Cet article décrit le workflow d’un PIA, de la rédaction à la validation, en passant par l’évaluation. Il recense aussi les permissions nécessaires à chaque phase du PIA, ainsi que les fonctions import/export.
Lorsqu'un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, il est nécessaire de réaliser un AIPD (Analyse d’Impact relative à la Protection des Données), aussi appelé PIA (Privacy Impact Assessment).
Dans le PIA du logiciel RGPD vous retrouverez toutes les fonctionnalités disponibles dans l’outil PIA de la CNIL. Vous aurez également la possibilité de travailler de manière collaborative entre rédacteur(s), évaluateur(s) et validateur(s).
Visionner le webinaire Le PIA sur Data Legal Drive.
Veuillez noter que certaines fonctionnalités ont évolué depuis l’enregistrement du webinaire. Les informations textuelles dans cet article sont plus récentes.
Table des matières
Permissions
Le tableau suivant contient la liste des permissions nécessaires pour travailler sur chaque aspect d’un PIA.
PERMISSION |
DESCRIPTION |
---|---|
Accès page PIA |
Permet de visualiser la liste des PIA existants. |
Créer des PIA |
Permet de créer un nouveau PIA, ce qui consiste à lui donner un nom, à sélectionner un ou plusieurs rédacteurs, évaluateurs et validateurs, et éventuellement à l’associer à un ou plusieurs traitements. |
Dupliquer des PIA |
Permet de dupliquer des PIA vers la même entité ou vers d'autres entités. |
Editer des PIA |
Permet de créer et d'éditer des PIA. |
Consulter des PIA |
Permet d’accéder aux PIA en lecture seule. |
Rédiger des PIA |
Nécessaire pour être un rédacteur. Les rédacteurs sont souvent les personnes responsables de la mise en place effective du traitement. |
Evaluer des PIA |
Nécessaire pour être un évaluateur. Les évaluateurs font souvent partie de l'équipe informatique, mais ils peuvent être toute autre personne qualifiée à évaluer les mesures de sécurité. Ils peuvent aussi être le DPO. |
Valider le traitement |
Nécessaire pour être un validateur. Les validateurs sont souvent les directeurs des services responsables de la mise en place du traitement. |
Supprimer PIA |
Permet de supprimer un PIA. |
Créer un PIA
Il est possible de créer un PIA avant ou après le traitement associé. Nous allons regarder les différences entre ces deux approches.
Créer un PIA avant un traitement
Il s’agit de créer un PIA afin d'évaluer un traitement qui est encore à l'état d'étude. Le PIA servira alors à vous guider dans la conception de votre traitement et à assurer que ce dernier sera conforme au RGPD. Il se peut que suite au PIA vous serez amené à modifier le projet du traitement, ou même à décider à ne pas l’implémenter. En tous les cas, le but du PIA sera de s’assurer que le traitement est bien conforme au RGPD.
Pour créer un PIA avant le traitement :
-
Dans la barre latérale, cliquez sur Analyses d’impact > Ajouter une analyse d’impact.
- Dans la boîte de dialogue Ajouter une analyse d’impact, saisissez les informations obligatoires :
- Donnez un Nom au PIA.
- Sélectionnez une personne pour la Rédaction, l’Évaluation et la Validation. Elles peuvent être la même personne ou des personnes différentes. Vous pouvez sélectionner plusieurs personnes pour chaque catégorie.
- Cliquez sur le bouton Ajouter le PIA.
Remarque : Vous pouvez modifier les acteurs du PIA jusqu'à sa validation via le bouton Détails.
Le PIA est ajouté à liste avec comme statut En cours de rédaction. Le rédacteur est notifié qu’il peut commencer à le compléter.
Associer le PIA à un traitement
Vous pouvez associer le PIA à un ou plusieurs traitements à n’importe quel moment, peu importe le statut du PIA ou du traitement.
Pour associer un PIA à un traitement :
-
Dans la barre latérale, cliquez sur Analyses d’impact.
-
Sur la page Analyse d’impact, cliquez sur le nom du PIA pour l’ouvrir.
-
En haut à droite, cliquez sur le bouton Détails.
-
Dans le champ Traitements associés, sélectionnez le traitement souhaité.
Créer un PIA après un traitement
Il est possible de commencer par créer un traitement et de réaliser le PIA ensuite. L’avantage de cette approche réside dans le fait que certains champs du PIA sont remplis automatiquement avec les informations récupérées dans le traitement.
