Le PIA est la prochaine échéance juridique importante dans l’application du RGPD.

 

Cette nouvelle étape intervient après celle précédemment fixée au 1er avril 2021 concernant les cookies.

 

Je constate chaque jour que nombre d’entreprises, d’associations et d’établissements publics ne s’en sont pas préoccupés, par méconnaissance pour la plupart, volontairement parfois, ou encore du fait des difficultés dans l’application des textes.

 

Depuis le 25 mai 2018 et la fin de l’obligation de déclaration des traitements à la CNIL, il appartient aux responsables de traitement de se conformer au RGPD et de documenter avec rigueur leur conformité.

 

Parmi la documentation obligatoire, nous trouvons le PIA, analyse d’impact relative à la protection des données.

 

Avec l’entrée en vigueur du RGPD, c’est un délai de trois ans qui a été accordé à toutes les structures pour se mettre en conformité et réaliser jusqu’à leur terme leur(s) PIA, lequel arrive à échéance le 24 mai 2021 à minuit. De son côté, la CNIL avait prévenu que ceux qui le dépasseront seront en infraction avec le RGPD.

 

Pour rappel, ce délai accordé concernait les traitements en cours soumis à PIA avant l’entrée en vigueur du RGPD. Concernant les traitements qui sont intervenus après l’entrée en vigueur du RGPD, la réalisation du PIA est obligatoire avant la mise en oeuvre du nouveau traitement.

 

Personne ne pourra donc se prévaloir de ne pas être au courant ou de ne pas avoir eu le temps d’agir, et à compter du 25 mai 2021, tous ceux qui doivent mettre en œuvre des PIA devront pouvoir en justifier en cas de contrôle Cnil.

 

Qu’est-ce qu’un PIA ?

 

Pour savoir ce qu’est un PIA, il faut comprendre que son objectif est de démontrer qu’un traitement est totalement conforme au RGPD. Pour le mener à bien, il convient de se reporter au règlement européen, lequel liste le contenu de l’analyse d’impact.

Sur ce point, je vous partage les propos de Me Barbry qui écrivait récemment que « contrairement à ce que vendent les consultants en sécurité, avec tout le respect que je leur dois pour travailler avec nombre d’entre eux, un PIA n’est pas un audit de sécurité ».

 

C’est ainsi qu’à la lecture du RGPD, le PIA doit contenir à minima :

a) une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement ;

b) une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;

c) une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1 ; et

d) les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

 

Bien que le PIA comporte une partie relative à la sécurité, cette dernière n’en constitue pas l’essentiel car il se doit de traiter avec rigueur l’ensemble des questions qui sont :

 

  • Quel type de données est traité ?
  • Quelles sont les finalités du traitement ?
  • Qu’en est-il du principe de minimisation ?
  • Quel est le fondement juridique du traitement ?
  • Pour quelle durée ?
  • Qu’en est-il des droits des personnes ? etc.

 

La question qui tue : suis-je soumis à un PIA ?

 

Afin de savoir si vous êtes soumis à la réalisation d’un PIA pour un ou plusieurs traitements, vous devez procéder à 3 vérifications.

Tout d’abord, conformément aux dispositions de l’article 35 du RGPD, l’analyse d’impact est requise dans les cas suivants :

 

  • Art 35 3. a) évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
  • Art 35 3. b) traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ; ou
  • Art 35 3. c) surveillance systématique à grande échelle d’une zone accessible au public.

 

Poursuivons les investigations !

 

Si vous n’entrez pas dans le champ d’application de l’article 35, il convient de vérifier que vous n’êtes pas sur la liste établie par la CNIL.

 

Dans cette liste nous trouvons notamment :

 

  • Les traitements des établissements de santé ;
  • Les traitements des établissements médico-sociaux ;
  • L’instruction des demandes et gestion des logement sociaux ;
  • De nombreuses activités des services des ressources humaines ;
  • Etc…

 

Enfin, si vous avez la chance de ne pas faire partie de cette liste éditée par la CNIL, soyez rassuré, il vous reste encore une ultime vérification à faire.

 

Vous devrez alors vous demander si votre traitement met en œuvre au moins 2 des 9 critères suivants définis par le CEPD :

  • Est-ce que le traitement permet de réaliser des évaluations/scoring (y compris des profilages) ?
  • Y-a-t-il une prise de décision automatique avec effet légal ou similaire ?
  • Y-a-t-il une surveillance systématique ?
  • Y-a-t-il collecte de données sensibles ou données à caractère hautement personnel ?
  • Y-a-t-il collecte de données personnelles à large échelle ?
  • Y-a-t-il croisement de données ?
  • Le traitement concerne-t-il des personnes vulnérables (patients, personnes âgées, enfants, etc.) ?
  • Le traitement permet-il un usage innovant, c’est-à-dire l’utilisation d’une nouvelle technologie ?
  • Le traitement peut-il permettre l’exclusion du bénéfice d’un droit/contrat ?

 

Bon, je ne voudrais pas être désagréable, mais sachez que la CNIL classe les « employés », qu’ils relèvent du secteur privé ou du secteur public, parmi les personnes vulnérables…

 

Chacun comprendra aisément que le secteur des ressources humaines est clairement identifié, que vous disposiez ou non d’un service dédié…

 

Pour les retardataires, il est plus que temps de se mettre au travail !

Des solutions de conformité RGPD adaptées aux besoins de chacun

Ils nous font confiance :

Rejoignez-nous aussi sur facebook et sur LinkedIn

La SARL HELIOS CONSEILS ne procède à aucun dépôt de cookie sur votre ordinateur lors de votre navigation sur le présent site internet.