L’analyse d’impact relative à la protection des données : Une méthode, un exemple

L’analyse d’impact –AIPD-[1] est l’une des pierres fondamentales du RGPD[2] et de la nouvelle réglementation de protection des données personnelles, car elle conduit l’entreprise à mener une analyse intégrale des conséquences de ses traitements pour les personnes concernées, notamment en cas de dysfonctionnement, de fuite ou de corruption de leurs données. L’apparition de cette exigence dans le RGPD traduit la généralisation d’une approche « risk based », fondée sur la prévention des dommages plutôt que sur leur remédiation (ou indemnisation !) en cas de sinistre. Par Thomas Beaugrand, Cabinet Staub & Associés. 1ère Partie

Toutes les entreprises sont concernées, depuis les multinationales aux nombreux transferts transfrontaliers, jusqu’aux start-up spécialisées dans les nouvelles technologies data, en passant par de nombreux secteurs traditionnellement à risque (santé, assurance, enfants mineurs, etc.).

Pour une PME qui ne disposerait pas des ressources internes [3]pour mener de telles analyses et qui souhaiterait pas exemple mieux contrôler les risques liés à la messagerie électronique, comment par exemple identifier son engagement à l’AIPD, et comment peut elle correctement mener les analyses ? La réponse en 11 points clés et un exemple pratique que toute PME peut rencontrer.

Comment mon entreprise peut-elle appréhender son éventuelle obligation d’exécuter une AIPD avant de mettre en œuvre un traitement de données personnelles?
Imaginons que vous ayez déjà désigné votre DPO et élaboré un registre de vos traitements. Vous décidez de mettre en œuvre une nouvelle stratégie (i) d’analyse automatique du flux des emails sortants, à des fins de détection d’éventuelles fuites d’information et, de plus, (ii) de surveillance et d’évaluation des salariés, capable de reporter lesdites fuites.

Vous allez donc mettre en œuvre un certain nombre de traitements automatisés de surveillance de flux et de contenus, comme c’est très souvent le cas dès lors que l’employeur fournit à ses personnels des outils de communications électroniques. Or, ces outils entraînent nécessairement la collecte et le traitement de nombreuses informations liées aux comportements de vos salariés.
Quand mon entreprise doit-elle mener l’AIPD ?

L’AIPD doit être réalisée au plus tôt de la conception de l’opération de traitement, et ce même si certains éléments du traitement ne sont pas encore connus. Dans ce cas l’AIPD sera actualisée et précisée au fur et à mesure du traitement. Et en toute hypothèse, l’AIPD doit être menée et finalisée avant la mise en œuvre effective du traitement.

D’ailleurs, si le traitement a été mis en œuvre avant l’entrée en application du RGPD et qu’aucune AIPD n’a été entreprise, le responsable du traitement doit l’interrompre, et engager l’AIPD avant de remettre en route le traitement en cause.

Il existe toutefois des tempéraments pour certains traitements qui avaient fait l’objet d’une autorisation par la CNIL avant l’entrée en vigueur du RGPD : si le traitement est resté totalement inchangé, n’implique ni nouvelle donnée, ni changement de finalité, alors l’AIPD peut être repoussée quelques temps. Mais le sujet ne doit surtout pas disparaître : tôt ou tard, le traitement qui nécessite une AIPD devra en faire l’objet. Lire la suite

[1] Les analyses d’impact préalable (AIPD) ou « études d’impact sur la vie privée (EIPV) » sont des outils de prévention, d’évaluation et de gestion des risques qu’une entreprise doit mettre en œuvre, lorsqu’elle est sur le point de réaliser un traitement de données personnelles qui est susceptible, selon le texte qui les impose, d’entrainer un risque pour les droits ou libertés fondamentales des personnes.

[2] l’article 35 du Règlement européen Général de Protection des Données 2016-679, entré en vigueur le 25 mai 2018, qui impose aux entreprises et organisations de mettre en œuvre une « analyse d’impact relative à la protection des données », lorsqu’un traitement « en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ».

