Pour aider les responsables de traitement de données personnelles à se conformer au RGPD, l’outil d’analyse d’impact PIA (privacy impact assessment) est proposé par la CNIL. Mis à disposition des utilisateurs il y a un an, une mise à jour vient d’être proposée.
Cette version 2.0 inclut une nouvelle fonctionnalité qui permet à l’utilisateur de créer des modèles d’analyse d’impact relative à la protection des données. En d’autres termes, cela permet de créer un modèle d’analyse qui soit adapté à une activité donnée. Ainsi, la CNIL indique qu’un modèle adapté aux objets connectés existe d’ores-et-déjà.
Cette mise à jour dans le cadre de la conformité au RGPD s’accompagne de corrections de différents bugs remontés par les utilisateurs. Surtout, un Github (moyen de partager en ligne les contributions des différents utilisateurs) dédié a été créé et une page wiki devrait également bientôt voir le jour.
L’analyse d’impact RGPD peut être obligatoire
Le Règlement européen précise à son article 35 que l’analyse d’impact sur un traitement de données personnelles est obligatoire est obligatoire si celui-ci « est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». L’article donne par ailleurs une série d’exemples des types de traitements concernés comme le traitement à grande échelle de données sensibles (telles que les données de santé), ou la surveillance systématique à grande échelle d’une zone publique. Cette analyse d’impact doit être faite avant la mise en oeuvre du traitement.
La CNIL est supposée faire la liste des traitements pour lesquelles l’analyse d’impact est obligatoire. A l’heure actuelle, aucune information sur cette liste n’a filtré.