Récupéré par le PIA… |
…à partir de cette rubrique du traitement |
|
Contexte |
|
|
Vue d’ensemble |
Quel est le traitement qui fait l'objet de l'étude ? |
Nom du traitement |
Quelles sont les responsabilités liées au traitement ? |
Rubrique Identification :
|
|
Données, processus et supports |
Quelles sont les données traitées ? |
Rubrique Données > Catégories |
Comment le cycle de vie des données se déroule-t-il ? |
Rubrique Données > Paramètres de conservation |
|
Principes fondamentaux |
|
|
Proportionnalité et nécessité |
Les finalités du traitement sont-elles déterminées, explicites et légitimes ? |
Rubrique Finalités > Finalité(s) du traitement |
Quel(s) est(sont) les fondement(s) qui rend(ent) votre traitement licite ? |
Rubrique Finalités > Licéité du traitement |
|
Quelle est la durée de conservation des données ? |
Rubrique Données > Paramètres de conservation |
|
Mesures protectrices des droits |
En cas de transfert de données en dehors de l'Union européenne, les données sont-elles protégées de manière équivalente ? |
Rubrique Flux transfrontaliers > Destinataires + Garantie juridique |
Risques |
|
|
Mesures existantes ou prévues |
Cette partie vous permet de recenser les mesures (existantes ou prévues) contribuant à la sécurité des données (les mesures de sécurité sont récupérées, elles doivent ensuite être décrites). |
Rubrique Mesures de sécurité > Toutes les mesures de sécurité (bâtiments, matériels et logiciels) |
Pour créer un PIA après un traitement :
-
Dans la barre latérale, cliquez sur Traitements, recherchez le traitement et ouvrez-le.
-
Dans le menu du traitement, cliquez sur Analyses d’impact.
- A la question L’entité a-t-elle réfléchi à la nécessité de faire une analyse d’impact ? cochez Oui.
- Selon votre situation, répondez à la question résultante L'entité a-t-elle mené une analyse d'impact ?
Pour que le traitement d’un Responsable de traitement soit conforme à l’Article 30, vous devez répondre aux deux questions ci-dessous de la façon suivante :
-
Oui à la question à la question L’entité a-t-elle réfléchi à la nécessité de faire une analyse d’impact ?
-
Oui ou Non applicable à la question L'entité a-t-elle mené une analyse d'impact ?
5. Défilez vers le bas de la page et sélectionnez les critères qui s’appliquent au traitement (ces critères sont basés sur le Groupe de Travail “Article 29”). Si vous sélectionnez deux critères ou plus, il est nécessaire de réaliser un PIA.
6. Pour créer le PIA, cliquez sur le bouton Ajouter une analyse d’impact.
7. Dans la boîte de dialogue Ajouter une analyse d’impact, saisissez les informations obligatoires :
-
-
Donnez un Nom au PIA
- Sélectionnez une personne pour la Rédaction, l’Évaluation et la Validation. Elles peuvent être la même personne ou des personnes différentes. Vous pouvez sélectionner plusieurs personnes pour chaque catégorie.
-
Le traitement associé est sélectionné par défaut.
-
Remarque : Vous pouvez associer un PIA à plusieurs traitements. Cependant, le PIA généré contiendra uniquement les informations récupérées du traitement sélectionné par défaut, c’est-à-dire le traitement actuel.
8. Cliquez sur le bouton Ajouter un PIA.
Le PIA s’ouvre et possède le statut En cours de rédaction. Le rédacteur est notifié qu’il peut commencer à le compléter.
Workflow
Un PIA passe à travers un certain nombre de phases, ou statuts, de la création jusqu’au moment de la validation, ou du refus.
A chaque changement de statut d’un PIA, la personne appelée à travailler dessus (rédacteur, évaluateur, validateur) reçoit une notification.
Le tableau suivant résume les conditions à remplir pour chaque changement de statut.
Statut actuel |
Conditions pour changement de statut |
Nouveau statut |
---|---|---|
En cours de rédaction |
Répondre à toutes les questions. |
En cours d'évaluation |
En cours d'évaluation |
Toutes les questions ont été évaluées Acceptable ou Améliorable. |
En cours de validation |
Au moins 1 question a été évaluée À corriger. |
Retour à “En cours de rédaction” |
|
En cours de validation |
Compléter la rubrique Avis du DPD et des personnes concernées. |
En cours de confirmation |
En cours de confirmation |
Confirmer les 4 affirmations de la rubrique Valider le PIA. |
Validé |
Rédiger un PIA
Lors de la création d’un PIA, son statut est En cours de rédaction. Il peut être complété par le(s) rédacteur(s).
