Vous souhaitez bénéficier d’un accompagnement professionnel pour la mise en conformité du processus de traitement des données personnelles de votre société ? Nouvel Horizon Conseil met à votre disposition un expert de l’analyse d’impact relative à la protection des données (AIPD). Nous assistons les entreprises et les administrations publiques dans leur démarche de mise en conformité au RGPD et la mise en place de bonnes pratiques.
Importance de l’analyse d’impact relative à la protection des données pour une société
L’analyse d’impact relative à la protection des données encore connue sous son sigle anglais PIA (Privacy Impact Assessment) est obligatoire pour les traitements susceptibles d’engendrer des risques élevés. Elle permet aux entreprises non seulement de construire des traitements de données respectueux de la vie privée, mais aussi de démontrer leur conformité au Règlement Général sur la Protection des Données (RGPD) L’analyse d’impact relative à la protection des données permet de s’assurer que l’usage fait des données à caractère personnel par les structures respecte les droits et les libertés des personnes tout en leur apportant un certain niveau de sécurité.
Comment s’effectue l’analyse d’impact relative à la protection des données ?
L’analyse d’impact relative à la protection des données se compose de trois grandes phases. Elle débute par une description détaillée du ou des traitements mis en œuvre par l’organisme. À cette étape, il reste essentiel de préciser tous les éléments techniques et opérationnels qui serviront dans la mise en œuvre du traitement.
Ensuite, viendra l’aspect juridique avec pour objectif de déterminer le respect par le Responsable de Traitement des principes fondamentaux du RGPD (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques. Cette démarche est souvent analysée par nos consultants lors de la réalisation de leur diagnostic de conformité. L’entreprise devra veiller à auditer, régulièrement, les traitements qu’elle met en place même si elle estime que sa démarche de mise en conformité est terminée via la mise en place annuelle d’un audit de conformité.
Est-ce obligatoire d’effectuer une AIPD/PIA ?
Cette opération devient obligatoire lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes dont vous hébergez. Afin d’aider les Responsables de Traitement dans l’analyse de la nécessité de réaliser une AIPD, la CNIL a mis en ligne sur son site la liste des traitements soumis à une AIPD. Si votre traitement ne figure pas sur cette liste, il faudra tout de même vous assurer qu’il ne répond pas à plus de deux des neufs critères issus des lignes directrices du CEPD (anciennement G29).
De même, si le traitement relève d’une obligation légale ou contribue à la réalisation d’une mission de service public (article 6 du RGPD), l’AIPD peut se mettre également de côté. Cependant, lorsqu’il remplit au moins deux des critères énumérés ci-dessous, votre structure doit obligatoirement procéder à l’analyse :
-
Traitement de données sensibles ou données à caractère hautement personnel ;
-
Traitement de données à grande échelle ;
-
Usage innovant (utilisation d’une nouvelle technologie) ;
-
Évaluation ou notation (y compris le profilage) ;
-
Prise de décisions automatisée avec effet juridique pour la personne concernée ;
-
Surveillance systématique ;
-
Croisement ou combinaison d’ensembles de données ;
-
Traitement de données concernant des personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
-
Exclusion du bénéfice d’un droit/contrat.
Pourquoi solliciter l’accompagnement de Nouvel Horizon Conseil pour la réalisation de l’AIPD ?
Nouvel Horizon Conseil est une société de conseil spécialisée en protection des données personnelles qui propose un suivi et un accompagnement aux entreprises pour les aider dans la mise en place de leurs PIA. Durant notre collaboration, nous procédons à une analyse complète de votre système de gestion des données pour déterminer la stratégie à adopter pour mettre votre entreprise en conformité au RGPD. Via cette étape cruciale de diagnostic, nous pourrons également vous accompagner dans la mise en place de votre registre de traitement qui fait partie intégrante de l’accountability. Pour en savoir plus sur notre accompagnement, contactez-nous.