Découvrez nos solutions sans obligation d’achat
Les organisations néo-zélandaises utilisent des évaluations de l’impact sur la vie privée dans le cadre de nouvelles initiatives majeures de gestion des informations personnelles. Les rapports sur l’impact de l’évaluation de la vie privée aident les organisations à comprendre comment les informations personnelles sont collectées, utilisées et stockées au sein de leur organisation. Les évaluations de la protection des données et de l’impact sur la protection des données examinent comment les données personnelles sont protégées, comment elles sont utilisées et quel contrôle les personnes concernées ont sur leurs données. Sources : 12,9,9]
Par exemple, la loi sur l’administration électronique de 2002 exige que les agences fédérales américaines procèdent à une évaluation des incidences sur la vie privée (PIA) pour les projets à haut risque. Le code exige que l’agence fédérale américaine chargée des projets à haut risque en matière de protection des données, tels que les projets de sécurité nationale, de santé publique et de sécurité publique, et les projets de défense nationale, procède à une évaluation de l’impact sur la vie privée. Sources : 9,14]
Comme tout autre outil de planification stratégique, les évaluations d’impact sur la protection des données doivent être intégrées dans l’approche globale de la gestion des risques. Les évaluations d’impact sur la protection des données exigent que les informations personnellement identifiables soient protégées et que les organisations identifient les tactiques d’atténuation des risques. La définition des impacts sur la vie privée exige que l’élément de données PII soit protégé et que l’organisation identifie les risques et les stratégies d’atténuation. [Sources : 9,9,6]
Par exemple, l’introduction d’une évaluation des incidences sur la vie privée (PIA) par le Bureau du commissaire à l’information (ICO) est une excellente approche. [Sources : 0]
La Pia est une approche proactive de la protection des données et de la gestion des risques qui est intégrée aux premières étapes du processus de conception du SDLC. Une analyse d’impact sur la protection des données (DPIA), également connue sous le nom d’analyse d’impact sur la protection des données (Pia), est la première étape de l’élaboration et de la mise en œuvre d’une loi sur la protection des données. Le règlement général sur la protection des données (RGPD), qui a été introduit en mai 2016 dans le cadre de son introduction dans l’Union européenne (UE) et au Royaume-Uni (RU). [Sources : 5,0,7,11]
Le gouvernement canadien a introduit une directive sur l’évaluation des facteurs relatifs à la vie privée en mai 2002, qui a été remplacée par la directive de l’Union européenne sur la vie privée et les libertés civiles (GDPR) en juillet 2010. Sources : 6]
Il a noté que la loi sur l’administration en ligne souligne l’importance d’une évaluation précoce des risques liés à la protection des données et à la vie privée. Il a déclaré qu’une évaluation de l’impact sur la vie privée permettrait d’identifier les risques spécifiques liés à la vie privée et aiderait les fonctionnaires à déterminer les contrôles nécessaires pour atténuer ces risques. Bien qu’il n’existe pas de cadre standard pour effectuer cette analyse, un certain nombre d’outils sont disponibles pour évaluer les risques liés à la protection des données plus tôt dans le développement du système, comme l’outil d’évaluation des incidences sur la vie privée (PIT). Il a recommandé que le DHS réalise immédiatement un « outil d’évaluation des incidences sur la vie privée ». [Sources : 6,6,13]
Lisez cette ressource pour plus d’informations sur la réalisation d’une évaluation de l’impact sur la vie privée et d’une évaluation des risques pour les systèmes d’apprentissage en ligne destinés aux agences gouvernementales. Sources : 14]
Si vous souhaitez réaliser une évaluation des incidences sur la vie privée, cliquez ici pour plus d’informations sur le kit d’outils d’évaluation des incidences sur la vie privée. Vous y trouverez un ou deux exemples à vérifier, ainsi que les étapes à suivre pour remplir le modèle d’évaluation de l’impact sur la vie privée et pour réaliser une évaluation de l’impact sur la vie privée. Si vous recherchez un modèle ou un outil pour évaluer l’impact sur la compétitivité, vous devriez également considérer le kit d’outils d’évaluation d’impact de l’AGS. [Sources : 9,9,14,9]
