Découvrez nos solutions sans obligation d’achat
Ce qui suit est une analyse des évaluations d’impact sur la protection des données des autorités et commissions fédérales. Le questionnaire est basé sur la soumission publique du Department of Homeland Security, et les analyses ont été effectuées à l’aide d’un outil automatisé d’analyse d’une confiance unique fourni par l’inspecteur général du gouvernement américain. [Sources : 8,7,1]
L’évaluation des facteurs relatifs à la vie privée a été réalisée par le ministère américain de la sécurité intérieure et le Federal Bureau of Investigation (FBI). Vous trouverez ci-dessous un modèle indiquant comment remplir chaque section de l’EIP. Veuillez lire ces ressources avant d’organiser une formation en ligne. [Sources : 8,8,0]
Les organismes peuvent également utiliser les principes de confidentialité de l’information (IPP) comme cadre pour identifier les risques liés à la protection des données dans les projets. Il existe deux outils que les organisations peuvent utiliser lors de la conclusion d’une BIA : l’évaluation d’impact sur la protection des données (PIA) et l’évaluation des risques liés à la protection des données (DPA). Sources : 9,5]
Par exemple, l’introduction de l’évaluation des incidences sur la vie privée (PIA) de l’Information Commissioner’s Office (ICO) est une excellente approche. Il existe deux outils que les organisations peuvent utiliser lorsqu’elles concluent une PIA : l’évaluation du seuil de protection des données et l’évaluation du risque de protection des données (DPA). Le seuil de protection des données personnelles (« PII »), appelé dans l’analyse « seuil de protection de la vie privée », comprend une couverture plus large et est basé sur les principes de protection de la vie privée (IPP) et les principes de l’Union européenne pour la protection de la vie privée des informations (Information Privacy Principles of the European Union, IPP). Elle fait référence à la protection des données personnelles dans le cadre de la protection de la vie privée en les protégeant contre l’accès non autorisé, l’utilisation abusive, la mauvaise utilisation et le détournement des données. [Sources : 2,9,9,9]
Si une évaluation des risques liés à la protection des données est nécessaire, le Bureau de la protection des données du DHS vous enverra un modèle ci-joint sous la forme d’un modèle d’évaluation des risques liés à la protection des données (PDF). Celui-ci vous donne un aperçu du seuil de protection des données à caractère personnel lors de la réalisation d’une évaluation des risques liés à la protection des données de votre entreprise. Si la Pia est demandée par le département de la sécurité intérieure, elle sera envoyée au bureau des technologies de l’information et de la communication (OIT) du département de la sécurité intérieure et son « modèle » vous sera renvoyé. Si le Pia est demandé par le Department of Homeland Security (HPCO) ou le Commissaire à l’information (OIC), et sinon, un modèle vous sera envoyé. [Sources : 6,12,12]
Utilisez le formulaire ci-joint pour déterminer si une évaluation des incidences sur la vie privée (PIA) est requise en vertu du eGovernment Act de 2002. Utilisez le formulaire annexe sous forme d’évaluation des incidences sur la vie privée (PDF) pour déterminer si la loi sur la sécurité intérieure vous oblige à remplir et à envoyer ce formulaire à une composante du Bureau de la protection des données. Utilisez le formulaire annexe du Bureau des technologies de l’information et de la communication (OIT) ou du Bureau de protection des données du DHS (DHS DPCO) et sa « soumission » pour vous assurer que vous avez rempli les formulaires et qu’ils vous sont envoyés par l’autorité de protection des données de votre composante. Sources : 12,11]
Si vous n’êtes pas sûr, l’outil d’évaluation du seuil de confidentialité pose des questions que vous pouvez utiliser pour déterminer si votre projet nécessite une évaluation des facteurs relatifs à la vie privée. La réponse est qu’un seuil de confidentialité aide votre organisation à identifier les informations personnelles identifiables (PII) dans votre système. Pour les systèmes traitant des PII, les évaluations d’impact sur la protection des données aident à identifier et à réduire les risques associés à la perte potentielle de PIII. Dans ce scénario, un seuil de confidentialité aiderait votre entreprise à déterminer si les données des clients sont des IP. Lorsque vos systèmes traitent des PII, l’évaluation des incidences sur la protection des données aide à identifier et à réduire les risques liés à la perte potentielle ou à l’utilisation abusive de ces informations. [Sources : 4,9,9,9]
Si vous souhaitez réaliser une analyse d’impact sur la protection des données, cliquez ici pour plus d’informations sur l’outil d’analyse d’impact sur la protection des données et l’outil d’analyse des seuils de protection des données. [Sources : 0]
La réévaluation de l’impact sur la vie privée des systèmes et des processus pendant leur fonctionnement, lorsque des mises à jour sont fournies ou que de nouvelles fonctionnalités sont publiées, aidera les autorités à continuer de remplir leurs obligations en matière de protection des données et de la vie privée en vertu de la loi sur la protection des données. La cartographie claire des flux d’informations aidera à identifier les effets. [Sources : 4,4]
L’évaluation de seuil est une évaluation préliminaire qui permet d’identifier les impacts potentiels d’un projet sur la vie privée et de définir un potentiel de risque, y compris la possibilité que le projet soit un projet à haut risque nécessitant une EIP conformément au Code. Elle est réalisée pour les projets impliquant le traitement de données personnelles, comme le stockage, le traitement, la conservation ou le traitement des données. Sources : 0,0]
L’évaluation doit être capable d’évaluer la confidentialité des systèmes d’information et de la collecte et de documenter les assurances que les problèmes de protection des données ont été identifiés et traités de manière adéquate. Sources : 3]
Le processus d’évaluation des facteurs relatifs à la vie privée ne doit pas être limité à un seul projet, tel qu’un nouveau système de collecte ou de traitement des données. Il incombe à l’autorité de justifier pourquoi un projet ou un changement dans la façon dont les informations personnelles sont modifiées ou traitées n’a pas le potentiel de poser un risque élevé pour la protection des données. Les contrôles de protection des données sont à jour et fonctionnent bien, et les risques de protection des données sont pris en compte si le projet n’est pas nouveau. Le processus doit être suivi de manière à ce qu’il soit vérifié pour détecter les risques élevés en matière de protection des données dans le cadre d’un processus de révision des seuils. Sources : 10,0,0,0]
Sources :
[0] : https://www.oaic.gov.au/privacy/guidance-and-advice/when-do-agencies-need-to-conduct-a-privacy-impact-assessment/
[1] : https://www.prnewswire.com/in/news-releases/onetrust-launches-us-federal-agency-privacy-threshold-analysis-pta-and-privacy-impact-assessment-pia-templates-for-iapp-members-605263126.html
[2] : https://resources.infosecinstitute.com/topic/how-to-conduct-a-data-privacy-impact-assessment-in-2018/
[3] : https://en.wikipedia.org/wiki/Privacy_Impact_Assessment
[4] : https://www.oic.qld.gov.au/guidelines/for-government/guidelines-privacy-principles/privacy-compliance/overview-privacy-impact-assessment-process/undertaking-a-privacy-impact-assessment
[5] : https://www.digital.govt.nz/standards-and-guidance/privacy-security-and-risk/privacy/assess-privacy-risk/assess-project-privacy-risk/
[6] : https://policies.anu.edu.au/ppl/document/ANUP_019407
[7] : https://www.hhs.gov/web/governance/digital-strategy/it-policy-archive/policy-for-privacy-impact-assessments.html
[8] : https://bja.ojp.gov/program/it/privacy-liberty/guides/impact
[9] : https://blogs.getcertifiedgetahead.com/protecting-pii/
[10] : https://privacy.org.au/policies/pia/
[12] : https://docplayer.net/18357091-Privacy-threshold-analysis-pta-this-form-is-used-to-determine-whether-a-privacy-impact-assessment-is-required.html