Découvrez nos solutions sans obligation d’achat
Une analyse d’impact sur la protection des données (AIPD) est un processus qui permet d’identifier et de minimiser les risques liés à la protection des données dans le cadre d’un projet. Sources : 14]
Elle est également connue sous le nom d’évaluation d’impact sur la vie privée (PIA) et est utilisée pour protéger la vie privée dans la conception des processus lorsqu’une organisation démarre, acquiert, met en œuvre ou lance de nouveaux produits. Elle a été introduite pour la première fois en tant qu’art dans le Règlement général sur la protection des données (RGPD) et a servi de base aux mandats qui ont été reconnus par la suite, qu’elle commande maintenant. L’évaluation des incidences sur la vie privée (DPIA), également appelée évaluation des incidences sur la vie privée ou Pia, est l’un des aspects les plus importants d’une évaluation des incidences sur la vie privée. [Sources : 1,6,15,5]
Le gouvernement canadien a introduit une directive sur l’évaluation des facteurs relatifs à la vie privée en mai 2002, qui a été remplacée par la directive de l’Union européenne sur la vie privée et les libertés civiles dans l’économie numérique (GDPR) en juillet 2010. Sources : 16]
Dans la politique, un sous-ensemble du HHS définit l’évaluation des incidences sur la vie privée qui évalue les systèmes informatiques pour la collecte d’informations électroniques et qui ne collecte des informations nominatives que pour les employés et les sous-traitants directs du HHS. Système informatique de collecte d’informations électroniques qui ne recueille que des informations sur les données personnelles de l’utilisateur telles que le nom, l’adresse, le numéro de téléphone et l’adresse électronique. La directive la définit comme un « sous-ensemble » de l’EIP du HHS, mais elle n’applique la P II qu’à tous ses employés, directement ou en tant que contractants. [Sources : 13,13]
Cette analyse peut être complétée par une combinaison de l’ÉFVP, de l’analyse des PII et des outils de collecte et d’analyse des données disponibles dans le système informatique. Sources : 13]
Recherchez des modèles et des outils d’ÉFVP que vous pouvez utiliser pour simplifier le processus et fournir un emplacement central où vos données peuvent être stockées et récupérées pour l’évaluation de la confidentialité. Vous pouvez choisir si vous voulez que le modèle d’évaluation de l’impact sur la vie privée contienne toutes les autorisations et solutions nécessaires pour atténuer le risque, ou si vous voulez le laisser tel qu’il est présenté dans le rapport Pia. Utilisez-le pour modifier la manière dont vos informations personnelles sont collectées, utilisées et partagées avec un projet qui fait déjà l’objet d’une analyse d’impact sur la protection des données. Sources : 10,8,10]
Vous disposerez ainsi d’un ou deux exemples d’impact sur la vie privée que vous pourrez examiner et vous passerez en revue les étapes à suivre pour remplir le modèle d’analyse d’impact sur la vie privée et pour réaliser une évaluation d’impact sur la vie privée. Pour en savoir plus sur Pia et trouver la liste complète des modèles d’évaluation des incidences sur la vie privée sur notre site web, veuillez lire notre Guide d’évaluation des incidences sur la vie privée pour plus d’informations sur ce sujet. Sources : 4,10,10]
Les évaluations d’impact se composent généralement d’environ quatre étapes, largement définies comme suit : (1) l’évaluation des risques, (2) l’évaluation de l’impact sur la vie privée de l’utilisateur et (3) le risque pour la vie privée des autres utilisateurs. Les EIP sont des outils de gestion des risques et sont souvent appelées modèles d’évaluation des incidences sur la vie privée, des impacts sur la vie privée et des risques pour la vie privée. Bien qu’il existe de nombreux types de modèles différents pour évaluer l’impact sur la vie privée, Pia est l’outil en ligne le plus couramment utilisé pour être évalué. Découvrez les avantages et les limites de cet outil en ligne couramment utilisé pour évaluer l’impact potentiel de vos problèmes de confidentialité, de sécurité ou autres sur votre entreprise. Sources : 8,7,16,7]
