Évaluer la vraisemblance et la gravite des risques & définir un plan d'actions
Champ d’application des PIA / AIPD
L’article 35 du RGPD prévoit la conduite d’une analyse d’impact relative à la protection des données, lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
La CNIL a publié une liste de traitements de données pour lesquels une analyse d’impact est obligatoire, que vous pouvez télécharger dans la rubrique ci-dessous.
Si vous devez réaliser une analyse d’impact (PIA) ...

Description
Tout d’abord, commencez par décrire de façon détaillée le traitement concerné avec ses aspects techniques et organisationnels.

Evaluation juridique
Evaluez la conformité juridique du traitement concerné par rapport aux obligations nées du règlement sur la protection des données.

Evaluation technique
Déterminez les failles potentielles liées à l’organisation structurelle du SI et évaluez la gravité et la vraisemblance des évènements redoutés.

Evaluation organisationnelle
N’oubliez pas de rechercher les failles organisationnelles, source des fuites de données à origine humaine (salariés, intervenants, prestataires…)