Analyse de risques AIPD / PIA

Analyse de risques AIPD / PIA

Qu'est qu'un PIA ?

L’analyse d’impact sur la protection des données, appelée aussi PIA pour Privacy Impact Assessment, est une analyse de risques basée sur la méthodologie EBIOS. Elle est obligatoire lorsque le traitement est “susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées”.

Dans la pratique, il s’agit d’un audit approfondi d’un traitement en particulier. Sa mise œuvre conduit à déterminer la nécessité ou non de mettre en place un certain nombre d’actions afin de réduire les risques sur la vie privée des personnes concernées.

Comment réalise-t-on une analyse de risques ?

Nous réalisons les AIPD conformément aux recommandations de la CNIL et à l’aide de l’outil officiel. Une analyse d’impact se réalise en quatre étapes et met en relation l’auditeur, le service informatique, la personne qui met en œuvre le traitement et le responsable de traitement.

Concrètement, nous décrivons le traitement, puis vérifions le respect des principes fondamentaux et des mesures protectrices associées, nous évaluons les différents risques et leur probabilité afin d’aboutir à une cartographie des risques et un éventuel plan d’action.

Ce type de projet est très encadré juridiquement et doit respecter une méthodologie stricte afin d’être opposable.

Quels sont les livrables d'une AIPD ?

  • Rapport PIA
  • Cartographie des risques
  • Plan d’action
Pour en savoir plus, vous pouvez nous envoyer un mail à bonjour@indatable.com et nous appeler au +33 6 52 75 77 90 !

Vous êtes actuellement indisponible ? Prenons un RDV téléphonique !

Tout savoir sur l'analyse de risques CNIL

Qu’est-ce qu’une analyse de risque ?

Une analyse de risque consiste en l’identification des conséquences négatives du traitement pour les droits et libertés des personnes physiques. Simplement, il convient de se poser comme question “ Que risquent les personnes dont je vais traiter les données personnelles ?”, et d’étudier les risques possibles, leur niveau de gravité ainsi que leur vraisemblance.

A minima une analyse de risque doit contenir une description des traitements mis en place, une évaluation de la nécessité et de la proportionnalité de ceux-ci, ainsi que les mesures envisagées face aux multiples risques.

Effectuer une analyse de risque est-il obligatoire ?

Le caractère facultatif ou non de l’analyse de risque dépend essentiellement de la nature du traitement en question.

Une liste non exhaustive de traitements rendant une telle analyse obligatoire existe. On y retrouve, les traitements ayant pour but finaux : la surveillance systématique des personnes, les décisions automatisées avec effet légal, la collecte de données à grande échelle, l’utilisation de données sensibles, l’utilisation des données de personnes vulnérables…

Une analyse de risque reste recommandée même dans les cas où elle n’est pas obligatoire pour le responsable de traitement, notamment dans une perspective de prévisibilité en cas de faille de sécurité et perte de données.

Quels sont les traitements pour lesquels l’AIPD est facultative ?

La CNIL, à travers une liste disponible sur le site internet de l’autorité, considère un certain nombre d’analyses de risques sur les traitements comme facultatifs. Ces traitements sont, entre autres : les traitements mis en œuvre à des fins de ressources humaines pour la seule gestion du personnel de structure de moins de 250 personnes; les traitements de gestion de la relation fournisseurs; traitements par une association ou organisme à but non lucratif pour la gestion de ses membres; les traitements mis en œuvre par les greffiers des tribunaux de commerce aux fins d’exercice de leur activité….

A noter que dans l’ensemble des cas présentés, tout traitement de données à caractère sensible rendra obligatoire l’analyse de risque.

Qui est responsable de l’analyse de risque ?

L’analyse de risque doit être effectuée par le responsable de traitement, ainsi que l’ensemble des personnes habilitées à accéder et utiliser les données personnelles au sein de l’opération. Idéalement, les personnes concernées peuvent également être contactées à travers des sondages ou des enquêtes dans le cadre de cette analyse. Si un délégué à la protection des données (DPO) a été désigné, il est chargé de garantir l’exécution de l’analyse de risque.

Pourquoi effectuer une analyse de risque ?

L’AIPD a pour ambition de responsabiliser les organes de traitement à travers une prise en compte des risques de leur propre activité sur le droit au respect de la vie privée des personnes concernées. Dans l’hypothèse d’une perte de données, connaître à l’avance l’ensemble des risques possibles permet de tracer rapidement le champ des personnes affectées et permet une réponse adaptée, aussi bien au moment de la notification de la violation, à la CNIL et aux personnes si la gravité de la violation l’exige, qu'au moment d’apporter une solution matérielle au problème.

Existe-il des modèles types facilitant l’analyse de risques ?

La CNIL met à disposition un “Outil PIA”, téléchargeable et prêt à l’emploi, permettant de faciliter la conduite de l’analyse de risque. Si des modèles types existent sur internet, il reste néanmoins évident que cette procédure se doit d’être personnalisée pour refléter de manière loyale et véridique, les aléas relatifs à l'activité de traitement de l’entreprise ou de l’organe public.

Quels sont les avantages de l’identification préalable du risque ?

C’est avant tout dans une optique de prévisibilité que l’analyse de risque est effectuée. Connaître en avance les risques permet aux responsables du traitement de donner une réponse rapide et adéquate en cas de faille de sécurité et de perte de données.

Quels sont les risques éventuels ?

La perte de données peut décrire plusieurs scénarios. La perte de disponibilité aura pour conséquence d’empêcher les personnes habilitées tout accès aux données traitées (hypothèse d’une attaque par déni de service, ou DDOS). La perte d’intégrité aura pour conséquence la modification des données sans l’aval des personnes concernées (piratage informatique). Enfin la perte de confidentialité verra la communication ou le transfert de données à des personnes non habilitées (hypothèse de vol de données et de chantage).

J’ai entendu parler d’un délai de tolérance accordé, dispensant d’effectuer une analyse de risque. Puis-je en bénéficier ?

Le RGPD, qui a introduit l’obligation d’effectuer une analyse de risque dans certains cas précités, a en parallèle accordé un délai de tolérance de 3 ans à compter du 25 mai 2018. A partir du 25 mai 2021, il devient donc impossible de s’en prévaloir. Ainsi tout traitement susceptible d’engendrer des risques élevés pour les personnes concernées doit désormais amener à la réalisation d’une AIPD.