CIL CONSULTING by TNP vous accompagne dans la réalisation d’analyses d’impact sur la protection des données et dans la mise en place d’une démarche de Privacy by Design.
Objectif ?
Favoriser l’innovation tout en respectant le cadre juridique de la protection des données et de la vie privée.
Notre expertise
Nos consultants sont experts en analyse des risques et en ingénierie de la protection des données (vie privée & sécurité)
Ils sont spécialisés dans les domaines suivants :
– Analyse d’impact sur la protection des données
– Privacy Engineering
– Big Data Reference Architecture
– Privacy in Smart Cities
– Privacy in IoT
– Anonymisation
-Personal data governance
Comment ?
Selon le type de projet, nous intervenons sur des missions suivantes :
Analyse d'impact sur la protection des données personnelles
L’analyse d’impact sur la protection des données personnelles repose sur une double démarche :
- L’évaluation de la conformité : respect des principes juridiques en matière de protection de la vie privée
- L’analyse des risques liés à la sécurité des traitements de données personnelles et ayant un impact sur la vie privée des personnes concernées.
Dans quels cas mener une analyse d’impact sur la protection des données personnelles?
L’article 35 du règlement européen rend obligatoire l’analyse d’impact en cas de « risques élevés » et en particulier dans les cas suivants:
a) Evaluation systématique et approfondie d’aspects personnels propres à des personnes physiques cf. profilage avec effets juridiques ou significatifs similaires,
b) Traitement à grande échelle de données sensibles (autre que PS),
c) Surveillance systématique à grande échelle d’une zone accessible au public.
L’autorité de contrôle établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise.
Pour identifier les traitements qui présentent un risque inhérent élevé pour les droits et libertés des personnes concernées, le CEPD a émit une liste de 9 critères:
– évaluation/scoring (y compris le profilage) ;
– décision automatique avec effet légal ou similaire ;
– surveillance systématique ;
– collecte de données sensibles ;
– collecte de données personnelles à large échelle ;
– croisement de données ;
– personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
– usage innovant (utilisation d’une nouvelle technologie) ;
– exclusion du bénéfice d’un droit/ contrat.
En France, la CNIL a publié une liste des traitements de données personnelles devant obligatoirement faire l’objet d’une analyse d’impact.
L’étude d’impact comprend au moins les éléments suivants :
a) une description systématique des opérations de traitement envisagées ( y compris les finalités du traitement, l’intérêt légitime poursuivi)
b) Une évaluation de la nécessité et de la proportionnalité des traitements
c) une évaluation des risques pour les droits et libertés des personnes
d) les mesures envisagées pour faire face aux risques pour les personnes
Pourquoi mener une étude d’impact?
- Le Règlement impose de mener une analyse d’impact en cas de risques élevés
- C’est un outil de documentation des traitements et des mesures prises pour limiter les risques liés à ces traitements de données.
- C’est un outil de communication et de transparence.
- et un moyen permettant de justifier des traitements et des mesures mises en œuvre pour l’encadrer.
Data Protection by Design
La Data Protection By Design consiste à intégrer les principes de protection de la vie privée et des données personnelles dès la conception des projets et par défaut.
Cette approche trouve son origine au Canada où le Privacy by Design a été mis en avant par Ann Cavoukian ex Commissaire à la protection de la vie privée de la province de l’Ontario.
Article 25 du règlement européen: En fonction de l’état de l’art, du coût d’implémentation, du contexte et des risques liés au traitement, le responsable de traitement doit intégrer les mesures techniques et organisationnelles de protection des données dès la mise en oeuvre du traitement.
Cette démarche repose sur les principes suivants :
- C’est une démarche pro-active qui revient à agir par anticipation,
- C’est une protection par défaut: “Privacy as a default”
- Dès la conception
- Et tout au long du cycle de vie des données,
- C’est une stratégie qui se veut « gagnant-gagnant » pour l’organisation et pour les personnes,
- C’est une démarche de transparence,
- Qui place la personne au cœur du projet.
Aujourd’hui cela doit s’entendre comme une démarche globale, à la fois organisationnelle, juridique et technique visant à intégrer les principes de protection des données tels que la minimisation, la transparence ou la sécurité notamment sous forme d’anonymisation, de pseudonymisation, de chiffrement et de solutions permettant aux personnes d’être informées et de garder la maitrise des données les concernant.
Les exigences doivent aussi être traduites en langage informatique, juridique et en politiques et procédures.
Vous avez des questions ? Parlons-en
Contactez-nous dès maintenant.