Une évaluation d’impact sur la protection des données (Pia) est un processus systématique dans lequel un système est proposé et qui comprend une évaluation détaillée de l’impact négatif sur la vie privée et des moyens de l’éviter ou de l’atténuer du point de vue de toutes les parties prenantes. Une Pia est l’outil d’évaluation des risques pour la vie privée qui aide les équipes à identifier les risques avant d’introduire des contrôles pour atténuer les risques pour les personnes. Sources : 5,2]
L’évaluation des incidences sur la vie privée (PIA) est un outil qui vous aide à rendre opérationnel le principe du « Privacy by Design » et reste indispensable pour l’entreprise en tant que programme de protection des données. Il s’agit également d’une évaluation d’impact sur la protection des données (DPIA), qui constitue une partie importante de la boîte à outils d’évaluation d’impact sur la protection des données pour les organisations. L’évaluation des incidences sur la vie privée est un processus utilisé pour protéger la vie privée dans la conception des processus lorsqu’une organisation crée ou acquiert une nouvelle entreprise, met en œuvre de nouveaux processus ou lance de nouveaux produits. [Sources : 9,10,5,1]
Le DPIA est souvent appelé évaluation d’impact sur la protection des données (DPIA) ou Data Risk Assessment Toolkit (DRA). Bien qu’il existe de nombreux types de politiques de confidentialité, comme les évaluations d’impact sur la vie privée, les équipes de gestion des risques liés à la vie privée ont tendance à confondre une politique de confidentialité avec le même type d’évaluation. Sources : 3,8]
Dans quelle mesure le contrôleur de la protection des données est-il en mesure d’interpréter les informations contenues dans l’EFVP du point de vue du risque lié à la protection des données ? Lorsque vous effectuez une évaluation des incidences sur la vie privée d’un PIA, il est important d’utiliser une solution d’atténuation des risques, telle que le Data Risk Assessment Toolkit (DRA). Vous disposez ainsi d’un emplacement central où vous pouvez stocker et récupérer vos données pour l’évaluation de la protection de la vie privée et vous aurez accès à toutes les données disponibles dans le cadre de la DPIA. Vous pouvez choisir d’inclure toutes les autorisations nécessaires et l’atténuation des risques pour une solution dans un modèle d’évaluation de l’impact sur la vie privée ou de le présenter comme un document séparé dans un rapport d’évaluation des facteurs relatifs à la vie privée. [Sources : 9,9,9,4]
Sources :
[0] : https://resources.infosecinstitute.com/topic/how-to-conduct-a-data-privacy-impact-assessment-in-2018/
[1] : https://infopulse-scm.com/blog/blog-pia-or-dpia/
[2] : https://privacy.org.au/policies/pia/
[3] : https://www.clarip.com/data-privacy/privacy-risk-assessment/
[4] : https://www.isaca.org/resources/news-and-trends/industry-news/2020/three-ways-your-approach-to-privacy-is-at-risk
[5] : https://uxdesign.cc/why-a-privacy-impact-assessment-is-a-crucial-design-tool-7e659ff6b6b2
[6] : https://cacm.acm.org/magazines/2011/8/114936-should-privacy-impact-assessments-be-mandatory
[7] : https://gdpr-info.eu/issues/privacy-impact-assessment/
[8] : https://blog.focal-point.com/understanding-the-differences-between-pias-and-the-gdprs-dpias
[9] : https://www.airiodion.com/privacy-impact-assessment/
[10] : https://www.americanbar.org/groups/litigation/committees/minority-trial-lawyer/practice/2018/your-clients-privacy-posture-need-for-privacy-impact-asseessment/
[11] : https://www.avepoint.com/blog/protect/privacy-impact-assessment/
[12] : https://www.colleaga.org/article/country-specific-guidelines-conducting-privacy-impact-assessment
[13] : https://iapp.org/news/a/top-10-operational-responses-to-the-gdpr-part-4-data-protection-impact-assessments-and-data-protection-by-default-and-by-design/
[14] : https://www.oaic.gov.au/privacy/guidance-and-advice/when-do-agencies-need-to-conduct-a-privacy-impact-assessment/