{
    "uuid": "c8fb444b64b2a49b3b9ac101af356e1e",
    "slug": "analyse-impact-aipd",
    "lang": "fr",
    "audience": null,
    "count": 6,
    "conseils": [
        {
            "uuid": "a2b442db751d4bb88e636ad92e6e1d0e",
            "category": "regulatory",
            "audience": [
                "manager",
                "auditor"
            ],
            "severity": "mandatory",
            "title": "AIPD obligatoire pour les traitements a risque eleve",
            "content": "L'article 35 du RGPD impose une analyse d'impact (AIPD ou PIA) pour les traitements presentant un risque eleve pour les personnes. La CNIL publié une liste de cas qui imposent une AIPD (données sensibles, surveillance systematique, profilage de mineurs, etc.). Realiser l'AIPD AVANT la mise en oeuvre, pas apres."
        },
        {
            "uuid": "b3f36b10ca71492599bad69819019a32",
            "category": "regulatory",
            "audience": [
                "manager",
                "technician"
            ],
            "severity": "mandatory",
            "title": "Utiliser la methode PIA de la CNIL",
            "content": "La CNIL publié un guide PIA (Privacy Impact Assessment) gratuit et une outil logiciel open source. Cette methode standard facilite l'audit et garantit la couverture complete des risques (atteinte a la confidentialite, intégrité, disponibilite). Suivre cette methode est presque toujours plus efficace que d'inventer une grille interne."
        },
        {
            "uuid": "b203716b47504cf2be995ac60c18e155",
            "category": "regulatory",
            "audience": [
                "manager"
            ],
            "severity": "critical",
            "title": "Consulter le DPO et associer les parties prenantes",
            "content": "L'avis du DPO sur l'AIPD est obligatoire (RGPD art. 35.2). Associer egalement les responsables métier, IT, RSSI, juridique. Une AIPD signee par une seule personne sans concertation manque sa raison d'etre. Conserver les comptes rendus de reunion et les avis recueillis."
        },
        {
            "uuid": "ad5a5c86e2184d9389832bf0f0feafee",
            "category": "regulatory",
            "audience": [
                "manager"
            ],
            "severity": "mandatory",
            "title": "Consulter la CNIL en cas de risque residuel eleve",
            "content": "Si malgre les mesures envisagees l'AIPD identifie un risque residuel eleve pour les personnes, l'article 36 du RGPD impose une consultation prealable de la CNIL avant la mise en oeuvre. La CNIL a 8 semaines pour repondre. C'est une etape rare mais incontournable pour les traitements les plus sensibles."
        },
        {
            "uuid": "225a7c8dc57b414bbf000c9f708f7410",
            "category": "operational",
            "audience": [
                "technician",
                "manager"
            ],
            "severity": "recommended",
            "title": "Reviser l'AIPD a chaque changement substantiel",
            "content": "L'AIPD n'est pas un document fige : ajout d'une nouvelle finalite, nouveau sous-traitant, nouvelle source de données, changement de base legale imposent une revision. Vérifier annuellement la pertinence de chaque AIPD existante. Conserver l'historique des versions dans un emplacement immutable."
        },
        {
            "uuid": "1f23f19e07ab4d26b18f61e87c5f6cbe",
            "category": "regulatory",
            "audience": [
                "auditor",
                "manager"
            ],
            "severity": "recommended",
            "title": "Tenir un registre des AIPD realisees",
            "content": "Le registre des AIPD complete le registre des traitements et facilite l'audit. Pour chaque AIPD : traitement concerne, date de realisation, version, statut (validee, en revision, expirée), avis du DPO, décision finale. Ce registre est un signe de maturite RGPD apprecie par les auditeurs et la CNIL en cas de contrôle."
        }
    ]
}