Le Bureau du Commissaire australien à l’information (OAIC) de l’Autorité sanitaire australienne a préparé un guide pour la conduite des évaluations des incidences sur la vie privée (PIA) qui doivent être effectuées par le ministère de la Santé et des Services sociaux (DHS). La protection des données et la conformité au règlement du bureau décrivent le processus de réalisation d’une évaluation d’impact sur la vie privée (« PIA »). L’organisation néo-zélandaise utilise des évaluations d’impact sur la protection des données dans le cadre d’une nouvelle initiative majeure sur le traitement des informations personnelles. Une PIA est une méthode examinée par le groupe de conformité du DHS Privacy & Office pour la collecte, le traitement, le stockage et l’utilisation des informations lorsque celles-ci sont collectées, partagées ou utilisées. Sources : 6,6,4]
Découvrez nos solutions sans obligation d’achat
Ensuite, l’ÉFVP pose des questions pour aider les parties prenantes à identifier et à comprendre les risques que leurs systèmes pourraient poser. Après avoir décrit les types de risques pour la vie privée identifiés sur la base des catégories de protection des données, un rapport (similaire à un rapport d’audit) sera préparé, documentant les résultats et formulant des recommandations pour atténuer les risques liés à la protection des données. Élaborer un mécanisme permettant d’informer les personnes de leurs droits personnels et d’obtenir leur consentement à la collecte, l’utilisation ou la divulgation de leurs données personnelles. Les lois, politiques et stratégies qui ont un impact sur la vie privée, telles que les lois, politiques et stratégies relatives à la vie privée. [Sources : 4,4,6,6]
Pour déterminer si une ÉFVP est nécessaire, il est utile de remplir la feuille de travail préliminaire d’analyse de la protection des données, qui est également jointe. Si l’initiative en est à un stade précoce de conception ou de réalisation, ou si l’on ne dispose pas de renseignements détaillés, le ministère ou l’autorité devrait envisager une évaluation préliminaire de l’incidence sur la vie privée de la collecte, de l’utilisation et de la communication des données. Sources : 6,10,10]
Cette évaluation aidera l’organisation à évaluer l’impact du projet sur la vie privée et à décider si une évaluation des incidences sur la vie privée doit être réalisée. Pour les organisations d’aide, il s’agit d’une méthode de référence qu’elles peuvent utiliser pour réaliser une évaluation de l’impact sur la protection des données. Il existe un certain nombre d’évaluations d’impact sur la protection des données auxquelles on se réfère fréquemment, comme l’évaluation de la protection des données (DPA) et l’évaluation d’impact sur la protection des données (PA). Sources : 10,9,5]
L’EFVP a pour but de décrire et de documenter les données personnelles (DPI) collectées et la manière dont elles sont collectées, utilisées, transmises, stockées, partagées, protégées, préservées et détruites. L’EFVP explique comment ces informations sont conservées, comment elles sont protégées et partagées, et pourquoi elles peuvent être partagées. Elle explique l’impact de la protection des données sur la capacité de l’organisation à recevoir, protéger et partager les informations, ainsi que l’impact du projet. Sources : 9,10]
Le questionnaire utilise des listes de contrôle pour faciliter l’identification des principaux risques et vulnérabilités en matière de protection des données associés à la proposition. L’EFVP est un document public et est censé contenir une liste de moyens d’atténuer ces risques et des informations sur l’impact possible du projet sur l’organisation. Sources : 4,6]
Les analyses d’impact sur la protection des données ne sont pas strictement nécessaires si le processus de traitement ne répond qu’à un seul des critères. Toutefois, si plusieurs critères sont remplis, le risque pour la personne concernée devrait être élevé. Tout projet ayant des implications potentielles sur la vie privée des personnes concernées, notamment dans le cadre d’une collecte de données à grande échelle, nécessite toujours une analyse d’impact sur la protection des données. [Sources : 8,8]
Il est donc impératif que non seulement les contrôles de sécurité et de protection des données soient intégrés dans la conception, mais aussi que des évaluations de la protection des données soient effectuées en fonction de l’évolution du paysage des menaces et des activités de recherche. La réévaluation de l’impact sur la vie privée des systèmes et des processus au fur et à mesure de leur fonctionnement, par exemple lorsqu’une mise à jour est introduite ou qu’une nouvelle fonctionnalité est publiée, aidera les autorités à continuer à se concentrer sur la protection de la vie privée des personnes concernées et la sécurité de leurs données. Une image claire du flux d’informations aidera à identifier l’impact. Sources : 3,2,2]
La consultation des parties prenantes intéressées par le projet est cruciale pour le processus d’évaluation des incidences sur la vie privée, car elle permet aux personnes de trouver des solutions de protection des données basées sur leur expérience et leur expertise. Cela permet d’influencer la conception du projet du point de vue de la protection de la vie privée et de s’assurer que les risques pour la vie privée sont pleinement compris. Sources : 10,2]
L’ÉFVP est un outil permettant d’identifier et d’évaluer les risques et les impacts liés à la protection des données et d’aider à les réduire ou à les ramener à un niveau acceptable. Les ÉFVP sont devenues un outil important pour étudier l’impact sur la vie privée des politiques et des pratiques d’une entreprise en matière de protection de la vie privée et demeurent essentielles au programme de protection de la vie privée de l’entreprise. Sources : 0,10,4]
Lorsqu’il s’agit de protéger les données personnelles collectées par les entreprises, les EFVP peuvent mettre en évidence les faiblesses des entreprises.
Il est donc important de veiller à ce qu’une évaluation plus détaillée soit réalisée. Il est nécessaire d’identifier et d’évaluer les risques liés à la protection des données pendant le développement et le cycle de vie d’un programme ou d’un système. Les évaluations sont le processus qui consiste à apprécier la protection de la vie privée dans la collecte d’informations et à documenter les assurances que les problèmes de protection de la vie privée ont été identifiés et traités de manière adéquate. Ces évaluations impliquent invariablement un certain nombre de processus conçus pour analyser l’impact d’un système sur la vie privée, et se concentrent sur l’identification et l’évaluation des risques liés à la protection des données pendant le développement, le cycle de vie et le programme des systèmes. Sources : 3,7,9]
Sources :
- [0] : https://www.americanbar.org/groups/litigation/committees/minority-trial-lawyer/practice/2018/your-clients-privacy-posture-need-for-privacy-impact-asseessment/
- 1] : https://www.dataversity.net/privacy-impact-assessments/
- 2] : https://www.oic.qld.gov.au/guidelines/for-government/guidelines-privacy-principles/privacy-compliance/overview-privacy-impact-assessment-process/undertaking-a-privacy-impact-assessment
- [3] : https://www.sciencedirect.com/topics/computer-science/privacy-impact-assessment
- [4] : https://itlaw.wikia.org/wiki/Privacy_impact_assessment
- [5] : https://www.clarip.com/data-privacy/privacy-risk-assessment/
- [6] : https://www.colleaga.org/article/country-specific-guidelines-conducting-privacy-impact-assessment
- [7] : https://en.wikipedia.org/wiki/Privacy_Impact_Assessment
- [8] : https://gdpr-info.eu/issues/privacy-impact-assessment/
- [9] : https://eccinternational.com/5-pillars-data-privacy-compliance-blog-series-pillar-2-conduct-privacy-impact-assessment/
- 10] : https://taskroom.sp.saskatchewan.ca/how-do-i/protect-privacy/privacy-impact-assessment