Analyse d’Impact relative à la Protection des Données personnelles

Le délégué de la protection des données (DPD /DPO) doit organiser et réaliser des Analyses d’Impact sur la Protection des Données (AIPD), également appelées Privacy Impact Assessment (PIA).

En effet, ces AIPD / PIA sont obligatoires pour tout traitement de données à caractère personnel présentant un risque élevé pour les personnes concernées. A ce titre, les traitements relatifs aux ressources humaines contenant plus de 250 salariés doivent, par exemple, faire l’objet d’une AIPD. Celle-ci permet d’évaluer les risques et les impacts potentiels sur la vie privée des personnes concernées afin de les réduire. 

De plus, le DPO doit mener ses AIPD / PIA de manière approfondie et rigoureuse, en analysant tous les aspects du traitement des données : finalités, catégories de données, destinataires, mesures de sécurité et droits des personnes concernées.

Enfin, avec l’aide du RSSI et des métiers, le DPO doit documenter les résultats de son AIPD / PIA. 

En résumé, la réalisation d’une AIPD / PIA est une étape cruciale pour garantir la conformité de vos traitements avec le RGPD et nécessite une étroite collaboration avec les métiers et la direction des systèmes d’information (DSI) orchestrée par le DPO interne ou externe.

Champ d’application des PIA / AIPD

La CNIL a publié les listes des traitements pour lesquels une AIPD est requise ou non

Celle-ci doit être réalisée avec la méthode EBIOS Risk Manager et avant la mise en oeuvre du traitement de données. 

Une AIPD comporte 4 rubriques essentielles qui vous permettront d’évaluer préalablement les risques résiduels du traitement.