RGPD – Privacy Impact Assessment – Comprendre l’analyse d’impact relative à la protection des données

Synthèse des lignes directrices relatives à l’analyse d’impact

• Les 5 principes clés du RGPD
• Les droits des personnes
• Mesures techniques et organisationnelles
• Les processus d’analyse d’impact sur la vie privée
• Les 2 piliers du PIA : le juridique, la sécurité des données
• Liste des traitements avec AIPD requises
• Travaux pratiques : Activité de traitement nécessitant une AIPD
  • Structure du document de référence WP 248 (Lignes directrices AIPD)
  • Les 9 critères de décision pour effectuer une AIPD
  • Que doit contenir un rapport AIPD pour être accepté ?
• Travaux pratiques : Structure du rapport AIPD

La méthode d’analyse

• Les 4 étapes et les 3 principes attachés à l’AIPD
• Le RACI d’une AIPD
• Etude du contexte : Présentation de l’organisme, description de l’activité de traitement, organisation relative à la protection des données, cartographie du système et des flux de données
• Etude des principes fondamentaux : Appréciation des écarts de conformité aux principes fondamentaux
• Travaux pratiques : Conformité, non-conformité mineure, non-conformité majeure d’une activité de traitement
  • Etude sécurité : Critères de gravité, de vraisemblance, de risque, vulnérabilité, niveau de risque, plan de traitement du risque
• Travaux pratiques : Estimer la vraisemblance d’un accès non-autorisé
  • Validation formelle de l’AIPD : Synthèse des actions, avis du DPO, avis des parties intéressées, décision du responsable du traitement
• Travaux pratiques : Critères d’acceptabilité du rapport AIPD

Etude de cas

• Établir le contexte du traitement
• Etudier les principes fondamentaux et les mesures de sécurité
• Cartographier les risques
• Evaluer les écarts de conformité
• Proposer les actions de mise en conformité et le plan de traitement des risques
• Rédiger le rapport