{"id":7225,"date":"2015-07-06T10:45:48","date_gmt":"2015-07-06T20:45:48","guid":{"rendered":"http:\/\/www.net.pf\/?p=7225"},"modified":"2017-06-06T22:59:03","modified_gmt":"2017-06-07T08:59:03","slug":"etude-dimpacts-sur-la-vie-privee-suivez-la-methode-de-la-cnil","status":"publish","type":"post","link":"https:\/\/www.service-public.pf\/dgen\/etude-dimpacts-sur-la-vie-privee-suivez-la-methode-de-la-cnil\/","title":{"rendered":"Etude d\u2019impacts sur la vie priv\u00e9e : suivez la m\u00e9thode de la CNIL"},"content":{"rendered":"
\n
\n
\n

La CNIL publie sa m\u00e9thode pour mener des PIA (Privacy Impact Assessment) pour aider les responsables de traitements dans leur d\u00e9marche de mise en conformit\u00e9 et les fournisseurs dans la prise en compte de la vie priv\u00e9e d\u00e8s la conception de leurs produits.<\/p>\n<\/div>\n<\/div>\n

\n

De l\u2019application de bonnes pratiques de s\u00e9curit\u00e9 \u00e0 une v\u00e9ritable mise en conformit\u00e9<\/h3>\n

La Loi informatique et libert\u00e9s (article 34<\/a>), impose aux responsables de traitement de \u00ab prendre toutes pr\u00e9cautions utiles, au regard de la nature des donn\u00e9es et des risques pr\u00e9sent\u00e9s par le traitement, pour pr\u00e9server la s\u00e9curit\u00e9 des donn\u00e9es \u00bb.<\/p>\n

Chaque responsable doit donc identifier les risques engendr\u00e9s par son traitement avant de d\u00e9terminer les moyens ad\u00e9quats pour les r\u00e9duire.<\/p>\n

Pour aider les TPE et PME dans cette \u00e9tude, la CNIL a publi\u00e9 en 2010 un premier guide s\u00e9curit\u00e9<\/a>. Celui-ci pr\u00e9sente sous forme de fiches th\u00e9matiques les pr\u00e9cautions \u00e9l\u00e9mentaires \u00e0 mettre en place pour am\u00e9liorer la s\u00e9curit\u00e9 d\u2019un traitement des donn\u00e9es personnelles.<\/p>\n

En juin 2012, la CNIL publiait un autre guide de gestion des risques sur la vie priv\u00e9e pour les traitements complexes ou aux risques \u00e9lev\u00e9s. Il aidait les responsables de traitements \u00e0 avoir une vision objective des risques engendr\u00e9s par leurs traitements, de mani\u00e8re \u00e0 choisir les mesures de s\u00e9curit\u00e9 n\u00e9cessaires et suffisantes.<\/p>\n

Une m\u00e9thode plus rapide, plus facile \u00e0 appliquer et plus outill\u00e9e<\/h3>\n

Ce guide a \u00e9t\u00e9 r\u00e9vis\u00e9 afin d\u2019\u00eatre plus en phase avec le projet de r\u00e8glement europ\u00e9en<\/a> sur la protection des donn\u00e9es et les r\u00e9flexions du G29<\/a> sur l\u2019approche par les risques. Il tient aussi compte des retours d\u2019exp\u00e9rience et des am\u00e9liorations propos\u00e9es par diff\u00e9rents acteurs.<\/p>\n

La CNIL propose ainsi une m\u00e9thode encore plus efficace, qui se compose de deux guides : la d\u00e9marche m\u00e9thodologique<\/a> et l\u2019outillage<\/a> (mod\u00e8les et exemples). Ils sont compl\u00e9t\u00e9s par le guide des bonnes pratiques pour traiter les risques<\/a>, d\u00e9j\u00e0 publi\u00e9 sur le site web de la CNIL.<\/p>\n

Un PIA (Privacy Impact Assessment) ou \u00e9tude d\u2019impacts sur la vie priv\u00e9e (EIVP) repose sur deux piliers :<\/p>\n

    \n
  1. les principes et droits fondamentaux, \u00ab non n\u00e9gociables \u00bb, qui sont fix\u00e9s par la loi et doivent \u00eatre respect\u00e9s. Ils ne peuvent faire l\u2019objet d\u2019aucune modulation, quelles que soient la nature, la gravit\u00e9 et la vraisemblance des risques encourus ;<\/li>\n
  2. la gestion des risques sur la vie priv\u00e9e des personnes concern\u00e9es, qui permet de d\u00e9terminer les mesures techniques et d\u2019organisation appropri\u00e9es pour prot\u00e9ger les donn\u00e9es personnelles.<\/li>\n<\/ol>\n

    Pour mettre en \u0153uvre ces deux piliers, la d\u00e9marche comprend 4 \u00e9tapes :<\/p>\n

      \n
    1. \u00e9tude du contexte : d\u00e9limiter et d\u00e9crire les traitements consid\u00e9r\u00e9s, leur contexte et leurs enjeux ;<\/li>\n
    2. \u00e9tude des mesures : identifier les mesures existantes ou pr\u00e9vues (d\u2019une part pour respecter les exigences l\u00e9gales, d\u2019autre part pour traiter les risques sur la vie priv\u00e9e) ;<\/li>\n
    3. \u00e9tude des risques : appr\u00e9cier les risques li\u00e9s \u00e0 la s\u00e9curit\u00e9 des donn\u00e9es et qui pourraient avoir des impacts sur la vie priv\u00e9e des personnes concern\u00e9es, afin de v\u00e9rifier qu\u2019ils sont trait\u00e9s de mani\u00e8re proportionn\u00e9e ;<\/li>\n
    4. validation : d\u00e9cider de valider la mani\u00e8re dont il est pr\u00e9vu de respecter les exigences l\u00e9gales et de traiter les risques, ou bien refaire une it\u00e9ration des \u00e9tapes pr\u00e9c\u00e9dentes.<\/li>\n<\/ol>\n

      L\u2019application de cette m\u00e9thode par les entreprises devrait ainsi leur permettre d\u2019assurer une prise en compte optimale de la protection des donn\u00e9es personnelles dans le cadre de leurs activit\u00e9s.<\/p>\n<\/div>\n

      \n

      Pour approfondir<\/h3>\n