Quand une évaluation d’impact sur la vie privée est-elle nécessaire ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

Le GDPR est le premier règlement exigeant des entreprises qu’elles réalisent des évaluations d’impact sur la protection des données (DPIA) pour les activités de traitement à haut risque. Le GDPR constitue une nouvelle modification majeure de l’obligation pour les organisations du secteur privé de réaliser ces évaluations. Les organisations néo-zélandaises mettent en œuvre des évaluations d’impact sur la protection des données dans le cadre d’un certain nombre de nouvelles initiatives importantes en matière de traitement des informations personnelles. Sources : 2,4]

En vertu de la loi, les organisations sont légalement tenues de réaliser des analyses d’impact sur la protection des données si un nouveau projet peut présenter un risque élevé pour les droits et libertés des personnes et de leurs familles. Le GDPR précise qu’une analyse d’impact sur la protection des données devient une procédure obligatoire lorsque des données personnelles sont traitées d’une manière susceptible d’entraîner un risque élevé pour les droits ou libertés individuels. Une analyse d’impact sur la vie privée est nécessaire pour protéger les informations personnellement identifiables et pour identifier les tactiques d’atténuation des risques. Sources : 9,3,7]

Si le besoin d’une évaluation d’impact sur la vie privée se fait à nouveau sentir, les outils qui présentent des assistants pour réaliser des évaluations d’impact sur la protection des données peuvent être d’une grande utilité. Cette liste de contrôle est particulièrement utile lorsque vous travaillez avec d’autres personnes sur une évaluation d’impact sur la vie privée (Pia) ou avec toute autre personne, car elle permet de garder tout le monde sur la même longueur d’onde. Sources : 7,9]

Vous pouvez choisir d’inclure dans le modèle les autorisations et les solutions d’atténuation des risques nécessaires pour évaluer l’impact sur la protection des données, ou de conserver le modèle tel qu’il est présenté dans le rapport d’EIVP. Lorsque vous recueillez des informations personnelles, telles que des adresses électroniques, des numéros de téléphone et d’autres informations personnelles, vous devez procéder à une évaluation de la protection de la vie privée. Recherchez des modèles et des outils Pia que vous pouvez utiliser pour faciliter le processus, comme l’outil d’évaluation des incidences sur la vie privée (PIT). Celui-ci vous donne un emplacement central où vos données peuvent être stockées et récupérées pour l’évaluation de la protection des données. Utilisez-le pour modifier la manière dont vous collectez, utilisez et partagez vos informations personnelles sur un projet qui fait déjà l’objet d’une évaluation des incidences sur la vie privée. [Sources : 0,7,7,7]

Vous devez utiliser le modèle de rapport d’ÉFVP inclus pour résumer les informations obtenues lors des étapes précédentes. Ce modèle fournit une description détaillée de la façon dont chaque section de l’ÉFVP peut être remplie, ainsi qu’une liste des étapes à suivre pour remplir le modèle d’évaluation de l’impact sur la vie privée et pour effectuer l’évaluation de l’impact sur la vie privée. Il faut voir un ou deux exemples d’incidences sur la vie privée que vous pourrez vérifier. [Sources : 6,7,7,5]

Un exemple d’évaluation d’impact sur la vie privée, qui comprend une évaluation du seuil de confidentialité, serait celui d’une organisation lançant une nouvelle campagne de relations publiques sur les médias sociaux. Pour réaliser un rapport d’évaluation d’impact sur la vie privée complet, vous devez vous assurer que vous optez pour l’une des premières étapes. Une fois que vous aurez recueilli des données sur l’utilisation de Facebook, Twitter, LinkedIn, Instagram et d’autres réseaux sociaux par votre organisation, vous devrez procéder à une évaluation des incidences sur la vie privée. Après avoir compilé toutes ces données pour l’évaluation de l’impact sur la vie privée de Pia, il faut probablement un rapport qui présentera l’impact sur la vie privée de ces points de données et l’impact sur l’organisation dans son ensemble. Sources : 7,7,7,7,7]

Si vous introduisez un nouveau programme CRM qui collecte les DPI des clients, vous voudrez probablement évaluer le risque en utilisant une évaluation de l’impact sur la vie privée. Afin d’identifier correctement les zones à risque dans l’évaluation de l’impact sur la vie privée, le flux d’informations et le cycle de vie des données doivent être cartographiés. En cartographiant le flux de données P II, il faut être en mesure d’examiner les étapes de sécurité de ce processus. Sources : 7,7,7]

Voici des exemples d’évaluations d’impact sur la protection des données réalisées par des autorités et des commissions fédérales. Il faut constaté que des outils en ligne fréquemment utilisés évaluent l’impact sur la vie privée d’un nouveau CRM ou d’un autre logiciel de collecte et de traitement des données. [Sources : 0,6]

Les lignes directrices relatives à l’évaluation de l’impact sur la vie privée sont fondées sur les principes universels de protection des données énoncés dans le Pacte international relatif aux droits civils et politiques (PIDCP) et la Charte canadienne des droits et libertés. En ce qui concerne la législation canadienne sur les soins de santé, les lignes directrices visent à fournir un cadre pour évaluer l’impact sur la vie privée des nouveaux logiciels de collecte et de traitement des données. Sources : 2,2]

Pour déterminer si une ÉFVP est nécessaire, il peut être utile de remplir la feuille de travail préliminaire d’analyse de la protection des données également jointe. Ce formulaire est utilisé par le ministère de la Justice (DOJ) pour recueillir les informations nécessaires pour déterminer si une évaluation des facteurs relatifs à la vie privée (Pia) est requise. Si tel est le cas, vous aurez besoin d’un formulaire plus court que le PIPA complet, alors veuillez le remplir. Le DHS utilise ce formulaire pour recueillir les informations indispensables pour déterminer si une évaluation des incidences sur la vie privée (PIA) est requise pour la collecte et le traitement de nouvelles données, telles que les dossiers médicaux électroniques. Sources : 5,6,6]

Le Bureau d’évaluation de l’éducation peut demander ou exiger une évaluation des incidences sur la vie privée si vous utilisez des enquêtes annoncées sur MyUW. La nécessité de déterminer l’objectif de l’évaluation de l’impact sur la protection de la vie privée inclut souvent l’utilisation d’informations personnelles telles que le nom, l’adresse, le numéro de téléphone et l’adresse électronique. Les évaluations d’impact sur la protection des données pour les évaluations et les enquêtes concernant les données personnelles restent essentielles pour votre entreprise en tant que programme de protection des données. Sources : 8,1,7]

Sources:

  • 0] : https://www2.gov.bc.ca/gov/content/governments/services-for-government/information-management-technology/privacy/privacy-impact-assessments
  • 1] : https://www.americanbar.org/groups/litigation/committees/minority-trial-lawyer/practice/2018/your-clients-privacy-posture-need-for-privacy-impact-asseessment/
  • 2] : https://www.colleaga.org/article/country-specific-guidelines-conducting-privacy-impact-assessment
  • [3] : https://blog.rsisecurity.com/what-is-a-data-privacy-impact-assessment/
  • [4] : https://www.corporatecomplianceinsights.com/pias-gdpr-dpias-best-practice-guide/
  • [5] : https://taskroom.sp.saskatchewan.ca/how-do-i/protect-privacy/privacy-impact-assessment
  • [6] : https://bja.ojp.gov/program/it/privacy-liberty/guides/impact
  • [7] : https://www.airiodion.com/privacy-impact-assessment/
  • [8] : https://privacy.uw.edu/design/privacy-assessments/
  • [9] : https://privaon.com/publications-news/white-papers/privacy-impact-assessment-pia/