Pour rédiger un PIA :
-
Dans la barre latérale, cliquez sur Analyses d’impact.
-
Dans la liste des analyses d’impact, cliquez sur le nom d’un PIA pour l’ouvrir.
3. Sélectionnez une des rubriques et répondez aux questions, dans l’ordre de votre choix. Il n’est pas nécessaire de répondre à toutes les questions d'une rubrique pour passer à un autre.
Remarque : Pour chaque rubrique, un compteur indique le nombre total de questions et le nombre de questions complétées. Par exemple, 2/3 indique que vous avez répondu à 2 des 3 questions. Lorsque vous avez répondu à toutes les questions, une coche verte s’affiche.
Si le compteur ne se rafraichit pas, après avoir fait une saisie, cliquez en dehors du champ. Si les informations ont été récupérées à partir d'un traitement, cliquez dans le champ, puis en dehors.
4. Vous pouvez aussi :
-
Cliquer sur Commentaire(s), ajouter un commentaire et cliquer sur le bouton Ajouter un commentaire. Il est possible d’ajouter plusieurs commentaires.
-
Cliquer sur l’onglet Documents afin d’ajouter des documents justificatifs
-
Cliquez sur la rubrique Vue d’ensemble des risques pour obtenir une vision des risques sous forme graphique.
5. Lorsque vous avez répondu à toutes les questions, le bouton Demander une évaluation devient actif (rouge). Cliquez sur le bouton pour terminer la phase de rédaction et notifier l'évaluateur.
Le statut du PIA passe à En cours d'évaluation. Le rédacteur ne peut plus y apporter de modifications.
Evaluer un PIA
Lorsque le statut d’un PIA passe à En cours d'évaluation, il peut être pris en charge par l'évaluateur.
Un évaluateur ne peut pas modifier les réponses d’un rédacteur. Il peut uniquement les évaluer à l’aide des boutons d'évaluation qui se trouvent soit à la fin de chaque question, soit à la fin de la rubrique.
Pour évaluer un PIA :
-
Passez chaque réponse en revue and sélectionnez l’une des trois cases d’Évaluation.
-
Acceptable : Les données sont suffisamment protégées.
-
Améliorable : Des mesures supplémentaires sont souhaitables pour améliorer la protection des données. Vous devez décrire le plan d’action ou les mesures correctives à apporter dans le champ de texte en-dessous.
-
À corriger : Les informations saisies sont insuffisantes pour assurer la protection des données. Vous devez alors expliquer les modifications demandées dans le champ Commentaire d'évaluation.
Attention : Pour valider une évaluation, les réponses évaluée comme Améliorable ou A corriger doivent être accompagnées d'un plan d’action ou des mesures correctives. Lorsque vous avez terminé l'évaluation, chaque rubrique devrait avoir une coche verte.
2. Après avoir évalué chaque réponse, cliquez sur le bouton Valider l'évaluation.
Remarques :
-
Si toutes les évaluations sont Acceptable ou Améliorable, le PIA passe en statut En cours de validation. Le validateur reçoit une notification.
-
S’il y a au moins une évaluation À corriger, le PIA repasse en statut En cours de rédaction. Le rédacteur est notifié que des modifications sont nécessaires.
Corriger un PIA
S’il y a au moins une évaluation À corriger, le PIA repasse en statut En cours de rédaction et le rédacteur reçoit une notification. Ainsi commence le cycle de correction.
-
Ouvrez le PIA.
-
Effectuez les modifications demandées par l'évaluateur dans chaque rubrique. Si nécessaire, vous pouvez apporter des modifications aux réponses évaluées Améliorable.
A la modification d'une réponse, le bouton d'évaluation correspondant se désactive. - Après avoir saisi les modifications, cliquez sur le bouton Demander une évaluation.
Le statut du PIA passe en En cours d'évaluation et l'évaluateur reçoit une notification.
Remarque : Pendant le cycle de correction, le rédacteur peut demander une évaluation sans avoir traité tous les points évoqués par l'évaluateur. Le bouton Demander une évaluation est actif en permanence.
