Pourquoi réaliser une évaluation des incidences sur la vie privée ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Les organisations néo-zélandaises utilisent des évaluations des incidences sur la vie privée pour les nouvelles initiatives importantes liées au traitement des informations personnelles. Dans le secteur australien des soins de santé, la Commission australienne de l’information (OAIC) a élaboré un code de conduite sur les évaluations des incidences sur la vie privée (PIA) pour décrire le processus de réalisation de ces évaluations. Le code exige qu’elles soient mises en œuvre pour tous les projets à haut risque, mais les organisations néo-zélandaises les ont utilisées pour un certain nombre d’initiatives majeures récentes, dont certaines concernent le traitement des informations personnelles, comme la création de nouveaux établissements de santé. Sources : 7,7,15]

Introduction d’une directive pour que les agences réalisent des évaluations d’impact sur la vie privée (PIA) pour la collecte de systèmes d’information électroniques. La directive définit un sous-ensemble de HHS Pia qui évalue et collecte des informations sur la vie privée et la sécurité dans un système informatique pour la collecte d’informations électroniques, tel que défini dans la directive. Sources : 12,1]

En introduisant le Règlement général sur la protection des données (Art. Introduction d’une directive pour que les agences réalisent des évaluations d’impact sur la protection des données (PIA) pour collecter des informations électroniques dans un système informatique pour la collecte électronique de données, tel que défini dans la directive, et introduction d’une loi générale sur la protection des données (le Règlement) et d’une directive sur l’évaluation d’impact sur la protection des données (la Directive de l’UE). Sources : 9,11]

Le gouvernement canadien a introduit une directive sur l’évaluation des incidences sur la vie privée en mai 2002, qui a été remplacée en juillet 2010. Elle a ensuite été reconnue par le Règlement général sur la protection des données (RGPD), qui exige désormais des analyses d’impact sur la protection des données (AIPD) dans ce cas. Sources : 12,3]

Les gouvernements et les institutions ont également le devoir de dire aux citoyens pourquoi leurs données personnelles sont collectées, comment elles sont utilisées, divulguées, et comment les implications sur la vie privée seront résolues. Le GDPR stipule que l’analyse d’impact sur la protection des données devient une procédure obligatoire lorsque les données personnelles sont traitées d’une manière susceptible d’entraîner des risques élevés pour les droits et libertés des personnes. Un examen de la protection de la vie privée facilite une décision éclairée – la décision sur le traitement des données proposé et montre qu’une organisation essaie de minimiser ses risques et problèmes de protection des données. Sources : 13,3,4]

Les évaluations d’impact sur la protection des données peuvent être utilisées pour identifier et atténuer les risques liés à la protection des données – les risques connexes qui peuvent découler de nouveaux projets et affecter l’organisation ou les personnes avec lesquelles elle travaille. L’évaluation d’impact sur la protection des données est une évaluation systématique qui identifie les impacts d’un projet et formule des recommandations pour gérer, minimiser ou éliminer ces impacts. Il existe de nombreux types d’évaluations d’impact, auxquels on fait souvent référence, mais l’une des plus courantes est l’évaluation d’impact sur la protection des données (PIPA). Sources : 5,14,15]

La mise en œuvre d’une PIA aide les écoles à identifier les risques liés à la confidentialité et à la sécurité, à évaluer l’impact de la loi sur la protection des données et d’autres lois sur la protection des données, et à documenter les mesures nécessaires pour atténuer les risques identifiés. L’analyse peut être effectuée à l’aide d’une combinaison d’outils d’analyse de données tels que Google Analytics, Microsoft SQL Server et Microsoft Excel, ainsi que d’autres outils. Sources : 2,1]

Un sous-groupe du HHS PIA évalue le système informatique pour la collecte électronique d’informations. Les systèmes informatiques et les DPI, qui ne sont collectés à partir de la collecte électronique d’informations que par les employés et les sous-traitants directs du HHS. Les divisions (OPdivs) créées après la fin de l’analyse, ainsi que l’impact des lois et autres réglementations sur la protection des données. Sources : 1,1]

