L’objectif du Règlement Général sur la Protection des Données (RGPD) est de garantir le respect des droits et libertés des citoyens européens vis-à-vis de leurs informations personnelles. En effet, pour optimiser leurs activités, les entreprises et les différents organismes collectent des données à caractère personnel à longueur de temps.
Avec l’arrivée du RGPD, ils devront démontrer leur conformité avec les nouvelles obligations pour prouver qu’ils respectent bien les droits des personnes vis-à-vis de leurs données. Parmi les outils permettant de le faire, on peut citer le PIA RGPD.
Qu’est-ce que l’AIPD ?
L’Analyse d’Impact relative à la Protection des Données est un outil indispensable pour responsabiliser les organismes. Il permet de construire des opérations de traitement de données respectueuses de la vie privée. Cette étude d’impact est obligatoire pour tous les traitements qui présentent des risques importants pour la protection de la vie privée.
L’AIPD se divise en trois parties :
- Une description complète de l’opération de traitement, avec les aspects opérationnels et techniques.
- Une évaluation juridique de la nécessité et de la proportionnalité.
- Une étude technique des risques sur la sécurité des données et leur possible impact sur la vie privée. On en déduira ensuite les mesures techniques et organisationnelles qui s’imposent pour protéger les données.
PIA RGPD : un outil pour réaliser l’AIPD
L’AIPD porte sur les données sensibles des personnes concernées, qui sont ici les ressortissants européens. Pour la réaliser, la CNIL (Commission Nationale de l’Informatique des Libertés) ou l’autorité de contrôle de la conformité propose l’outil PIA, qui est un logiciel s’adressant aux responsables de traitement pour mettre en œuvre les obligations du RGPD petites entreprises comme grandes entreprises. Disponible en version open source, l’outil PIA RGPD permet l’étude d’impact sur la vie privée plus facilement.
Il existe une version logicielle et une version web. Le logiciel facilite les démarches de mise en conformité avec le Règlement européen. En effet, vous pouvez modifier son contenu en fonction de votre secteur d’activité. Vous pouvez également l’intégrer à des outils publiés en interne.
Il faut noter que les analyses d’impact doivent être réalisées avant la mise en œuvre du traitement. Elles seront ensuite actualisées au fur et à mesure et aussi longtemps que le traitement de données à caractère personnel sera réalisé.
Quand est-ce que l’AIPD est obligatoire ?
Le nouveau règlement ne cite pas à proprement parler dans quels cas l’analyse d’impact est obligatoire. Tout ce qu’il énonce, c’est qu’une étude doit être menée si les traitements de données personnelles peuvent engendrer un risque élevé pour les droits et libertés de la personne concernée. Voici quelques exemples cités malgré tout :
- Traitement des données personnelles à grande échelle car plus les opérations sont nombreuses, plus les risques sont élevés.
- Traitement de données sensibles.
- Surveillance systématique d’une zone ouverte au public.
- Notation ou évaluation sur la base de l’usage des données collectées.
- Manipulation des données relatives à des infractions ou condamnations pénales ou des données biométriques.
Quelles sont les sanctions en cas de manquement à l’obligation ?
Si un plan de mise en conformité n’est pas mis en place par une entité en vue d’assurer la protection des données personnelles des personnes physiques concernées, elle sera passible d’amendes allant jusqu’à 10 millions d’euros. Les obligations légales de la nouvelle Loi Informatique et Libertés sont plus sévères car les outils technologiques actuels permettent de traiter une quantité massive de données rapidement.
De plus, il est difficile de savoir qui peut avoir accès à ces données et quelles sont leurs finalités une fois collectées. Il est donc très urgent de mettre en place des mesures pour assurer la protection de la vie privée.