RGPD : Analyse d'impact

Dans le cadre du RGPD, les entreprises doivent mettre en place un dispositif de gestion des risques. L’analyse d’impact fait partie intégrante de ce dispositif. Elle permet de détecter les risques, afin de vérifier s’ils sont acceptables ou non. Dans certains cas, les risques ainsi identifiés pourront être atténués par des mesures garantissant, par exemple, la sécurité des systèmes d’information.

Ce type d’analyse doit obligatoirement être mené chaque fois qu’un traitement de données personnelles est susceptible de créer un risque élevé pour les droits et libertés des personnes physiques concernées. L’objectif est ici d’assurer la conformité du traitement du RGPD et d’être en mesure d’apporter la preuve de cette conformité. Les entreprises vont devoir opérer un suivi régulier de l’évaluation de leurs risques, afin d’identifier les cas où une analyse d’impact est obligatoire, selon le RGPD.

Les analyses d’impact requièrent l’application d’une certaine méthodologie, dont le G29 a détaillé les étapes dans ses lignes directrices du 4 octobre 2017.

Les étapes sont les suivantes :

Description des opérations de traitement et des finalités de traitement : il s’agit ici de comprendre quelles données sont collectées, de quelle manière et dans quel but. Ces informations seront aussi indispensables pour remplir les registres des traitements.
Évaluation de la nécessité et de la proportionnalité des opérations de traitements : le but poursuivi justifie-t-il le risque encouru pour les droits et libertés des personnes physiques concernées ?
Évaluation des risques pour les droits et libertés des personnes concernées : de quelle manière et pour quelles raisons le traitement envisagé est-il susceptible de porter atteinte aux droits et libertés des personnes physiques ? Il est nécessaire d’analyser la pertinence des technologies de l’information utilisées par la DSI (Direction des Systèmes d’Information) au regard du respect des droits des personnes et de s’assurer que les contrats et mentions obligatoires devant y figurer sont complets. Une attention particulière sera portée aux conventions conclues avec des sous-traitants, laquelle devra distinguer les responsabilités de chacun et organiser les éventuels transferts de données.

Mise en place et contrôle des mesures appliquées :

– Pour faire face au risque : il s’agit, par exemple, d’assurer la confidentialité des données par le biais de technologies d’anonymisation ou de chiffrement ;
– Apporter la preuve du respect du règlement : il s’agit ici de tracer toutes les étapes de l’analyse et de les documenter. Par exemple, la DSI peut avoir rédigé une procédure relative à la sécurité et gestion des failles du système d’information. Il peut également exister un référentiel relatif à la durée de conservation et purge des données à caractère personnel.

L’analyse d’impact doit déterminer un risque résiduel qui, s’il reste élevé, nécessitera que l’analyse d’impact soit transmise à la CNIL.

Une question sur un produit ?

Nous vous recontactons gratuitement

Je souhaite être rappelé

Un besoin ? Une question ?

Je souhaite être contacté par un commercial

Vous devez cocher la case captcha ci-dessus

Rappelez-moi

Votre numéro de téléphone est uniquement utilisé pour nous permettre de vous rappeler. Pour en savoir plus sur la gestion de vos données dans le cadre de la gestion du suivi de notre relation précontractuelle et contractuelle, ainsi que sur vos droits, vous pouvez consulter notre politique de confidentialité.

Une question sur votre abonnement ? Une facture ?
Notre service client est à votre écoute via notre formulaire ou par téléphone :

Nous contacter

Nous avons bien reçu votre demande et vous recontacterons dans les meilleurs délais.