Bien que l’ÉFVP soit un outil de gestion des risques, elle doit également aborder la question de savoir si elle reste essentielle au programme de protection des données de l’entreprise. Sources : 3,8]

Une évaluation d’impact sur la protection des données est conçue pour identifier, analyser et minimiser les risques liés à la protection des données dans un plan de projet. Ce type d’examen de la protection de la vie privée est similaire à une évaluation des risques liés à la protection de la vie privée (PRA), qui est conçue pour identifier et évaluer les risques liés à la protection de la vie privée et leur impact, ainsi que les mesures de protection supplémentaires pour atténuer ces risques. Un P RA utilise une combinaison de deux approches : l’identification des menaces pour la vie privée et l’évaluation de leur impact, l’identification des mesures d’atténuation et l’évaluation du risque global pour la vie privée posé par ces menaces. Une fois l’évaluation terminée, les autorités de protection des données devront formuler des recommandations pour prendre en compte et atténuer les impacts observés sur la vie privée, ainsi que des recommandations qui minimisent les risques pour la vie privée, comme l’utilisation de services tiers. [Sources : 6,4,4,4]

Si l’initiative n’en est qu’à l’étape du concept ou de la conception, ou si l’on ne dispose pas de renseignements détaillés, le ministère ou l’autorité devrait envisager une évaluation des facteurs relatifs à la vie privée (EFVP), si possible, en fonction des répercussions sur la vie privée d’une telle initiative. Sources : 7]

L’évaluation rapide des facteurs relatifs à la vie privée est une évaluation préliminaire qui aide à déterminer les répercussions potentielles d’un projet sur la vie privée et à déterminer un potentiel de risque, notamment si le projet pourrait être un projet à risque élevé nécessitant une ÉFVP en vertu du Code. Si vous avez réalisé une évaluation d’impact rapide qui ne dure pas plus d’une demi-heure, vous aurez une idée de ce qu’est une évaluation d’impact sur la protection des données. Pour un aperçu plus détaillé du processus d’EIP, consultez la méthode d’évaluation de la protection des données et des risques ici. Cette méthode sera utilisée pour modifier la manière dont les informations personnelles sont collectées, utilisées et partagées dans les projets qui font déjà l’objet d’une analyse d’impact sur la protection des données. Sources : 0,10,15,4].

Sources:

  • [
  • [0] : https://www2.gov.bc.ca/gov/content/governments/services-for-government/information-management-technology/privacy/privacy-impact-assessments
  • 1] : https://www.hhs.gov/web/governance/digital-strategy/it-policy-archive/policy-for-privacy-impact-assessments.html
  • 2] : https://www2.education.vic.gov.au/pal/privacy-information-sharing/guidance/privacy-impact-assessments
  • [3] : https://cacm.acm.org/magazines/2011/8/114936-should-privacy-impact-assessments-be-mandatory
  • [4] : https://medium.com/privacy-technology/conducting-and-operationalizing-privacy-reviews-28b94c24017
  • [5] : http://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments
  • [6] : https://blog.netwrix.com/2021/02/17/data-protection-impact-assessment/
  • [7] : https://www.colleaga.org/article/country-specific-guidelines-conducting-privacy-impact-assessment
  • [8] : https://www.americanbar.org/groups/litigation/committees/minority-trial-lawyer/practice/2018/your-clients-privacy-posture-need-for-privacy-impact-asseessment/
  • [9] : https://gdpr-info.eu/issues/privacy-impact-assessment/
  • [10] : https://www.michalsons.com/focus-areas/privacy-and-data-protection/privacy-data-protection-impact-assessment
  • [11] : https://www.avepoint.com/blog/protect/privacy-impact-assessment/
  • [12] : https://en.wikipedia.org/wiki/Privacy_Impact_Assessment
  • [13] : https://privaon.com/publications-news/white-papers/privacy-impact-assessment-pia/
  • [14] : https://www.clarip.com/data-privacy/privacy-risk-assessment/
  • [15] : https://www.oaic.gov.au/privacy/guidance-and-advice/when-do-agencies-need-to-conduct-a-privacy-impact-assessment/