Quand réaliser une évaluation des incidences sur la vie privée ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Découvrez les risques encourus et comment une évaluation des facteurs relatifs à la vie privée (EFVP) peut vous aider dans ce domaine et dans d’autres aspects de la protection des données. Sources : 9]

Une évaluation d’impact sur la protection des données (DPIA) est un processus qui permet d’identifier et de minimiser les risques liés à la protection des données pour un projet. Elle est également connue sous le nom d’évaluation d’impact sur la vie privée (PIA) et constitue l’un des aspects les plus importants d’une évaluation d’impact sur la protection des données au Royaume-Uni. Introduite dans le cadre du règlement général sur la protection des données (art. 1) et dans sa forme actuelle en avril 2015. [Sources : 11,10,0,9]

Cela a servi de modèle pour reconnaître ultérieurement la nécessité d’une analyse d’impact sur la protection des données, qui en l’occurrence est désormais exigée par le Règlement général sur la protection des données (RGPD). Sources : 2]

Le Code exige qu’une évaluation d’impact sur la protection des données (PIA) soit réalisée pour les projets à haut risque. L’évaluation des impacts sur la vie privée nécessite la capacité de l’organisation à protéger les informations personnellement identifiables et à identifier les tactiques d’atténuation des risques. Les évaluations d’impact sur la protection des données, par définition, exigent que l’élément des données PII soit protégé et qu’une organisation identifie les risques et les stratégies pour réduire l’utilisation des données dans un projet à haut risque. Sources : 8,12,12]

Si l’initiative est à un stade précoce de concept ou de conception et que les informations détaillées sont inconnues, le ministère ou l’autorité devrait envisager de réaliser une évaluation d’impact sur la protection des données (PIA) pour un projet à haut risque dans la phase initiale du projet. Pour qu’une évaluation d’impact sur la protection des données soit efficace, elle doit être réalisée au moins deux ans avant l’achèvement d’un projet. Sources : 9,3]

Lorsqu’il s’agit de déterminer si une EIP est nécessaire, il est utile de remplir le plus rapidement possible la feuille de travail d’analyse préliminaire de la protection des données qui l’accompagne[Sources : 4]. Sources : 4]

Cela vous donne un emplacement central où vos données peuvent être stockées et récupérées pour l’évaluation de la protection des données. Lorsque vous recueillez des informations sur la vie privée de vos utilisateurs, telles que des numéros de téléphone, des adresses électroniques et d’autres informations personnelles, vous aurez besoin d’un modèle pour évaluer l’impact sur la vie privée. Sur Google, vous trouverez les étapes à suivre pour remplir les modèles d’évaluation de l’impact sur la vie privée et pour effectuer des évaluations de l’impact sur la vie privée. Il faut examiner un certain nombre de modèles Pia que vous pouvez utiliser pour faciliter ce processus. Vous disposerez ainsi d’un modèle pour l’évaluation des incidences sur la vie privée et d’un ou deux exemples à voir. [Sources : 12,12,12,12]

Vous pouvez choisir d’inclure dans votre modèle d’évaluation de l’impact sur la vie privée les autorisations nécessaires et les solutions d’atténuation des risques, ou de les laisser telles quelles dans le rapport d’EIVP. Le type de données utilisées dans votre projet déterminera si et comment effectuer une analyse des incidences sur la vie privée. Sources : 12,12]

Vous pouvez vous faire une idée de la manière dont vous souhaitez formater et visualiser votre évaluation des incidences sur la vie privée en examinant quelques exemples. Cette liste de contrôle est particulièrement utile lorsque vous travaillez avec d’autres personnes dans le cadre de l’ÉFVP ou avec une autre personne dans le cadre d’une évaluation des incidences sur la vie privée, car elle permet de garder tout le monde sur la même longueur d’onde. Pour identifier correctement les zones à risque dans votre évaluation d’impact sur la vie privée, vous devez cartographier le flux d’informations et le cycle de vie de vos données. Une fois que vous avez cartographié votre flux de données PII, vous pouvez visualiser toutes les étapes de sécurité de ce processus, de sorte que vous pouvez effectuer une évaluation d’impact sur la vie privée et une évaluation d’impact sur la vie privée en une seule étape pour identifier la zone de vulnérabilité. Sources : 12,12,12,12,12]

