Analyse d’impact protection des données personnelles et audit RGPD, quels différences, quels objectifs …
Objectifs et différences : analyse d’impact protection des données personnelles et audits RGPD
Selon les recommandations de la CNIL, une fois que le délégué à la protection des données a été désigné, l’étape suivante est de cartographier les traitements de données personnelles. Ensuite, il convient de gérer les risques potentiels via la conduite d’analyse d’impact relative à la protection des données – AIPD, pour les traitements ayant été identifiés à risques pour les droits et libertés des personnes concernées. Et beaucoup s’interroge sur la différence entre un audit de conformité RGPD et une AIPD. A travers cet article, nous allons vous expliquer la différence entre les deux sujets et surtout leurs objectifs respectifs.
Les objectifs d’un audit de conformité RGPD ?
Dans une démarche de mise en conformité, le délégué à la protection des données réalise un audit de conformité RGPD. Cela consiste à faire le tour des services afin d’évaluer les actions à mettre en place conformément aux exigences du RGPD. Lors de ce tour des services, le DPO / DPD est amené à rencontrer les différents acteurs en interne. Il pourra ainsi mieux appréhender leur quotidien professionnel.
De cet échange, il en ressort généralement avec une liste des traitements (la cartographie) réalisés dans chacun des services ; les prémices pour rédiger le fameux registre des traitements. Ensuite, le DPO / DPD récupère les documents et formulaires utilisés pour …
- recueillir des données personnelles ;
- recueillir les contrats signés avec les sous-traitants – sous-traitants au sens du RGPD ;
- Identifie les mesures de sécurité en place – techniques et organisationnelles.
Enfin, il conçoit un plan d’actions pour identifier et prioriser les actions à mettre en place, pour se conformer aux obligations du RGPD et de la loi Informatique et Libertés. Effectivement, les priorités sont définies au regard des risques qui pèsent sur les droits et les libertés des personnes.
En résumé, un audit de conformité RGPD permet de faire un état des lieux de l’existant afin de recenser les actions déjà conformes à la réglementation vigueur et celles nécessitant une mise à jour. Parmi les mises à jour identifiées, une analyse d’impact relative à la protection des données – AIPD est quelques fois nécessaire.
Les objectifs d’une analyse d’impact relative à la protection des données – AIPD ?
Pour les traitements présentant des risques élevés, et qui ont été identifiés lors de l’audit RGPD, il est important de s’interroger sur l’utilité de réaliser ou non une AIPD. Afin de clarifier certains traitements courants, la CNIL a publié une liste des traitements nécessitant la réalisation d’une AIPD et la liste des traitements dont la réalisation d’une AIPD n’est pas requise. Les traitements les plus couramment concernés par la conduite d’une AIPD concerne soit un public vulnérable – personnes âgées, mineurs, salariés … soit des données sensibles – santé, appartenance religieuse, données judiciaires …
Cependant, même pour les traitements figurant sur la 2ème liste – AIPD non requise ; nous recommandons vivement de faire à minima une analyse des risques. En effet, une analyse des risques est réalisée en amont de la conduite d’une AIPD ; la raison est que la conclusion d’une analyse des risques peut conduire à la décision qu’une AIPD n’est pas nécessaire. Contrairement à une analyse des risques, la conduite d’une AIPD permet de :
- Délimiter et décrire le contexte du traitement
- Analyser et identifier les mesures garantissant le respect des principes fondamentaux
- Apprécier les risques sur la vie privée
- Valider (ou non) le traitement, et ainsi autoriser la continuité du traitement
Les conclusions d’une AIPD se basent le niveau gravité et de vraisemblance du risque encourus, au regard des 9 critères issus des lignes directrices du G29. La validation d’une AIPD vient corréler des risques potentiels avec des mesures spécifiques pour garantir la protection des données personnelles.
Mais quand doit-on réaliser une analyse d’impact – AIPD ? La CNIL recommande de réaliser une AIPD avant la mise en œuvre du traitement. Cependant, dans la plupart des situations, le traitement est déjà en place, et l’AIPD est donc réalisée à posteriori. Néanmoins, il est nécessaire de revoir une AIPD de façon régulière. Le traitement peut en effet évoluer en termes d’environnement technique et organisationnel.
En conclusion …
En résumé, un audit de conformité RGPD conduit très souvent à la nécessité de réaliser une analyse d’impact – AIPD sur certains traitements ayant été identifiés à risques pour la vie privée. L’un ne va pas sans l’autre. Mais il est préférable de commencer par un audit de conformité RGPD. Ce-dernier permet d‘avoir une vision globale de la structure et des traitements nécessitant l’utilisation de données à caractère personnel. Ensuite, dans un second temps, la réalisation d’une analyse d’impact – AIPD permet de valider un traitement en ayant identifié les risques potentiels sur la vie privé et en ayant mis en place des actions garantissant la protection des données personnelles.