[3] La CNIL, en France, a produit de nombreux outils très simples d’utilisation, dont un logiciel open source permettant de jouer des analyses d’impact en renseignant directement les caractéristiques des traitements de données et des dispositifs techniques utilisés pour les effectuer. La CNIL a également produit une documentation méthodologique abondante, à laquelle il est ici renvoyé.

Les membres de la commission Sécurité

Grégory Haïk
Président de la commission
Président de Trustelem - https://www.trustelem.com
Voir le profil de Gregory Haik

Grégory dirige un éditeur de logiciel SaaS spécialisé dans la sécurité du Cloud. Après l'obtention d'un doctorat en informatique, il a participé à de nombreux programmes scientifiques et industriels dans les domaines des systèmes embarqués et des systèmes d'information civils et militaires, chez Thales et EADS (Airbus), avant de fonder Trustelem.

Thomas Beaugrand
Avocat chez Staub & Associés
http://www.staub-associes.com

Thomas est avocat associé du Cabinet Staub & Associé, spécialisé dans le droit des technologies de l'information et de la communication, et dans tous les aspects du droit de l'immatériel. Thomas gère notamment l'activité "informatique industrielle" au sein du Cabinet et accompagne ses clients dans le cadre de leurs projets d'intégration, déploiement et transformation numérique.

Catherine Nohra China
Président-Fondateur de B2Cloud
http://www.btocloud.eu
Voir le profil de Catherine Nohra China
Twitter @btocloud

Catherine est président-fondateur de la société B2Cloud, qui propose des services d'audit, et d'expertise de solutions et de services cloud, et qui a développé un nouveau procédé algorithmique de recommendation intelligente adaptés au cloud et au smart data. Après un master en sciences de l'information à la Sorbonne, elle a travaillé plus de 20 ans en tant qu'analyste-consultante pour de nombreuses grandes entreprises de l'IT, avant de fonder B2Cloud et de s'engager à faire du cloud un marché de commodité, transparent et sécurisé pour les PME.

Christophe Jolivet
Directeur PROSICA
www.prosica.fr
Conseil, audit et formation en sécurité des systèmes d'information et continuité d'activité

Ingénieur, certifié CISSP, CISA, CBCP, ISO 27001 LI et CCSP (Certified Cloud Security Professional) , Christophe a alterné les fonctions de consultant, manager et CISO. Il est très impliqué dans l'intégration de la sécurité dans le CLOUD.

Lionel Traverse
Directeur cofondateur de Carthagene www.carthagene.com

Après avoir obtenu un DEA de mathématiques en modélisation stochastique et statistique à l'université Paris Sud d'Orsay, Lionel a basculé à 100% dans le monde numérique en étant certifié Microsoft Gold Identity and Security.
Il a occupé des postes de formateur, consultant, puis responsable technique dans une division d'un groupe de métallurgie européen avant de cofonder la société Carthagene en 2001. Carthagene est spécialisée dans le SI pour le monde de la santé et dans l'intégration du Si avec les télécoms. Aujourd'hui, il organise essentiellement des projets et des architectures autour de ces deux spécialités.

Luc Herbert
Dirigeant de Orasys

Luc dirige Orasys un cabinet indépendant de conseil en sécurité de l’information. Orasys accompagne ses clients dans le pilotage de la sécurité de l’information, le pilotage de certification PCI DSS ou ISO 27001 ou la mise en conformité avec le nouveau Règlement Général de Protection des Données Personnelles (« RGDP »). Luc pilote également une activité d’audit technique, de tests d’intrusions ou de revue de codes sécurisés. « ORASYS, la maitrise de la sécurité de l’information dans un monde qui bouge. »

Henry-Michel Rozenblum
Délégué Général
EuroCloud France

Délégué Général d’EuroCloud depuis 2005, organisateur notamment des 10 premières éditions des Etats Généraux du Cloud Computing et de la première édition de la Cloud Week Paris. Auparavant 20 années d’expériences ventes, marketing et people management chez Digital Equipment, Compaq, Logix (ArrowECS).

Share This: