Pourquoi faire une évaluation des incidences sur la vie privée ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Un rapport sur les incidences sur la vie privée aide les organisations à comprendre comment les informations personnelles sont collectées, utilisées et stockées au sein de leur organisation. Les évaluations d’impact sur la protection des données et sur la vie privée examinent comment les données personnelles sont protégées, comment elles sont utilisées et quel contrôle les personnes concernées ont sur leurs données. Certaines organisations néo-zélandaises utilisent les évaluations d’impact sur la protection des données dans le cadre de nouvelles initiatives importantes pour gérer les informations personnelles. Sources : 4,3,3]

Par exemple, l’E-Government Act de 2002 exige des agences fédérales qu’elles réalisent une évaluation des incidences sur la vie privée (PIA). Pour déterminer si une Pia est nécessaire, il est utile de remplir la feuille de travail pour l’analyse préliminaire de la protection des données qui est également jointe. Il faut donner un aperçu de certaines des étapes que vous pouvez suivre lorsque vous remplissez le modèle d’évaluation des incidences sur la vie privée et lorsque vous effectuez votre évaluation de la protection de la vie privée. Vous pouvez voir ici et ici un ou deux exemples d' »analyses d’impact sur la protection des données » pour plus d’informations. [Sources : 3,6,3,3]

Faites une évaluation d’impact sur la vie privée avant de rejoindre le programme de protection de la vie privée et avant de commencer à mettre en œuvre le module d’évaluation d’impact sur la vie privée. Les évaluations d’impact sur la protection des données peuvent être réalisées avant la participation au programme de protection des données et après la mise en œuvre des modules d’évaluation d’impact sur la protection des données. Avez-vous réalisé une analyse d’impact sur la vie privée après avoir participé à un programme de protection de la vie privée ou après avoir travaillé à la mise en œuvre du module d’analyse d’impact sur la vie privée ? [Sources : 5,5]

Vous disposez ainsi d’un emplacement central où vous pouvez stocker et accéder à toutes vos données pour évaluer votre vie privée. Vous avez besoin d’un modèle pour évaluer l’impact sur la vie privée afin de recueillir des informations sur vos données personnelles, telles que votre nom, votre adresse, votre numéro de téléphone et votre adresse électronique. Recherchez des modèles et des outils d’ÉFVP qui peuvent vous aider dans ce processus. Utilisez-les pour modifier la façon dont vous collectez, utilisez et partagez vos informations personnelles sur des projets qui font déjà l’objet d’une évaluation d’impact sur la protection des données. Sources : 3,0,3]

Les analyses d’impact sur la protection des données sont un outil de conception important, car elles permettent non seulement à votre entreprise de faire des économies, mais aussi de gagner de l’argent. Par exemple, l’inclusion d’un seuil de confidentialité dans votre analyse d’impact sur la protection des données serait idéale pour une organisation qui lance une nouvelle campagne de sensibilisation sur les médias sociaux. Sources : 3,10]

L’exemple d’une évaluation d’impact sur la protection des données aide les organisations à atténuer les risques liés à la collecte de données personnelles et à s’assurer qu’elles les traitent correctement tout au long de leur cycle d’utilisation. Par exemple, l’introduction d’une évaluation d’impact sur la vie privée (PIA) par l’Information Commissioner’s Office (ICO) est une excellente approche. Sources : 3,1]

L’EFVP identifie les risques d’atteinte à la vie privée qui augmentent les inquiétudes des utilisateurs et aide l’équipe à développer une stratégie pour atténuer les inquiétudes des utilisateurs [Sources : 10]. Sources : 10]

L’évaluation de l’impact sur la protection des données (DPIA), également connue sous le nom d’évaluation de l’impact sur la protection des données (PIA), fait partie du règlement général sur la protection des données (GDPR) et est décrite dans l’art. Le gouvernement canadien a introduit une directive sur les évaluations d’impact sur la vie privée en mai 2002, qui a été remplacée en juillet 2010 par la directive sur les évaluations d’impact sur la vie privée dans l’Union européenne (UE), les directives sur la protection des données et les droits des citoyens. Bien qu’il ait été reconnu par la suite que l’analyse d’impact sur la protection des données (DPia) est désormais requise dans certains cas par la législation sur la protection des données, elle est toujours servie par la loi européenne sur la protection des données et la loi sur la conservation des données et les pouvoirs d’investigation (EPRA). Sources : 1,9,8,2]

