Analyses d’impact sur la vie privée

Smart Privacy Consulting peut Vous accompagner dans les PIA, lesquelles sont obligatoires dans certains cas :

• Lorsque le traitement fait partie intégrante de la liste publiée par Votre Autorité de contrôle

• Lorsque le traitement de données entraîne un risque élevé pour la vie privée des personnes concernées par le traitement des données.

Mais qu’est-ce qu’une PIA ?

La PIA se compose de trois parties :

• Une description détaillée, aussi bien technique qu’opérationnel, du traitement à mettre en œuvre

• L’évaluation juridique des principes de proportionnalité et de nécessité des principes fondamentaux de la protection des données (finalités, conservation des données, minimisation des données, information transparente, etc.) devant être respectés

• L’étude technique des risques relatifs à la sécurité des données et leurs impacts potentiels sur la vie privée des personnes concernées par le traitement des données.

Les risques sont estimés en termes de gravité pour les personnes concernées et de vraisemblance du risque.



Quand est-ce qu’une PIA est obligatoire ?

La PIA est obligatoire avant tout traitement de données susceptible d’entrainer un risque élevé pour les droits et libertés fondamentaux des personnes concernées par le traitement de données. La PIA sera mise à jour tout au long du cycle de vie du traitement.

Il suffit que ledit traitement de données comporte au moins 2 des 9 critères établis par l’EDPB, à savoir : 

• L’évaluation/scoring (y compris le profilage)

• Une décision automatisée comportant des effets juridiques pour la personne concernée par le traitement de données

• La surveillance systématique des personnes concernées

• La collecte de données sensibles ou à caractère hautement personnel

• La collecte de données à grande échelle

• Le croisement de données

• Le traitement de données de personnes vulnérables (patients, personnes âgées, enfants, etc.)

• L’utilisation d’une nouvelle technologie ou usage innovant

• L’exclusion ou le bénéfice d’un droit ou contrat.

Les traitements ayant été objet d’une autorisation de l’Autorité de contrôle (la CNIL en France) avant le 25 mai 2018 sont exemptés de la réalisation d’une PIA pendant une durée de 3 ans. A l’issue de ce délai, Vous devrez effectuer une PIA si le traitement est toujours susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées par le traitement de données.

Qui intervient dans la réalisation d’une PIA ?

Si Vous avez nommé un DPO interne ou un DPO externalisé, Vous devrez lui demander conseil et lui demander de vérifier la bonne exécution de la PIA et de réunir autour de la table tous les interlocuteurs nécessaires au bon déroulement de la PIA.

La CNIL en France et les Autorités de Contrôle des autres Etats membres de l’Union européenne ont crée des outils permettant d’automatiser les PIA. Il faudra ensuite, en cas de demande d’autorisation auprès de l’Autorité de Contrôle (la CNIL en France) rédiger un dossier incluant la PIA pour lui demander son avis sur le traitement de données concernée et dont le risque résiduel reste très élevé pour la vie privée des personnes concernées par le traitement de données.

SMART PRIVACY CONSULTING peut Vous accompagner et Vous conseiller dans la réalisation des PIA au sein de Votre Organisation. Appelez-nous si Vous le souhaitez au +33 6 51 81 76 98, ou contactez-nous via notre formulaire de contact.