Pour remplir cet objectif, la procédure d’évaluation de l’impact sur la protection des données doit présenter les caractéristiques suivantes : Bien que le processus d’évaluation de l’impact sur la protection des données (EIPD) et ses composantes soient essentiels à chaque programme de protection de la vie privée, chacun joue un rôle distinct dans votre organisation. Sources : 3,11]
Par exemple, l’introduction d’une évaluation des facteurs relatifs à la vie privée (PIA) par l’Information Commissioner’s Office (ICO) est une excellente approche. Pour déterminer si une PIA est nécessaire, il est utile de remplir la feuille de travail pour l’analyse préliminaire de la protection des données qui est également jointe. Une fois que vous avez compilé vos données pour l’aPIA (Privacy Impact Assessment), vous souhaitez présenter votre rapport. Sources : 6,4,10]
Une fois que vous avez cartographié votre flux de données PII, vous pouvez visualiser les étapes de sécurité de ce processus, comme vous le faites avec une PIA (Privacy Impact Assessment), afin d’identifier les zones où des vulnérabilités existent. Une fois que les risques liés aux données et à la vie privée ont été identifiés dans votre analyse d’impact sur la vie privée, vous pouvez intégrer les solutions d’atténuation des risques recommandées. Sources : 10,10]
Une analyse d’impact sur la vie privée (PIA) est une analyse détaillée de la manière dont les données personnelles (PII) sont collectées, utilisées, partagées et conservées. Elle examine comment les données personnelles sont protégées, qui les utilise, quel contrôle les personnes concernées peuvent avoir sur leurs données et quel est l’impact sur la vie privée et la sécurité. Les mesures recommandées par un certain nombre de sources pertinentes sont une évaluation de l’impact sur la vie privée, une évaluation de la protection des données. Sources : 0,12,10]
Par exemple, la loi sur l’administration en ligne de 2002 exige que toutes les agences fédérales américaines procèdent à une évaluation des incidences sur la vie privée (PIA). Il exige qu’elle soit mise en œuvre pour tous les projets présentant un risque élevé en matière de protection des données, mais pas pour les projets qui relèvent de la compétence du gouvernement fédéral. Sources : 10,2]
Les évaluations d’impact sur la protection des données peuvent être utilisées pour identifier et atténuer la protection des données – les risques associés qui découlent des nouveaux projets et peuvent affecter les organisations et les personnes avec lesquelles elles entrent en contact. Les évaluations d’impact sur la vie privée exigent que les informations personnellement identifiables soient protégées et que les organisations identifient des tactiques d’atténuation des risques. Les institutions gouvernementales sont également tenues d’expliquer aux citoyens pourquoi leurs informations personnelles sont collectées, comment elles sont utilisées, divulguées et comment les conséquences sur la vie privée seront résolues. Sources : 16,10,9]
Sources :
- [0] : https://www.sciencedirect.com/topics/computer-science/privacy-impact-assessment
- 1] : https://infopulse-scm.com/blog/blog-pia-or-dpia/
- 2] : https://www.oaic.gov.au/privacy/guidance-and-advice/when-do-agencies-need-to-conduct-a-privacy-impact-assessment/
- [3] : https://hitachi-systems-security.com/why-data-privacy-is-critical-for-your-business-part-i/
- [4] : https://taskroom.sp.saskatchewan.ca/how-do-i/protect-privacy/privacy-impact-assessment
- [5] : https://en.wikipedia.org/wiki/Privacy_Impact_Assessment
- [6] : https://resources.infosecinstitute.com/topic/how-to-conduct-a-data-privacy-impact-assessment-in-2018/
- [7] : https://www.clarip.com/data-privacy/privacy-risk-assessment/
- [8] : https://www2.gov.bc.ca/gov/content/governments/services-for-government/information-management-technology/privacy/privacy-impact-assessments
- [9] : http://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments
- [10] : https://www.airiodion.com/privacy-impact-assessment/
- [11] : https://privacy.org.au/policies/pia/
- [12] : https://www.dataversity.net/privacy-impact-assessments/
- [13] : https://www.hhs.gov/web/governance/digital-strategy/it-policy-archive/policy-for-privacy-impact-assessments.html
- [14] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments/
- [15] : https://gdpr-info.eu/issues/privacy-impact-assessment/
- [16] : https://cacm.acm.org/magazines/2011/8/114936-should-privacy-impact-assessments-be-mandatory