Qu’est-ce que l’évaluation des incidences sur la vie privée (Pia) ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Les organisations néo-zélandaises utilisent les évaluations d’impact sur la vie privée dans le cadre de nouvelles initiatives majeures pour gérer les informations personnelles. Les rapports sur l’impact de l’évaluation de la vie privée aident les organisations à comprendre comment les informations personnelles sont collectées, utilisées et stockées au sein de leur organisation. Les évaluations de la protection des données et de l’impact sur la protection des données examinent comment les données personnelles sont protégées, comment elles sont utilisées et quel contrôle les personnes concernées par la collecte des données ont pu avoir sur leurs données. Sources : 6,5,5]

Par exemple, la loi de 2002 sur le gouvernement électronique exige que les autorités procèdent à une évaluation des incidences sur la vie privée (PIA) pour la collecte de systèmes d’information électroniques. Les agences fédérales américaines qui effectuent des évaluations d’impact sur la protection des données ont été créées en vertu de la loi fédérale sur la protection des données de 1986. (Code de l’ordonnance fédérale). Le Code exige qu’elles soient mises en œuvre pour tous les projets présentant un risque élevé en matière de protection des données. [Sources : 5,1,7]

Le Règlement général sur la protection des données (Art. 2) a introduit la première évaluation d’impact sur la vie privée (PIA) pour la collecte de systèmes d’information électroniques en Europe. Sources : 9]

Lorsque les évaluations d’impact sur la vie privée sont devenues courantes, un modèle de déclaration d’impact sur la vie privée a été inclus dans le Règlement général sur la protection des données de l’Union européenne. Elle a servi de modèle pour la reconnaissance ultérieure des évaluations d’impact sur la protection des données (EIPD), qui, en l’occurrence, sont désormais requises par le Règlement général sur la protection des données (RGPD) (souligné dans cet article). Les lignes directrices pour l’évaluation de l’impact sur la vie privée sont fondées sur les principes universels de la protection des données énoncés à l’article 5 du Pacte international relatif aux droits civils et politiques (PIDCP) et à l’article 2 de l’article 1 de la Convention européenne des droits de l’homme. En ce qui concerne la législation canadienne dans le secteur de la santé, ces lignes directrices visent à fournir des conseils pour la mise en œuvre des évaluations des incidences sur la vie privée des systèmes d’information électroniques au Canada. [Sources : 0,7,6,6]

Cette liste de contrôle est particulièrement utile lorsque vous travaillez avec d’autres personnes sur une évaluation des facteurs relatifs à la vie privée (EFVP), car elle permet de garder tout le monde sur la même longueur d’onde. Il est souvent nécessaire de déterminer l’objectif de l’évaluation des facteurs relatifs à la vie privée. Une fois que vous avez rassemblé toutes les données pour une PIPA (Privacy Impact Assessment), vous voudrez probablement présenter le rapport. Sources : 5,5,5]

Il faut examiner certains modèles et outils d’évaluation des incidences sur la vie privée que vous pouvez utiliser pour simplifier ce processus, et il faut fournir un ou deux exemples d’évaluations des incidences sur la vie privée qui peuvent être examinés. Il faut passer en revue les étapes à suivre pour remplir un modèle d’évaluation d’impact sur la protection des données et réaliser une Pia (évaluation de la protection des données). Vous aurez besoin d’un modèle d’évaluation de l’impact sur la vie privée afin de collecter les données pour le PIPA et les informations sur l’impact sur la vie privée de vos données. Vous disposez ainsi d’un emplacement central où toutes vos données peuvent être stockées ou récupérées pour l’évaluation de la protection des données. [Sources : 5,5,5,5,5]

Vous pouvez choisir si vous voulez que le modèle d’évaluation de l’impact sur la vie privée contienne toutes les autorisations nécessaires et les solutions d’atténuation des risques, ou si vous voulez les laisser telles quelles dans le rapport d’EIVP. Sources : 5]

Un exemple d’évaluation de l’impact sur la protection des données serait un rapport d’EIVP présenté comme un rapport web basé sur le cloud, qui comprend une évaluation du seuil de protection des données. Ce rapport est utilisé pour modifier la manière dont les informations personnelles sont collectées, utilisées et partagées pendant que vous êtes en train de le faire. Un exemple d’évaluation d’impact sur la protection des données pour un projet qui fait déjà l’objet d’une évaluation d’impact sur la vie privée, y compris l’évaluation des seuils de protection des données, aurait été pour une organisation qui a lancé une nouvelle campagne de sensibilisation sur les médias sociaux. Sources : 2,5,5]

Il est souvent fait référence aux accords de protection des données, et les équipes chargées de la protection des données et de la gestion des risques ont tendance à les considérer à tort comme le même type d’évaluation qu’elles. Vous pouvez oublier comment vous aimeriez que votre évaluation de l’impact sur la vie privée soit formatée et tenue à jour en examinant quelques exemples. Il existe un certain nombre d’outils en ligne couramment utilisés pour évaluer l’impact sur la vie privée d’une évaluation des incidences sur la vie privée, tels que l’outil d’évaluation des incidences sur la vie privée (PIT) et l’évaluation de la protection des données (DPA), mais on peut également les trouver en ligne dans une variété de formats et d’options différents. [Sources : 5,2,8,4]

Si vous recherchez des modèles et des outils pour l’évaluation de l’impact sur la vie privée, pensez à la boîte à outils d’évaluation de l’impact de l’AGS. L’AGS propose également une première découverte pour déterminer la meilleure façon d’évaluer l’impact de la vie privée et de la protection des données sur votre organisation. Lorsque vous réalisez une évaluation des incidences sur la vie privée dans le cadre d’une EFVP, il est important d’utiliser les outils de gestion de la vie privée et des risques les plus récents dont vous disposez. Sources : 5,5,3]

Pour identifier correctement les zones à risque dans une évaluation d’impact sur la protection des données, vous devez cartographier le flux d’informations et le cycle de vie de vos données. Une fois que vous avez cartographié votre flux de données PII, vous pouvez examiner les étapes de sécurité de ce processus afin de réaliser une PIA (évaluation de l’impact sur la protection des données) pour identifier la zone de vulnérabilité. Sources : 5,5]

Si vous introduisez un nouveau programme de CRM qui collecte les DPI des clients, vous devez évaluer le risque en utilisant une évaluation de l’impact sur la vie privée. Sources : 5]

Sources :

  • [0] : http://www.rogerclarke.com/DV/PIAHist-08.html
  • 1] : https://www.oaic.gov.au/privacy/guidance-and-advice/when-do-agencies-need-to-conduct-a-privacy-impact-assessment/
  • 2] : https://www2.gov.bc.ca/gov/content/governments/services-for-government/information-management-technology/privacy/privacy-impact-assessments
  • 3] : https://infopulse-scm.com/blog/blog-pia-or-dpia/
  • [4] : https://blog.focal-point.com/understanding-the-differences-between-pias-and-the-gdprs-dpias
  • [5] : https://www.airiodion.com/privacy-impact-assessment/
  • [6] : https://www.colleaga.org/article/country-specific-guidelines-conducting-privacy-impact-assessment
  • [7] : https://en.wikipedia.org/wiki/Privacy_Impact_Assessment
  • [8] : https://www.clarip.com/data-privacy/privacy-risk-assessment/
  • [9] : https://gdpr-info.eu/issues/privacy-impact-assessment/