Le 26 février, la Cnil a annoncé la publication de nouveaux outils techniques et méthodologiques autour d'un des points les plus délicats à appréhender parce que l'un des plus nouveaux du RGPD : l'obligation de conduire des analyses d'impact (ou PIA pour Privacy Impact Assessment) avant la mise en œuvre d'un traitement, notamment lorsque celui-ci présente "un risque élevé pour les droits et libertés des personnes physiques" (article 35, 1 du RGPD).
Deux nouveaux guides PIA
Des guides sur les études d'impact existaient, à la disposition des entreprises et spécialement des Cil sous l'empire de la loi toujours en vigueur. Selon la Cnil, ceux-ci font peau neuve et s'adaptent donc au RGPD. Il apparaît malheureusement que sur les 5 guides présentés, seuls les 2 derniers sont nouveaux, les 3 autres guides étant toujours les anciens, datés de 2015 et même de 2012 pour le guide 3.
Le logiciel PIA nouvelle version
Parallèlement à ces relatives nouveautés, le logiciel PIA, outil d'aide à la décision pour déterminer s'il y a lieu de conduire une analyse, a récemment connu une nouvelle version corrigeant les bugs de la première version et ajoutant des fonctions suite aux retours d'information des usagers. Parmi les autres nouveautés, un manuel utilisateur est aussi mis à disposition.
Un PIAF pour l'application du RGPD au secteur des objets connectés
La Cnil publie "également une version de la méthode PIA appliquée au domaine des objets connectés (un PIAF – Privacy Impact Assessment Framework) ainsi qu’une étude de cas sur un moniteur de sommeil."
En savoir plus
Nous ne saurions trop conseiller d'explorer tout le site de la Cnil qui regorge de contenus utiles pour la mise en conformité avec le RGPD. Comme ces ressources sont annoncées au fil de l'eau sans qu'aucun outil n'en centralise l'accès (par exemple, un sommaire de tout ce qui concerne le RGPD (même le tag RGPD ne renvoie pas à tout ce qui concerne ce sujet…), il est encore possible de faire des trouvailles par inadvertance.
Pour l'heure, voici les accès aux nouveautés annoncées hier.
Lire l'article d'annonce du 26 février sur le site de la Cnil :
https://www.cnil.fr/fr/nouveautes-sur-le-pia-guides-outil-piaf-etude-de-cas
Voir la nouvelle FAQ "Ce qu'il faut savoir sur l’analyse d’impact relative à la protection des données (DPIA)" — DPIA = Data Protection Impact Assessment — du 19 février dernier :
https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-dpia
Accéder au logiciel PIA nouveau (29 janvier dernier) :
https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
Les outils à télécharger sont disponibles sous l'article du 26 février. Parmi les 5 documents à télécharger, les 3 premiers sont toujours ceux datant de 2015 et 2012.
Seuls les deux derniers sont récents:
Analyse d'impact relative à la protection des données : application aux objets connectés (PDF, 899.28 Ko, 50 p.), déjà évoqué ci-dessus :
https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-piaf-connectedobjects-fr-2018-02-19.pdf
Analyse d'impact relative à la protection des données (PIA) : étude de cas "Captoo" (PDF, 675.41 Ko, 38 p.) :
https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-captoo-fr-2018-02-19.pdf
Toutes nos actualités sur le RGPD.