Menu Fermer
Menu

AIPD – Gérer les données sensibles à risques élevés

  • Accueil
  • AIPD – Gérer les données sensibles à risques élevés
    •

AIPD – Gérer les données sensibles à risques élevés

Si des traitements de données personnelles sensibles sont susceptibles d’engendrer des risques élevés, la CNIL demande de mener une Analyse d’Impact relative à la Protection des Données -AIPD*- pour chaque traitement.

l’AIPD est une analyse aidant à construire des traitements de données respectueux de la vie privée et permettant de démontrer la conformité de son traitement au RGPD. C’est est un outil d’évaluation d’impact sur la vie privée qui contient:

  • Une description du traitement étudié et de ses finalités.
  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
  • une évaluation des risques pour les droits et libertés des personnes concernées
  • les mesures envisagées pour faire face aux risques.

L’AIPD doit être réalisée avant la mise en œuvre du traitement par le DPO, le responsable du Traitement et/ou son sous-traitant, les responsables métier. Les analyses doivent être revues et corrigées de manière régulière.

Mener une AIPD est obligatoire pour tout traitement susceptible « d’engendrer des risques élevés » pour les droits et libertés des personnes concernées. La CNIL considère 9 critères susceptibles d’engendrer des risques élevés, et recommande une AIPD dès lors que 2 critères au moins sont remplis:

  • Evaluation ou notation de personnes (scoring);
  • Décision automatisée avec effet juridique ou effet similaire significatif;
  • Surveillance systématique ;
  • Données sensibles ou données à caractère hautement personnel ;
  • Données personnelles traitées à grande échelle ;
  • Croisement d’ensembles de données ;
  • Données concernant des personnes vulnérables ;
  • Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
  • Exclusion du bénéfice d’un droit, d’un service ou contrat.

La CNIL met à disposition un certain nombre d’outils et une documentation permettant la mise en oeuvre de l’AIPD. Un logiciel en téléchargement gratuit sur le site de la CNIL facilite sa formalisation .
Téléchargez l’outil PIA

Par ailleurs, Cf le catalogue de bonnes pratiques de la CNIL qui vous aident à mener une AIPD et déterminer les mesures proportionnées aux risques identifiés :

https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-1-fr-methode.pdf
https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-2-fr-modeles.pdf
https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-3-fr-basesdeconnaissances.pdf

Si les traitements répondent à ces caractéristiques, des mesures particulières peuvent s’appliquer, une analyse approfondie de la loi informatique libertés et du règlement est nécessaire pour déterminer les mesures à mettre en œuvre. L’étendue et la complexité de la réglementation peut nécessiter un accompagnement par des experts.

*AIPD – en anglais, Data Protection Impact Assessment).

Source : Scorée