Une évaluation des incidences sur la vie privée (EIVP) est souvent désignée comme une analyse effectuée conjointement avec une évaluation des incidences sur la vie privée (EIVP), ou une analyse de l’impact sur la vie privée (PA). Il existe un certain nombre d’outils en ligne couramment utilisés pour évaluer la sécurité de votre flux de données PII et son cycle de vie, mais il faut constaté qu’ils ne sont pas toujours facilement accessibles sur le web ou en version imprimée. Sources : 5,6,12]

Après l’évaluation, le contrôleur de la protection des données doit formuler des recommandations pour prendre en compte et atténuer les impacts sur la vie privée identifiés et pour minimiser les risques liés à la protection des données. Une fois que les données ont été compilées pour l’EIVP (évaluation des incidences sur la vie privée), vous voudrez présenter le rapport. Si votre projet a déjà fait l’objet d’une évaluation des incidences sur la vie privée, que pouvez-vous faire pour changer la façon dont vos informations personnelles sont collectées, utilisées et partagées pendant votre séjour ? Sources : 5,12,1]

Par exemple, l’introduction d’une évaluation des incidences sur la vie privée (PIA) par l’Information Commissioner’s Office (ICO) est une excellente approche. Comme vous pouvez le constater, il existe un certain nombre d’options pour effectuer une analyse de l’impact sur la vie privée que le kit d’évaluation d’impact de l’AGS et d’autres outils d’évaluation des risques liés à la vie privée utilisent. Si vous examinez les modèles et les outils d’évaluation de l’impact sur la vie privée, vous constaterez qu’il existe de nombreuses façons différentes d’assembler les modèles d’évaluation de la vie privée et des risques. Ainsi, si vous recherchez un exemple d’évaluation d’impact sur la compétitivité, considérez le kit d’évaluation d’impact de l’AGS. Sources : 10, 12, 12, 12].

Effectuez une analyse d’impact sur la vie privée avant de rejoindre le programme de protection des données et travaillez à la mise en œuvre du module d’analyse d’impact sur la vie privée. Si vous avez commencé le processus avec le GDPR, si vous avez besoin d’un logiciel pour évaluer l’impact sur la vie privée, ou si vous voulez répondre aux exigences de ePrivacy avec un logiciel de gestion des cookies – Clarip peut aider à renforcer votre programme de protection de la vie privée. Si vous réalisez une évaluation de l’impact sur la vie privée avant de rejoindre le programme de protection de la vie privée et travaillez sur le module d’évaluation de l’impact sur la vie privée, vous pouvez le faire de la même manière qu’avec une PIA. Vous pouvez également réaliser un module d’évaluation de l’impact sur la compétitivité après avoir participé à un programme de prévention des données d’une autre manière, par exemple en trouvant comment le faire avec un système de gestion des données tel que le système de gestion de la protection des données (PMS). Sources : 6,7,7]

Sources:

  • [0] : https://gdpr-info.eu/issues/privacy-impact-assessment/
  • 1] : https://medium.com/privacy-technology/conducting-and-operationalizing-privacy-reviews-28b94c24017
  • 2] : https://en.wikipedia.org/wiki/Privacy_Impact_Assessment
  • [3] : https://www.colleaga.org/article/country-specific-guidelines-conducting-privacy-impact-assessment
  • [4] : https://taskroom.sp.saskatchewan.ca/how-do-i/protect-privacy/privacy-impact-assessment
  • [5] : https://www2.gov.bc.ca/gov/content/governments/services-for-government/information-management-technology/privacy/privacy-impact-assessments
  • [6] : https://www.clarip.com/data-privacy/privacy-risk-assessment/
  • [7] : https://www.michalsons.com/focus-areas/privacy-and-data-protection/privacy-data-protection-impact-assessment
  • [8] : https://www.oaic.gov.au/privacy/guidance-and-advice/when-do-agencies-need-to-conduct-a-privacy-impact-assessment/
  • [9] : https://www.avepoint.com/blog/protect/privacy-impact-assessment/
  • [10] : https://resources.infosecinstitute.com/topic/how-to-conduct-a-data-privacy-impact-assessment-in-2018/
  • [11] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments/
  • [12] : https://www.airiodion.com/privacy-impact-assessment/