Si les activités de l’entreprise dans le traitement des données comportent des risques pour les personnes concernées, alors l’article 35 du RGPD qui prévoit la conduite d’une Étude d’Impact sur la Vie Privée (EIVP) s’applique.

L’article 35 du RGPD, le Règlement général sur la protection des données, stipule qu’une organisation doit procéder à une Étude d’Impact sur la Vie Privée (EIVP) lorsque le traitement des données personnelles est susceptible d’entrainer un risque élevé pour les droits et libertés des personnes concernées.

Cet article fait suite à l’article 34 de la Loi 78-17 du 6 janvier 1978 modifiée qui stipule que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Entrant dans la démarche de conformité proposée par la CNIL, et destinée à démontrer la mise en oeuvre des principes de protection de la vie privée, l’EIVP doit étudier les traitements des DCP (données à caractère personnel) dans la dimension de la responsabilité de l’entreprise liée aux risques qu’elle fait courir sur la vie privée des personnes concernées et sur la maîtrise qu’elles doivent garder sur leurs DCP.

L’infographie en fin de cet article résume la démarche de prise de décision pour la réalisation – ou non ! - d’une EIVP.

La méthode EBIOS

Si la réponse est positive, il est conseillé de s’appuyer sur la méthodologie proposée par la CNIL pour la réaliser. Elle repose sur la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) développée par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information).

Cette méthode se décline en quatre points :

  1. Décrire le(s) traitement(s) considéré(s), les données à caractère personnel concernées et leur usage ;
  2. Identifier les mesures existantes ou prévues pour respecter les exigences légales et traiter les risques sur la vie privée des personnes concernées par le(s) traitement(s) ;
  3. Apprécier les situations à risques pour vérifier qu’elles sont convenablement traitées au sein de l’organisation ;
  4. Valider la manière dont il est prévu de respecter les principes de protection de la vie privée et valider les risques résiduels.

Il va de soi que le responsable des traitements doit approuver les résultats de l’EIVP et prendre les décisions qui s’imposent au regard des risques identifiés, ainsi qu’il est exprimé dans l’article 34 cité plus haut.

Quant à la question de savoir qui doit réaliser l’EIVP, cette mission échoit généralement au CIL (Correspondant Informatique et liberté), lorsque le poste existe. Il nécessite également la consultation ou l’information des parties prenantes de l’entreprise, comme le RSSI, et au final l’approbation de la Direction générale.

Notons enfin que la CNIL propose depuis 2015 des outils (documents) d’aide à la réalisation d’une EIVP, avec des modèles de fiches à compléter à chaque étape.

DPIA_FR

Image d’entête 589137670 @ iStock aa_amie