Comment réaliser une analyse d’impact relative un traitement spécifique mis en place par votre organisme?

L’analyse d’impact relative à la protection des données (AIPD) est un préalable indispensable à tout traitement de données à caractère personnel qui représente un risque pour les droits et la liberté des personnes concernées. Pour l’effectuer, l’accompagnement d’un cabinet de conseil RGPD est absolument nécessaire au regard de la méthodologie et l’expertise qu’elle requiert. Nouvel Horizon Conseil, avec son expertise dans le domaine de la protection des données, met à votre disposition un spécialiste de l’AIPD. Toutes les structures concernées — TPE, PME, collectivités locales et territoriales, administrations publiques — peuvent solliciter notre savoir-faire et bénéficier de l’accompagnement sur mesure de notre cabinet dans leur démarche de mise en conformité au RGPD.

Qu’est-ce que l’AIPD et quelle est son importance pour une société ?

L’analyse d’impact relative à la protection des données, encore appelé Privacy Impact Assessment (PIA) est une approche importante dans la responsabilisation des entreprises. Elle leur permet de construire des traitements de données respectueux de la vie privée, mais aussi, et surtout de justifier leur conformité vis-à-vis de certaines dispositions du RGPD (Règlement Général sur la Protection des Données).

En effet, l’APAID est requise pour les traitements qui sont de nature à engendrer des risques élevés pour les droits et les libertés des personnes concernées. On entend par risque élevé sur la vie privée un événement redouté qui se traduit généralement par l’atteinte à la confidentialité, la disponibilité ou l’intégrité des données, et ses impacts potentiels sur les droits et libertés des personnes. Dans l’analyse d’impact il est important de systématiquement prendre en compte tous les scénarios qui peuvent permettre la survenance de la menace.

En plus de permettre au responsable de traitement de répondre à ses obligations légales, l’AIPD permet souvent aux entreprises de prendre conscience de ce qui est mis en place et de s’améliorer lorsque cela est nécessaire.

La réalisation d’une analyse d’impact relative à la protection des données est-elle obligatoire ?

L’AIPD devient obligatoire du moment où le traitement est susceptible d’engendrer un risque élevé pour les libertés et droits des personnes dont les données sont hébergées. La CNIL a publié sur son site la liste des opérations de traitement soumises à une analyse d’impact. Au cas où le traitement que vous comptez mener ne figure pas sur cette liste, il faudra encore vérifier s’il ne répond pas à 2 des 9 critères issus des lignes directrices de CEPD que nous énumérons ici :

• Traitement des données sensibles ou à caractère strictement personnel ;

• Traitement des données à grande échelle ;

• Usage innovant, c’est-à-dire l’utilisation d’une nouvelle technologie ;

• Évaluation ou notation (y compris le profilage) ;

• Prise de décisions automatisée avec effet juridique pour la personne concernée ;

• Surveillance systématique ;

• Croisement ou combinaison d’ensembles de données ;

• Traitement de données concernant des personnes vulnérables (patients, personnes âgées, enfants, etc.) ;

• Exclusion du bénéfice d’un droit/contrat.

Comment se déroule une AIPD ?

L’analyse d’impact relative à la protection des données se déroule en 3 grandes étapes. La première consiste en une description détaillée du (ou des) traitement (s) à mettre en œuvre par la structure. Il est important de mettre l’accent sur les mesures techniques et opérationnelles déployées dans le cadre des traitements.

Il s’ensuit l’évaluation de l’aspect juridique dont le but est de démontrer le respect des principes fondamentaux du RGPD par le Responsable du Traitement. Ces fondamentaux — la finalité du traitement, la durée de conservation, les données à collecter et ou déjà collectées, les mesures de sécurité, les menaces — sont non négociables et doivent être respectés, peu importe les risques. Enfin, la structure doit régulièrement procéder à l’audit des traitements qu’elle met en œuvre.

Nouvel Horizon Conscience : le prestataire idéal pour réaliser l’analyse d’impact AIPD de votre structure conformément aux exigences du RGPD

Société de conseil spécialisée en protection de données à caractère personnel, Nouvel Horizon Conseil vous propose un accompagnement personnalisé dans la réalisation des analyses d’impact de la protection des données sur les traitements que votre entité met en place. Solliciter notre expérience bâtie sur plusieurs années dans le domaine de protection des données implique une prise en charge intégrale de votre projet.

Nos experts en protection des données procéderont à une analyse complète de votre organisation en terme de collecte et traitement des données afin de déterminer la stratégie idéale qui vous permettra d’atteindre vos objectifs en matière de conformité au RGPD. Cette étape de diagnostic nous permet la plupart du temps,

• de découvrir les différentes finalités que vous poursuivez,

• les outils utilisés pour collecter et traiter les données,

• les mesures techniques et organisationnelles mises en place,

• les destinataires des données…

Toutes ces informations seront nécessaires à l’élaboration du registre de traitement. Notons enfin que Nouvel Horizon Conseil dispose de ressources humaines qualifiées, capables de prendre en main la mise en conformité au RGPD de votre PME ou de tout organisme.