Le Code exige que tous les projets présentant un risque élevé en matière de protection des données soient soumis à une évaluation des incidences sur la vie privée (PIA), la loi sur la protection des données (EPRA) et la loi sur la conservation des données et les pouvoirs d’investigation, ainsi que la directive sur l’évaluation des incidences sur la vie privée. Sources : 7]

Les institutions gouvernementales sont également tenues de dire aux citoyens pourquoi leurs informations personnelles sont collectées, comment elles sont utilisées, divulguées et comment les conséquences sur la vie privée seront résolues. Une évaluation des incidences sur la vie privée est nécessaire pour protéger les informations personnelles identifiables et pour encourager les entreprises à identifier des tactiques d’atténuation des risques. Sources : 2,3]

Avant de commencer à recueillir des informations pour votre analyse d’impact sur la vie privée, vous devriez avoir catalogué vos données afin de fournir l’analyse nécessaire au rapport d’examen de l’EIVP. Cette liste de contrôle est particulièrement utile lorsque vous travaillez avec d’autres personnes pour évaluer l’impact sur la vie privée, que ce soit en tant qu' »ÉFVP » ou en tant que personne différente, car ils sont tous sur la même longueur d’onde. Une fois que vous avez rassemblé toutes les données pour une évaluation de la protection de la vie privée au titre de la PIPA, vous voulez que votre rapport fournisse un aperçu complet des pratiques de collecte de données de votre organisation et de l’impact sur vos informations personnelles. Sources : 3,3,3]

Pour identifier correctement les zones de risque dans votre évaluation de l’impact sur la vie privée, vous devez cartographier le cycle de vie de vos données dans le flux d’informations. Une fois que vous avez cartographié votre flux de données PII, vous pouvez examiner toutes les étapes de sécurité de ce processus afin d’effectuer une évaluation des incidences sur la vie privée pour identifier tous les domaines présentant des vulnérabilités. [Sources : 3,3]

Si vous introduisez un nouveau programme CRM qui collecte les DPI des clients, vous devez évaluer ces risques à l’aide d’une évaluation d’impact sur la vie privée. Si vous réalisez une évaluation d’impact rapide qui ne dure pas plus d’une demi-heure, vous aurez une idée de ce qu’est une évaluation d’impact sur la protection des données. Si vous cherchez des modèles et des outils pour l’analyse d’impact sur la protection des données, vous pouvez envisager le kit d’analyse d’impact de l’AGS. Les analyses d’impact sur la protection des données peuvent également être réalisées dans le cadre d’une évaluation de sécurité PIA ou d’un audit de sécurité informatique. Sources : 3,3,5]

Sources: 

  • 0] : https://www2.gov.bc.ca/gov/content/governments/services-for-government/information-management-technology/privacy/privacy-impact-assessments
  • 1] : https://resources.infosecinstitute.com/topic/how-to-conduct-a-data-privacy-impact-assessment-in-2018/
  • 2] : https://cacm.acm.org/magazines/2011/8/114936-should-privacy-impact-assessments-be-mandatory
  • [3] : https://www.airiodion.com/privacy-impact-assessment/
  • [4] : https://www.colleaga.org/article/country-specific-guidelines-conducting-privacy-impact-assessment
  • [5] : https://www.michalsons.com/focus-areas/privacy-and-data-protection/privacy-data-protection-impact-assessment
  • [6] : https://taskroom.sp.saskatchewan.ca/how-do-i/protect-privacy/privacy-impact-assessment
  • [7] : https://www.oaic.gov.au/privacy/guidance-and-advice/when-do-agencies-need-to-conduct-a-privacy-impact-assessment/
  • [8] : https://en.wikipedia.org/wiki/Privacy_Impact_Assessment
  • [9] : https://gdpr-info.eu/issues/privacy-impact-assessment/
  • 10] : https://uxdesign.cc/why-a-privacy-impact-assessment-is-a-crucial-design-tool-7e659ff6b6b2