4. L’Evaluateur passe en revue les modifications effectuées par les rédacteurs. S’il les trouve satisfaisants, il clique le bouton Acceptable de chaque question ou rubrique.
-
Les modifications apportées par le rédacteur sont matérialisées à côté du nom de chaque rubrique par un compteur rouge.
-
Pour obtenir une vue d'ensemble des rubriques à évaluer, l'évaluateur peut cliquer sur la section Plan d’action.
Remarque : Si l'évaluateur considère que les modifications ne sont toujours pas satisfaisantes, il peut remettre son évaluation initiale en expliquant ses raisons. Le PIA fera des allers-retours entre le rédacteur et l'évaluateur jusqu'à ce que toutes les réponses reçoivent une évaluation soit Acceptable, soit Améliorable.
5. L'évaluateur clique sur le bouton Valider l'évaluation. Le statut du PIA passe en En cours de validation et le validateur reçoit une notification.
Valider un PIA
Lorsque le statut d’un PIA passe en En cours de validation, le validateur doit valider les réponse saisies par le rédacteur et évaluées par l'évaluateur. Un validateur ne peut pas modifier les réponses d’un rédacteur. Par contre, il peut changer les évaluations faites par un évaluateur.
Pour valider un PIA :
1. Passez en revue les questions de toutes les rubriques.
Astuce : Pour une vue globale du PIA, cliquez sur les rubriques Vue d’ensemble des risques, Cartographie des risques et Plan d’action et visualisez les graphiques.
2. Pour changer des évaluations existantes, cliquez sur l'évaluation souhaitée et saisissez vos commentaires.
3. Rendez-vous sur la rubrique Avis du DPD et des personnes concernées et complétez tous les champs.
Le bouton Terminer la validation s'active.
4. Cliquez sur le bouton.
Remarque : Un PIA peut être validé même si le DPO considère que le traitement ne devrait pas être mis en œuvre.
Le statut du PIA passe en En cours de confirmation.
5. Dans le menu de gauche, cliquer sur la section Valider le PIA.
6. Vous avez alors plusieurs options :
-
-
Valider le PIA. Confirmez les 4 affirmations et cliquez sur le bouton Valider le PIA. Le statut passe en Validé.
-
Demander la correction du PIA. Vous avez confirmé les 4 affirmations mais vous avez changé des évaluations, avez saisi des commentaires et vous souhaitez voir des modifications avant de valider le PIA. Cliquez sur le bouton A corriger. Le statut passe en En cours d'évaluation et le cercle de correction reprend.
-
Refuser le PIA. Vous ne confirmez pas les 4 affirmations. Cliquez sur le bouton Refuser le PIA. Le statut passe en Refusé.
-
Remarque : Vous pouvez valider un PIA même si des réponses sont évaluées Améliorable ou À corriger.
Attention : Après avoir validé ou refusé un PIA, il n'est plus le modifiable.
Archiver un PIA
Dans le cas où il y aurait des modifications dans les exigences du RGPD ou des changements des niveaux de risque dans votre entité, un PIA validé peut un jour devenir obsolète. Dans ce cas, vous pouvez l’archiver et créer un nouveau PIA.
Pour archiver un PIA :
Cliquez sur le bouton Archiver le PIA.
Importer un PIA
Importer un PIA de la CNIL
Un PIA généré par le logiciel RGPD de DLD est 100% compatible avec un PIA généré par le logiciel de la CNIL. Ainsi un PIA saisi partiellement ou entièrement sur le logiciel de la CNIL peut être importé dans le logiciel RGPD.
Pour importer un PIA de la CNIL :
-
Dans le logiciel PIA de la CNIL, exporter le PIA au format .json.
-
Dans le logiciel RGPD de DLD, dans la barre latérale, cliquez sur Analyses d’impact.
-
En haut à droite, cliquez sur le bouton Importer un PIA.
-
Sélectionnez une ou plusieurs personnes pour la Rédaction, l’Évaluation et la Validation.
Remarque : Vous pouvez associer un ou plusieurs traitements au PIA, ou le faire par la suite.
5. Cliquez sur Sélectionner votre PIA et ouvrez le fichier .json.
Le PIA s’ajoute à la liste des PIA dans le logiciel RGPD. Il peut désormais suivre le workflow standard d’un PIA décrit dans cet article.
Remarque : Si des documents sont attachés au PIA, ils apparaîtront dans l’onglet Documents. Ils seront aussi ajoutés dans la bibliothèque Accountability.
