2021 sera le début d’une nouvelle ère pour les entreprises qui pourront s’appuyer sur le potentiel de l’analyse d’impact relative à la protection des données (AIPD) pour dérisquer leurs traitements de données personnelles dans le cadre du lancement d’un nouveau projet numérique. Que vous soyez un organisme public, un grand groupe bien établi, une PME ou une jeune pousse qui démarre avec un nouveau projet numérique, l’identification et l’appréhension de vos risques informatiques et libertés sont(seront), des éléments cruciaux de votre stratégie.Avant de lancer par exemple, une nouvelle application mobile ou un nouvel usage innovant (par exemple, lecteur d'empreinte digitale, reconnaissance faciale, etc.), commencez par réaliser une analyse d'impact AIPD, obligatoire depuis le 25 mai 2021.L’AIPD permet de faire des améliorations et de poursuivre vos objectifs de commercialisation en toute sérénité. Dans cette nouvelle publication de l’équipe Alcees, vous découvrirez en quoi consiste cette méthode et comment l’appliquer à vos propres cas d’usage d’entreprise. Bonne consultation.

Partager cet article

Dans l'actualité AIPD, RGPD : une nouvelle ère pour les entreprises

A compter du 25 mai 2021, la réalisation d’une analyse d’impact relative à la protection des données (AIPD ou PIA : Privacy Impact Assessment) devient pleinement obligatoire pour les traitements de données présentant des risques élevés pour les droits et libertés des individus. Ce changement acte la fin de la période de dispense de trois ans à compter du 25 mai 2018, accordée par la CNIL dans certaines conditions.

Il s’agissait notamment des traitements : 

Point sur l'AIPD, nouvelle obligation d'entreprise en amont du lancement d'un traitement à risque (s) pour l'utilisateur

Depuis son entrée en application, la volonté du RGPD est celle d’accompagner l’innovation de l’entreprise. Ce qui passe par l’obligation de mettre en place une AIPD. Cette obligation  s’applique à toutes les entreprises collectrices de données personnelles, quelle que soit leur taille.

En référence à l’article 35 du RGPD, il s’agit d’une analyse de risques préalable mise en oeuvre par l’entreprise Responsable de Traitement. Celle-ci vise à mesurer le risque associé à tout traitement susceptible d’engendrer des risques élevés pour les droits informatiques et libertés des parties prenantes de l’entreprise : qu’il s’agisse de prospects ou de clients, de salariés ou de partenaires concernés par ces traitements.

Cette obligation s’applique à toutes les entreprises au sens large, du moment qu’elles sont responsables d’un traitement de données à risque(s) élevé(s) pour les droits et libertés des individus concernés. Les entreprises publiques, administrations, collectivités, associations ou autres organismes publics n’échappent donc pas à l’obligation de réaliser une AIPD.

Périmètre des traitements obligatoirement soumis à une AIPD

Différentes opérations de traitement peuvent engendrer un risque élevé pour les droits et libertés des personnes concernées. Pour accompagner les professionnels dans une appréciation anticipée d’opérations de traitements candidates, les autorités de protections des données précisent dans le cadre des lignes directrices du G29, que le traitement est éligible à une AIPD dès lors qu’il remplit au moins deux des neufs critères listés ci-après :

 

Plus le traitement remplit de critères, plus il présente un risque élevé pour les droits et libertés des personnes.

Méthodologie d'une AIPD : les 7 étapes à ne pas griller

Carole Njoya
Alcees

Une AIPD représente concrètement un processus complet de gestion des risques informatiques et libertés des utilisateurs, qu'un nouveau projet ou traitement pourrait embarquer nativement avec lui. L'élimination de ces risques est un vecteur d'inclusion numérique, de respect de la vie privée et du cadre légal.

Il est vivement recommandé, voire tenu, de mettre à jour cette évaluation des risques (au moins tous les trois ans). S’inscrivent également dans les pratiques recommandées, le déploiement des mesures de sécurité additionnelles, nécessaires pour faire face aux risques résiduels qui en résulteraient.

Une AIPD représente donc un processus complet de gestion des risques dans le respect de la réglementation. Au-delà, c’est surtout un outil de transparence et de confiance vis-à-vis des utilisateurs internes ou externes à l’entreprise responsable de traitement.

Dans le processus décisionnel, les conclusions d’une AIPD se basent sur :

  • le niveau de gravité (par exemple : ampleur du risque, nombre d’impacts ou conséquences),
  • et le niveau de vraisemblance (i.e. possibilité/probabilité que le risque d’atteinte à la vie privée se réalise)

du risque encouru au regard du contexte, de la nature et de la finalité du traitement.

Conservez précieusement toutes vos AIPD. En cas de contrôle, elles prouvent efficacement votre volonté de mise en conformité à la réglementation (accountability).

 

Le cabinet Alcees se tient à votre disposition pour vous informer et vous conseiller dans votre démarche de mise et/ou maintien en conformité avec le RGPD, et notamment dans la réalisation d’une à plusieurs AIPD. Faîtes le point avec nous.

Insights liés

alcees EN DIRECT

Nos derniers articles