Gérer les risques en réalisant une analyse d’impact

Comme le moule qu’il faut beurrer, cette étape nécessite patience et minutie si l’on souhaite qu’en fin de parcours cette mise en conformité soit la meilleure possible. L’analyse d’impact (aussi couramment connue sous l’acronyme PIA) vise à évaluer la probabilité et la gravité du risque afin de déterminer, à partir du résultat de cette dernière, les mesures appropriées à prendre. En résumé, son but est d’assurer la conformité aux règles et à pouvoir en apporter la preuve.

Cette étude contient :

La description systématique du traitement envisagé, sa finalité (voir paragraphe 1 ci-dessous)

L’étude des mesures existantes ou prévues, d’une part pour respecter les exigences légales et d’autre part, pour traiter les risques sur la vie privée (voir paragraphe 2 ci-dessous)

L’évaluation des risques pour les droits et les libertés des personnes concernées (voir paragraphe 3 ci-dessous)

Les mesures envisagées pour remédier aux risques (voir paragraphe 4 ci-dessous)

1. Le contexte

Il convient de décrire les traitements considérés, les responsabilités liées aux traitements ainsi que les supports des traitements.

Voici ci-dessous quelques exemples de catégories :
DCP courantes : Etat civil, identité, vie personnelle (habitudes de vie, situation familiale …), revenus, données de connexion, données de localisation, etc…

DCP sensibles : Numéro de sécurité sociale, opinions religieuses, orientation/pratique sexuelle, données de santé, origine raciale, infractions, condamnations, etc…

Il faut savoir que les supports de DCP sont les composants du système d’information sur lesquels reposent les données.

Ils peuvent être :
Le système informatique : Matériel (PC, clés USB), Logiciels (Systèmes d’exploitation, messagerie, base de données, applications métier), Canaux informatiques (Câbles, Wifi …)

L’organisation : Personnes (utilisateurs), Supports papier (Impressions, photocopies etc…), Canaux de transmission papier (envoi postal …)

Vous l’aurez sans doute remarqué, bon nombre des informations demandées à ce stade reprennent des éléments que vous avez déjà dû analyser pour construire le registre des traitements. Il est donc tout à fait possible de repartir de ce document pour reprendre les points en commun.

2. L’étude des mesures

Il convient de présenter les mesures existantes ou prévues pour respecter les exigences légales ainsi que les mesures destinées à traiter les risques.

Il existe des mesures :
De nature juridique => Comment obtenez-vous le consentement des personnes concernées ?

Organisationnelles => Comment gérez-vous votre supervision ? (Audits, tableaux de bord …)

De sécurité logique => Comment sont gérés les postes de travail ?

De sécurité physique => Comment sont sécurisés les documents papier en agence ?

3. L’étude des risques

Pour une meilleure identification et analyse, il convient de décomposer le risque en deux parties :
D’un côté on évalue ce que l’on craint sur les traitements (perte, divulgation …) et le niveau de gravité de ces évènements

De l’autre on évalue les menaces et leur source ciblant les supports des traitements et pouvant mener aux évènements redoutés

Les sources de risque sont multiples : Elles peuvent être humaines internes (les salariés, les stagiaires …) agissant accidentellement ou de manière délibérée – humaines externes (Les prestataires, les anciens employés, les concurrents, les clients …) agissant accidentellement ou de manière délibérée – Ou alors non humaines (virus, catastrophes naturelles, …) internes et/ou externes.

A partir de là, quels sont les événements redoutés ?
L’accès illégitime aux DCP avec, par exemple, l’exploitation de ces dernières à d’autres fins que celles prévues (fins commerciales, usurpation d’identité …)

La modification non désirée des DCP dans un objectif d’exploitation (changement de la relation entre l’identité des personnes et les données biométriques d’autres personnes …)

La disparition des DCP avec pour conséquence un blocage (impossibilité de fournir des soins du fait de la disparition de dossiers médicaux …)

4. La décision

Cela consiste à valider le choix des mesures existantes et prévues permettant de traiter les risques. Cela sous-entend que si les mesures ne sont pas suffisantes, un plan d’actions est alors défini pour en proposer des nouvelles. L’analyse est alors révisée pour prendre en compte ces nouveaux paramètres, et ce, jusqu’à ce que les niveaux de risques permettent de prendre la décision de les accepter.

Comme pour toutes les étapes importantes du RGPD, la CNIL met à disposition une section de son site avec des documents d’aide pour vous accompagner dans cette étape.
Nous vous conseillons également d’utiliser le logiciel fourni par la CNIL pour réaliser votre étude d’impact, avec 2 avantages : d’une part, vous aurez une liste exhaustive et organisée des éléments demandés, et d’autre part, cela sera beaucoup plus facile à transmettre à la CNIL en cas de contrôle.

Toujours avec nous ? Allez résistez, le plus dur est fait… plus que quelques étapes avant de pouvoir déguster !