L’analyse d’impact relative à la protection des données ou « AIPD » (ou encore Data Protection Impact Assessement ou « DPIA ») est un outil qui permet de construire un traitement conforme au RGPD et respectueux de la vie privée.
Elle s’applique aux traitements de données personnelles susceptibles d’engendrer « un risque élevé pour les droits et libertés des personnes concernées ». La CNIL a établi une liste des AIPD obligatoires. Pour les traitements qui ne figurent pas sur cette liste, un examen doit être effectué au regard des 9 critères fixés par le CEPD afin de déterminer si l’analyse d’impact est obligatoire ou non.
Notre cabinet intervient de deux manières :
- Soit pour réaliser l’AIPD avec les personnes en charge de la sécurité du système d’information au sein de l’organisme,
- Soit pour réviser un projet d’AIPD réalisé en interne,
- Soit pour évaluer, en tant que DPO, une AIPD réalisée par le DSI et les responsables opérationnels (commentaires sur le respect des principes fondamentaux, l’évaluation des risques ainsi que sur les mesures mises en place ou envisagées pour réduire les risques).
En pratique, la réalisation, la révision ou l’évaluation de l’AIPD s’effectuent :
- Soit avec l’outil PIA de la CNIL,
- Soit sur la base d’une trame au format Word reprenant les différentes rubriques de l’outil PIA de la CNIL,
- Soit sur la base d’une AIPD réalisée au moyen d’une solution logicielle de pilotage de la conformité.