Découvrez nos solutions sans obligation d’achat
L’Université de Guelph a réalisé une analyse de l’impact de l’identification des risques potentiels pour la vie privée et la sécurité. L’analyse a été réalisée à partir de données provenant du service de sécurité canadien CSIS et de la National Security Agency (NSA). [Sources : 10,1]
L’analyse d’impact sur la protection des données est également une analyse d’impact sur la protection des données (AIPD), qui représente une évaluation plus complète et plus approfondie des risques liés à la protection des données et à la sécurité. Les évaluations d’impact sur la vie privée sont nécessaires pour protéger les informations personnellement identifiables et pour identifier les tactiques d’atténuation des risques. Leur définition exige que les éléments de données PII soient protégés et que les organisations identifient les risques et les stratégies d’atténuation pour protéger les données personnelles. Sources : 4,4,4]
Une évaluation de l’impact sur la vie privée doit être réalisée dès la première implication des personnes au sein de l’organisation, ce qui peut aider l’entreprise à éviter les problèmes potentiels qui conduiraient à des violations de données. Par exemple, si vous introduisez un nouveau programme de CRM qui collecte les DPI des clients, vous devez évaluer les risques sur la base d’une évaluation de l’impact sur la vie privée. Des exemples d’impact sur la vie privée, y compris l’évaluation des seuils de confidentialité, seraient utiles aux organisations qui lancent de nouvelles campagnes de sensibilisation sur les médias sociaux. Sources : 4,4,4]
Pour créer un rapport d’évaluation d’impact sur la vie privée complet, vous devez choisir l’une des premières étapes. Passez en revue les étapes à suivre pour remplir le modèle d’évaluation des incidences sur la vie privée et pour réaliser une évaluation des incidences sur la vie privée. [Sources : 4,4]
SCM offre également une première découverte pour déterminer la meilleure façon d’évaluer l’impact de la vie privée et de la protection des données sur une organisation. Si vous souhaitez procéder à une évaluation de l’impact sur la vie privée, cliquez ici pour plus d’informations sur le kit d’évaluation de l’impact sur la vie privée. Cela vous donnera un ou deux exemples à vérifier. Lorsque vous examinez les modèles et les outils d’évaluation des incidences sur la vie privée, vous devriez également tenir compte de l’outil d’évaluation des incidences de l’AGS. Sources : 4,5,4,11]
Ce type d’examen de la protection de la vie privée s’apparente à une évaluation des risques liés à la vie privée (PRA), qui identifie les risques liés à la protection des données et leurs conséquences, ainsi que des mesures de sécurité supplémentaires pour atténuer ces risques. L’étude d’impact sur la vie privée et la protection des données examine comment vos données personnelles sont protégées, qui les utilise, quel contrôle les personnes concernées par la collecte de données peuvent avoir sur leurs données, et d’autres facteurs tels que la confidentialité des données et leur utilisation par la personne concernée. Pra est utilisé pour identifier les menaces pour la vie privée, évaluer l’impact d’une telle menace, identifier les contrôles d’atténuation et évaluer si ces menaces constituent une menace générale pour la vie privée de l’organisation, de ses employés ou de ses clients. [Sources : 0,0,4]
Par exemple, le E. Government Act de 2002 exige que les agences fédérales réalisent une évaluation des incidences sur la vie privée (PIA) pour les projets présentant un risque élevé en matière de protection des données. Le Code exige qu’un comité d’évaluation des incidences sur la vie privée (PRB) effectue une évaluation de l’impact sur la vie privée (Pia) sur les projets à haut risque. Le Code de protection des données de l’Union européenne (GDPR) exige que toutes les évaluations d’impact sur la protection des données soient effectuées pour mettre en œuvre l’approche basée sur le risque du GDPR et démontrer la conformité au GDPR. [Sources : 4,5,3]
Les analyses d’impact comportent généralement quatre phases, définies grossièrement comme suit : PIA, Privacy Impact Assessment Board (PRB), Data Protection Risk Assessment (DPA) et Privacy Risk Assessment (PRA). Sources : 2]
L’analyse d’impact sur la protection des données (AIPD) est nécessaire chaque fois que démarre un nouveau projet susceptible d’impliquer la collecte, le traitement et le stockage de données personnelles d’un grand nombre de personnes. Elle est souvent appelée « évaluation d’impact sur la protection des données » ou « évaluation des risques liés à la protection des données ». Elle a été introduite par le Règlement général sur la protection des données (RGPD) et a servi de base à la reconnaissance ultérieure qu’elle est désormais requise par celui-ci, en l’occurrence le RGPD. Les PIA sont souvent soumises aux mêmes exigences que celles introduites dans le règlement général sur la protection des données, art. 1. [Sources : 2,6,7,8]
Vous disposez ainsi d’un emplacement central où vos données peuvent être stockées et récupérées pour l’évaluation de la protection des données. Il est souvent nécessaire de déterminer l’objectif de l’évaluation d’impact sur la vie privée, et il semble que vous puissiez utiliser des modèles et des outils Pia pour faciliter ce processus. Utilisez-le pour modifier la façon dont vous collectez, utilisez et partagez les informations personnelles pour les projets qui font déjà l’objet d’une évaluation des incidences sur la vie privée. [Sources : 4,4,9]
Vous pouvez décider si vous voulez que le modèle d’évaluation de l’impact sur la protection des données contienne les autorisations et solutions nécessaires pour réduire le risque, ou s’il faut le laisser tel qu’il est présenté dans le rapport PIA. Une fois que vous aurez compilé toutes vos données pour une évaluation d’impact sur la vie privée et sur la protection des données, vous voudrez un rapport qui représente l’étendue complète de la collecte et de l’utilisation de vos données personnelles. Sources : 4,4]
Après l’évaluation, le contrôleur de la protection des données doit formuler des recommandations pour prendre en compte et atténuer les impacts sur la vie privée identifiés et pour minimiser les risques liés à la protection des données. Si vous avez identifié des risques pour la vie privée dans l’analyse d’impact sur la vie privée, vous devez prendre en compte les solutions recommandées pour atténuer le risque de ce risque. [Sources : 0,4]
Sources :
[0] : https://medium.com/privacy-technology/conducting-and-operationalizing-privacy-reviews-28b94c24017
[1] : https://www.hhs.gov/web/governance/digital-strategy/it-policy-archive/policy-for-privacy-impact-assessments.html
[2] : https://www.clarip.com/data-privacy/privacy-risk-assessment/
[3] : https://privaon.com/publications-news/white-papers/privacy-impact-assessment-pia/
[4] : https://www.airiodion.com/privacy-impact-assessment/
[5] : https://www.oaic.gov.au/privacy/guidance-and-advice/when-do-agencies-need-to-conduct-a-privacy-impact-assessment/
[6] : https://gdpr-info.eu/issues/privacy-impact-assessment/
[7] : https://en.wikipedia.org/wiki/Privacy_Impact_Assessment
[8] : https://gdpr.eu/data-protection-impact-assessment-template/
[9] : https://www2.gov.bc.ca/gov/content/governments/services-for-government/information-management-technology/privacy/privacy-impact-assessments
[10] : https://www.uoguelph.ca/ccs/privacy-impact-assessment-pia-and-threat-risk-assessment-tra
[11] : https://infopulse-scm.com/blog/blog-pia-or-dpia/