News
données personnelles Confidentialité Vie privée sécurité

PIA : gérer les risques majeurs pour la vie privée

Recevoir la newsletter

La mise en application du RGPD (Règlement européen sur la protection des données) implique à l’entreprise de fournir un certain nombre de documents attestant de sa conformité. Parmi ceux-ci, le PIA ou Privacy Impact Assessment, est un outil qui permet d’apprécier les risques sur la protection des données du point de vue des personnes concernées. Pour s’assurer d’appliquer cette méthode efficacement, il convient d’en comprendre les enjeux et les bonnes pratiques.

Qu’est-ce que le PIA ou Privacy Impact Assessment ?


Le PIA, aussi appelé en français étude d’impact sur la vie privée (EIVP) est une démarche obligatoire avec l’arrivée du règlement européen RGPD. Elle consiste à identifier les traitements de données à risque pour les droits et libertés des personnes. Ensuite, l’entreprise pourra trouver les solutions adaptées pour minimiser ces risques, garantir la confidentialité des données et la bonne conformité au règlement.

Dans quel cas faut-il mener un PIA ?

La CNIL distingue deux types de cas où l’étude d’impact est recommandée :

  • Lorsque l’entreprise développe un nouveau service ou produit nécessitant un ou plusieurs traitements de données. Cette démarche s’inscrit notamment dans le respect des principes d'accountability et de privacy by design
  • Dès le moment où le responsable de traitement identifie un traitement présentant un réel risque pour la vie privée des utilisateurs

telecharger-checklist-rgpd

Pourquoi avoir recours au PIA est essentiel ?

Le recours à l’étude d’impact permet à l’entreprise de :

  • Assurer sa mise en conformité au RGPD en cas de contrôle de la CNIL
  • Respecter la confidentialité des données et instaurer ainsi une relation de confiance chez les utilisateurs ou clients
  • Prendre en compte le respect des procédures lors du choix stratégique d’un partenaire ou d’une solution tierce

Méthodologie et outils pour une EIVP efficace

Pour mener à bien votre étude d’impact sur la vie privée, il convient d’adopter une méthodologie qui vous permettra de bien identifier tous les risques possibles. Cette méthode se décline en 4 étapes :

  • Étape 1 : Déterminer la nature de traitement des données personnelles et sa finalité (son objectif principal)
  • Étape 2 : Inventorier tous les moyens mis en place pour sécuriser ce traitement et garantir la confidentialité des données
  • Étape 3 : Identifier la nature des risques encourus pour la vie privée des personnes
  • Étape 4 : Valider les solutions à apporter pour minimiser les risques inhérents au traitement

Dans le cas où l’entreprise ne trouve pas de solutions efficaces, il est recommandé de réitérer à chaque fois le cycle complet des 4 étapes pour garantir les chances de succès.

Ce procédé s’accompagne d’outils variés qui doivent impérativement prendre en compte les technologies de sécurité déployées, la traçabilité des données stockées et échangées, le respect de la confidentialité des données, le contrôle des accès et des supports (logiciel, matériel, etc.)



Le Privacy Impact Assessment est donc une démarche indispensable dans le cadre de la conformité au GDPR. En effet, le respect des droits et libertés des personnes est un enjeu essentiel pour l’entreprise. Véritable gage de confiance pour les clients, il est également obligatoire pour documenter sa conformité auprès de la CNIL.

telecharger-checklist-rgpd