Mettre à jour un PIA de DLD avec un PIA de la CNIL
Lorsque le statut d’un PIA est En cours de rédaction, vous pouvez le mettre à jour avec un PIA plus récent créé avec le logiciel PIA de la CNIL. Lors de cette opération, toutes les informations dans le PIA initial sont écrasées avec les informations du PIA de la CNIL. Seules les personnes responsables de la rédaction, l'évaluation et la validation restent inchangées.
Pour mettre à jour un PIA :
-
Dans le logiciel PIA de la CNIL, exporter le PIA au format .json.
-
Dans le logiciel RGPD de DLD, dans la barre latérale, cliquez sur Analyses d’impact et ouvrez le PIA que vous souhaitez mettre à jour.
-
Cliquez sur le bouton Mettre à jour le PIA.
Ce bouton est uniquement disponible dans le statut En cours de rédaction.
4. Dans la boîte de dialogue Mettre à jour le PIA, cliquez sur Sélectionner votre PIA, trouvez le fichier .json et cliquez sur le bouton Mettre à jour.
Importer un autre format de PIA
Lorsque vous importez un PIA qui n’est pas au format de la CNIL, il s’ajoute à votre bibliothèque Accountability, dans la catégorie nommée Analyses d'impact autres que CNIL.
Exporter un PIA
Vous avez la possibilité d’exporter les PIA à partir du logiciel RGPD en deux types de format :
-
pdf pour la lecture et le partage
-
json pour le réimport dans le logiciel de la CNIL.
Vous pouvez exporter un PIA à tout moment. Il n’a pas besoin d'être terminé.
Pour exporter un PIA :
-
Dans le logiciel RGPD de DLD, dans la barre latérale, cliquez sur Analyses d’impact.
-
Cliquez sur le nom du PIA pour l’ouvrir
-
En haut à droite, cliquez sur Plus d'actions
-
Selon votre besoin, sélectionnez :
-
Format .json.
-
Format .pdf.
-
Remarque : A chaque changement de statut d’un PIA, un PDF est généré automatiquement. Pour télécharger ce pdf, cliquez sur le bouton Historique, puis cliquez sur un bouton Télécharger le PDF.
Pour exporter tous les PIA d’une entité :
-
Dans le logiciel RGPD de DLD, dans la barre latérale, cliquez sur Analyses d’impact.
-
En haut à droite, cliquez sur Plus d'actions et sélectionnez Export global.
Tous les PIAs sont exportés au format .json.
L’export global comprend les rapports suivants au format Excel : le registre, l’exercice des droits, les violations de données, les référentiels logiciels et tiers, ainsi que les actions.
Dupliquer un PIA
Il est possible de dupliquer un PIA :
-
au sein de la même entité
-
vers une autre entité.
Un PIA peut être dupliqué à tout moment, peu importe son statut.
Informations non-dupliquées
Attention : Lorsque vous dupliquez un PIA, certaines informations ne sont pas dupliquées, selon que l’entité cible est la même ou une entité différente.
Le tableau ci-dessous présente les informations non-dupliquées selon l’entité cible.
Entité cible |
Informations non-dupliquées |
Même entité |
|
Entité différente |
Même chose que lorsque la cible est la même entité (voir ci-dessus). En plus les éléments suivants ne sont pas dupliqués :
|
Attention : Si le partage de documents avec l’entité cible est activé, mais que ce partage a été désactivé pour certains documents spécifiques, alors les documents partagés se retrouveront bien dans la copie du traitement, mais pas les documents pour lesquels le partage a été désactivé. Pour en savoir plus sur le partage de documents & référentiels, consulter l’article Le partage de documents et de référentiels.
Comment dupliquer un PIA
Pour dupliquer un PIA :
-
Dans la barre latérale, cliquez sur Analyses d’impact.
-
Effectuez l'une des actions suivantes :
-
Sur la ligne du PIA à dupliquer, cliquez sur Plus d'actions et sélectionnez Dupliquer.
-
Si le PIA est déjà ouvert, en haut à droite, cliquez sur Plus d'actions et sélectionnez Dupliquer.
-
-
Dans la fenêtre Dupliquer l’analyse d’impact, vous pouvez Renommer l’analyse d’impact afin d'éviter tout risque de confusion avec l’original.
5. Cliquez sur Confirmer. Le PIA est dupliqué vers les entités cibles.