Analyse d'impact

Publié dans : RGPD

Mener son analyse d'impact

Lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, il devient nécessaire de mener une analyse d'impact (article 35 du RGPD).

Nous n’aborderons pas ici ce qui est entendu par « risque élevé », car nous savons que l‘analyse d’impact est jugée par la CNIL indispensable pour les traitements de données de santé mis en œuvre par les établissements médico-sociaux lors de la prise en soins ou prise en charge des usagers ou résidents et c'est votre propos dans cette vidéo.

Liste CNIL AIPD

Mais en quoi consiste cette analyse d' impact ?

Le registre des activités de traitement aborde beaucoup d'aspects du traitement

- finalités (à quoi sert le traitement),
- catégories de personnes concernées (qui est concerné),
- catégorie d'informations concernées (quel type d'information est traité),
- durée de conservation (combien de temps doivent-elles être conservées),
- catégories de destinataires des données (par quoi circulent ces informations)
- transfert des données dans ou hors EU ,
- mesures de sécurité tant organisationnelles que techniques pour les protéger.

Qu'apporte donc de plus l'analyse d'impact ?

            

L'ANALYSE d'impact permet d'évaluer les risques pour prendre des dispositions

L'analyse d'impact aborde plusieurs points :

la nécessité et de la proportionnalité des opérations de traitement au regard des finalités,
- les risques pour les droits et libertés des personnes concernées,
- les mesures envisagées pour faire face aux risques encourus  : garanties, mesures de sécurité techniques et organisationnelles que nous décrivons soigneusement et sur laquelle les membres de l'organisation amènent leur évaluation pour valider le dispositif en place ou le faire évoluer. 

Comment allons-nous procéder concrètement ?

Il s’agira alors de :

- réunir une équipe multi compétences couvrant tous les aspects du projet, car chacun, avec ses connaissances propres, a une vision personnelle de la problématique à traiter.

- faire un état des lieux en décrivant le traitement sous divers aspects :

partie juridique ; finalités, base légale, minimisation, expression des droits, durée de conservation,

partie technique : risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que  leurs impacts potentiels sur la vie privée, 


Il ressort de cette analyse :

- un état des lieux,
- une appréciation de la situation compte tenu de la vraisemblance des risques encourus
- un plan d'action formalisé dans un document

        

Comment RTO va vous aider dans la démarche ?

RTO dispose de nombreux outils pour vous aider à mener l'analyse d'impact :

- Diaporama de présentation de l’analyse d’impact qui va poser les enjeux et démystifier le sujet,
- Une méthode permettant d’aborder l’analyse de manière structurée,
- L'outil PIA (outil mis à disposition par la CNIL) et dont nous avons pris possession,
- l’outil OpenRegsitreDpo qui va non seulement tracer cette analyse mais aussi la stocker avec l’existant en place pour qu’elle devienne un élément de preuve.

L’étape de l’analyse d’impact demeure une bonne occasion de faire le point sur ce qui a été déjà mis en place, de prendre connaissance du retour d’expérience et d’ajuster éventuellement les procédures de suivi avec le DPO ou référent RGPD.

Demeurant à votre disposition pour en parler vous, nous vous remercions de votre attention.

En cas de question, n'hésitez pas à nous joindre sur notre onglet contact, nous vous répondrons.

Merci de votre attention !

Afin de respecter la réglementation concernant les données personnelles nous vous laissons le choix d'activer ou non différents outils nous permettant d'améliorer votre expérience sur ce site (mesure d'audience, réseaux sociaux...) En savoir plus
Données personnelles