Le Règlement général sur la protection des données (RGPD), introduit par l’Union européenne, est entré en vigueur le 25 mai 2018. Avec l’introduction du RGPD, les organisations doivent changer nombre de leurs processus existants et en introduire de nouveaux afin de protéger les données à caractère personnel. L’un de ces nouveaux processus sera obligatoire. Il s’agit des analyses d’impact relatives à la protection des données (AIPD).

Nous avons récemment mis en ligne un webinaire à la demande, Étapes pratiques pour la mise en conformité au RGPD, qui porte sur un plan global en 16 étapes de mise en œuvre d’un programme de gouvernance des données en vue d’assurer la conformité au RGPD.

La conduite d’analyses d’impact relatives à la protection des données constitue l’Étape 8 de ce plan. Pour en savoir plus sur les sept premières étapes, consultez les liens dans la barre latérale.

Télécharger Comment conduire des analyses d’impact relatives à la protection des données [Étape 8 du RGPD] maintenant
En savoir plus

Quand faut-il conduire une analyse d’impact relative à la protection des données ?

L’Article 35 du RGPD concerne les analyses d’impact relatives à la protection des données (AIPD).

L’AIPD est une analyse visant à déterminer si la modification d’un système existant ou l’introduction d’un nouveau système peut compromettre d’une quelconque manière la confidentialité des données à caractère personnel d’une personne. Le RGPD impose une AIPD lorsqu’un traitement de données présente un risque élevé vis-à-vis des droits et libertés des personnes concernées.

Le RGPD l’exige plus particulièrement dans les trois cas suivants :

  1. Quand une organisation mène une évaluation systématique et approfondie des données à caractère personnel via un processus automatisé comme le profilage, et que les décisions qui en découlent ont des conséquences juridiques pour les personnes concernées. Par exemple, une entreprise peut profiler les données relatives aux médias sociaux de clients pour comprendre leurs préférences d’achat ou leurs orientations politiques.
  2. Quand une organisation traite des catégories spécifiques de données comme la race, l’origine ethnique ou des données à caractère personnel comme le casier judiciaire. Par exemple, si une banque d’investissement est légalement contrainte de traiter des informations personnelles dans le cadre de la lutte contre le blanchiment ou de détecter des transactions frauduleuses, une AIPD peut l’aider à identifier un risque pour la personne concernée.
  3. Quand une entreprise effectue une surveillance à grande échelle et systématique d’un espace public.

Par exemple, un détaillant peut décider d’utiliser un logiciel de reconnaissance faciale dans des kiosques de centre commercial. Ce logiciel peut servir à personnaliser les publicités en fonction du sexe et de la tranche d’âge du visiteur. Une AIPD peut obliger le détaillant à supprimer toute information dans un laps de temps donné après l’affichage de la publicité et à ne pas associer ces données à des profils de réseaux sociaux.

Quand effectuer une analyse d’impact relative à la protection des données ?

La gouvernance des données doit établir des contrôles, afin que les AIPD respectent les directives du RGPD. L’équipe de gouvernance, en collaboration avec le service juridique et le service de conformité, doit identifier et documenter les opérations de traitement qui pourraient mettre en danger les données.

Après avoir identifié les opérations de traitement qui pourraient mettre en danger la sécurité des données, l’AIPD doit être menée avant de procéder au traitement. Le résultat de l’évaluation doit déterminer la stratégie et les contrôles à adopter en matière de traitement pour préserver la confidentialité des personnes concernées. Encore une fois, cette stratégie doit être le fruit d’un travail d’équipe et impliquer par exemple les équipes informatique, de gouvernance, juridique, de conformité, des finances, etc.

Enfin, les entreprises doivent garantir que les résultats de l’AIDP sont intégrés dans des systèmes et processus sous forme de solutions de protection des données.

Utiliser Talend pour les analyses d’impact relatives à la protection des données

Talend Data Quality et Talend Metadata Manager peuvent capturer, découvrir et profiler de nouveaux ensembles de données et la sémantique correspondante d’une manière hautement automatisée, puis appliquer ces règles de contrôle à grande échelle. Dès lors, ces outils peuvent jouer un rôle actif dans une analyse d’impact relative à la protection des données pour n’importe quel système d’information.

Imaginons, par exemple, qu’une entreprise souhaite réaliser une analyse d’impact relative à la protection des données sur son lac de données qui ingère de grandes quantités de données provenant d’appareils connectés. Talend Data Quality peut prendre en charge l’AIDP en identifiant des informations personnelles dans l’ensemble de données, qui seront alors masquées avant d’être ingérées dans le lac de données.

Étapes suivantes de l’analyse d’impact

L’analyse d’impact relative à la protection des données peut sembler être un élément purement juridique, mais c’est bien plus que ça : elle consiste à profiler les données pour déterminer si elles représentent un risque et à adopter des mesures d’atténuation. Dans le doute, les entreprises peuvent consulter leur responsable de la protection des données (RPD) pour mener l’évaluation.

L’étape suivante du plan global en 16 étapes de Talend en vue d’assurer la conformité au RGPD consiste à mener des évaluations du risque lié au prestataire.

Pour en savoir davantage à ce sujet et consulter l’ensemble des 16 étapes, ne manquez pas le webinaire à la demande, Étapes pratiques pour la mise en conformité au RGPD. Cette vidéo donne des informations sur le développement de normes et de contrôles, l’identification des propriétaires de données, l’identification d’éléments de données critiques, le lignage des données et bien d’autres sujets encore.