Pour le technicien qui intervient.
La CNIL publié un guide PIA (Privacy Impact Assessment) gratuit et une outil logiciel open source. Cette methode standard facilite l'audit et garantit la couverture complete des risques (atteinte a la confidentialite, intégrité, disponibilite). Suivre cette methode est presque toujours plus efficace que d'inventer une grille interne.
L'AIPD n'est pas un document fige : ajout d'une nouvelle finalite, nouveau sous-traitant, nouvelle source de données, changement de base legale imposent une revision. Vérifier annuellement la pertinence de chaque AIPD existante. Conserver l'historique des versions dans un emplacement immutable.
Pour le responsable / gestionnaire.
L'avis du DPO sur l'AIPD est obligatoire (RGPD art. 35.2). Associer egalement les responsables métier, IT, RSSI, juridique. Une AIPD signee par une seule personne sans concertation manque sa raison d'etre. Conserver les comptes rendus de reunion et les avis recueillis.
L'article 35 du RGPD impose une analyse d'impact (AIPD ou PIA) pour les traitements presentant un risque eleve pour les personnes. La CNIL publié une liste de cas qui imposent une AIPD (données sensibles, surveillance systematique, profilage de mineurs, etc.). Realiser l'AIPD AVANT la mise en oeuvre, pas apres.
La CNIL publié un guide PIA (Privacy Impact Assessment) gratuit et une outil logiciel open source. Cette methode standard facilite l'audit et garantit la couverture complete des risques (atteinte a la confidentialite, intégrité, disponibilite). Suivre cette methode est presque toujours plus efficace que d'inventer une grille interne.
Si malgre les mesures envisagees l'AIPD identifie un risque residuel eleve pour les personnes, l'article 36 du RGPD impose une consultation prealable de la CNIL avant la mise en oeuvre. La CNIL a 8 semaines pour repondre. C'est une etape rare mais incontournable pour les traitements les plus sensibles.
L'AIPD n'est pas un document fige : ajout d'une nouvelle finalite, nouveau sous-traitant, nouvelle source de données, changement de base legale imposent une revision. Vérifier annuellement la pertinence de chaque AIPD existante. Conserver l'historique des versions dans un emplacement immutable.
Le registre des AIPD complete le registre des traitements et facilite l'audit. Pour chaque AIPD : traitement concerne, date de realisation, version, statut (validee, en revision, expirée), avis du DPO, décision finale. Ce registre est un signe de maturite RGPD apprecie par les auditeurs et la CNIL en cas de contrôle.
Pour l'auditeur et le contrôle de conformité.
L'article 35 du RGPD impose une analyse d'impact (AIPD ou PIA) pour les traitements presentant un risque eleve pour les personnes. La CNIL publié une liste de cas qui imposent une AIPD (données sensibles, surveillance systematique, profilage de mineurs, etc.). Realiser l'AIPD AVANT la mise en oeuvre, pas apres.
Le registre des AIPD complete le registre des traitements et facilite l'audit. Pour chaque AIPD : traitement concerne, date de realisation, version, statut (validee, en revision, expirée), avis du DPO, décision finale. Ce registre est un signe de maturite RGPD apprecie par les auditeurs et la CNIL en cas de contrôle.