[outil] Le PIA pas à pas

Les analyses d'impact sur la protection des données font parties des nouvelles pratiques introduites par le Règlement Européen. Permettant de construire des traitements respectueux de la vie privée, obligatoire dans certains cas le PIA est aussi très utile dès lors que l'on s'attache à une démarche de « Privacy by Design », mettant la vie privée au centre de la conception d'un traitement.   Afin de faciliter cette démarche et de la rendre accessible au plus grand nombre, la CNIL a développé un logiciel PIA, libre et open source, disponible en français et en anglais. Il vous guide au travers de toutes les étapes pour une étude d'impact réussie et exploitable dans le développement et la mise en œuvre de vos traitements.   

Une étude pas à pas

Description et contexte du traitement 

Toute analyse commence avec la description du contexte du traitement étudié afin d’en obtenir une vision claire : quel est mon traitement et ses enjeux principaux ? Quelles sont les données traitées et comment le sont-elles ? Quelles sont les réglementations auxquelles mon traitement est soumis ? 

Etude juridique et mise en oeuvre 

 

S’ensuit l’étude juridique du traitement et de sa mise en œuvre. Le but est de vérifier la conformité du traitement : respecte-t-il les principes de proportionnalité et de nécessité ? Par exemple, sa finalité est-elle clairement définie ? Est-ce que les personnes concernées par le traitement sont correctement informées à propos de mon traitement ? Comment peuvent-elles faire valoir leurs droits ?     

Evaluation des risques 

Dernière étape de l’étude, l’évaluation des risques. Cette partie permet de prendre en compte l’ensemble des points étudiés précédemment ainsi que les mesures techniques (eg. anonymisation, chiffrement, etc.) et organisationnelles (eg. gestion des personnels, etc.) mises en place dans votre organisation afin d’évaluer risques affectant la vie privée des personnes concernées. 

Visualisation des résultats 

Plusieurs visualisations sont disponibles afin de mieux comprendre les risques liés au traitement et leur évolution en fonction des mesures mises en place pour le traiter. 

Un logiciel développé sous deux formes 

• une version « prête à l'emploi », disponible sous Windows (.exe), Linux (64 bits) et Mac OS (.dmg), à lancer (sans installation préalable) depuis votre poste de travail [Lien Github] ;
• une version web, à déployer sur les serveurs de votre organisation, en mode front end (github) et en mode back end (github), accessible avec votre navigateur : Edge v.15+, Firefox v.57+, Chrome v.60+, Safari v.11+ 

L'outil PIA est aujourd'hui publié dans une version beta vouée à évoluer dans les mois prochains, avec notamment des améliorations apportées au niveau du workflow de l'outil. Cela ne vous empêche en rien de déjà vous emparer de celui-ci, de développer des modules complémentaires ou bien de traduire l’interface et les contenus dans d’autres langues, et de les redistribuer avec la communauté !    Nous serons par ailleurs ravis d'avoir vos retours et suggestions sur l'outil, à soumettre avec ce formulaire. N'hésitez pas à consulter la FAQ si vous rencontrer des bugs.    Nous vous proposerons dans les semaines qui viennent des cas d’étude sur la création de ce logiciel.