les responsables de la s curit des syst mes d information, qui doivent accompagner les ma trises d ouvrage dans le domaine de la s curit des syst mes d information. 1 EBIOS Expression des Besoins et Identification des Objectifs de S curit est la m thode de gestion des risques publi e par l'Agence nationale de la s curit des syst mes d'information (ANSSI).
8 2 Dans la suite du document, le terme traitement de donn es caract re personnel est interchangeable avec le terme produit . PIA, la m thode dition f vrier 2018 3 Comment mener un PIA ? La d marche de conformit mise en uvre en menant un PIA repose sur deux piliers : 1. les principes et droits fondamentaux3, non n gociables , qui sont fix s par la loi et doivent tre respect s, quels que soient la nature, la gravit et la vraisemblance des risques encourus ; 2. la gestion des risques sur la vie priv e4, qui permet de d terminer les mesures techniques et d organisation appropri es pour prot ger les donn es5.
9 En r sum , pour mener un PIA, il convient de : 1. d limiter et d crire le contexte du(des) traitement(s) consid r (s) ; 2. analyser les mesures garantissant le respect des principes fondamentaux : l a proportionnalit et la n cessit du traitement, et la protection des droits des personnes concern es ; 3. appr cier les risques sur la vie priv e li s la s curit des donn es et v rifier qu ils sont convenablement trait s ; 4. formaliser la validation du PIA au regard des l ments pr c dents ou bien d cider de r viser les tapes pr c dentes. Il s agit d un processus d am lioration continue.
10 Il requiert donc parfois plusieurs it rations pour parvenir un dispositif de protection de la vie priv e acceptable. Il requiert en outre une surveillance des volutions dans le temps (du contexte, des mesures, des risques, etc.), par exemple tous les ans, et des mises jour d s qu une volution significative a lieu. La d marche devrait tre employ e d s la conception d un nouveau traitement de donn es caract re personnel. En effet, une application en amont permet de d terminer les mesures n cessaires et suffisantes, et donc d optimiser les co ts. A contrario, une application tardive, alors que le syst me est d j cr et les mesures en place, peut remettre en question les choix effectu s.
