Un Privacy Impact Assessment (PIA), ou AIPD (Analyse d’Impact relative à la Protection des Données), …
est un processus systématique destiné à évaluer les risques pour la vie privée …
associés à un projet impliquant le traitement de données personnelles.
Le PIA est une obligation légale sous le RGPD (article 35) lorsque le traitement présente un risque élevé pour les droits et libertés des personnes. |
Comprendre la collecte, utilisation, stockage, partage et suppression des données
Identifier les risques pour les droits et libertés des individus
Vérifier que le traitement respecte les lois et principes de protection des données.
Proposer des mesures correctives ou préventives.
Fournir une trace écrite démontrant que les risques ont été évalués et traités.
Le RGPD impose un PIA lorsque le traitement présente un risque élevé pour les droits et libertés des personnes concernées. |
Traitement à grande échelle de données sensibles (médicales, biométriques)
Surveillance systématique (vidéosurveillance, géolocalisation)
Utilisation de nouvelles technologies (IA, profilage automatisé)
Traitement de données de personnes vulnérables (enfants, salariés)
Objectifs, contexte, portée et flux de données
Parties prenantes et outils utilisés
Quelles données sont collectées ? Par qui ? Comment ?
Cycle de vie : collecte, stockage, partage, destruction
Identifier les menaces (vol, fuite, usage abusif)
Évaluer les impacts potentiels sur la vie privée
| Catégorie | Exemples |
|---|---|
Techniques | Chiffrement, anonymisation, pseudonymisation |
Organisationnelles | Politiques internes, formation, audits |
Déterminer si les mesures sont suffisantes pour réduire les risques à un niveau acceptable.
Rédiger un rapport détaillant conclusions et actions
Soumission à l’autorité (CNIL) si risques résiduels élevés
Contexte et description du traitement
Analyse de conformité légale
Évaluation des risques
Plan de traitement des risques
Conclusions — niveau de risque résiduel
Annexes — diagrammes de flux, registres
Légalité, loyauté, transparence
Minimisation des données
Limitation des finalités
Sécurité et confidentialité
Limitation de la conservation
Exactitude des données
Conformité légale — éviter les amendes RGPD (jusqu’à 4 % du CA)
Protection renforcée — réduction des risques de fuites
Confiance accrue — clients, employés, partenaires rassurés
Anticipation des risques avant qu’ils se concrétisent
Avantage concurrentiel — image responsable
La CNIL propose un guide complet en 3 documents : la méthode, les modèles, les bases de connaissances.
PIA — logiciel open source de la CNIL
Microsoft Compliance Manager
OneTrust
ISO/IEC 29134 — guide pour la réalisation de PIA
ISO/IEC 27701 — extension PIMS de l’ISO 27001
Data Protection Impact Assessment — terme utilisé dans le RGPD, équivalent au PIA.
Le délégué à la protection des données est impliqué dans la réalisation d’un PIA.
Source d’information clé pour réaliser un PIA (article 30 RGPD).
Un PIA n’est pas une formalité administrative : c’est un outil de pilotage qui transforme une obligation légale en avantage opérationnel et stratégique. |
Le PIA doit être vivant : revu à chaque modification du traitement, intégré dès la conception (Privacy by Design).
À combiner avec : RGPD · CNIL · AUP · Moindre privilège |