La CNIL propose un logiciel libre PIA pour tester sa conformité au RGPD

29/11/2017
logo CNIL

La date butoir pour la mise en conformité de la politique de gestion de données pour les entreprises arrive à grands pas. La CNIL propose une alternative open source pour réaliser l'analyse d'impact sur la protection des données avant le mois de mai prochain.

Le25 mai 2018, le règlement général sur la protection des données (RGPD) entrera en vigueur en Europe. Les entreprises ont donc moins d'un an aujourd’hui pour se préparer et se mettre en conformité avec le texte.Cependant, la logique de responsabilisationdes entrepriseset préservation dela vie privée dès la conception représentent un grand défi pour de nombreuses sociétés. Rappelons que la mise et conformité avec le nouveau règlement impose en autres tâches de :

  • Tenir un registre des traitements
  • Identifier le périmètre des données sensibles
  • Garantir les droits des personnes
  • Revoir les contrats fournisseurs
  • Rédiger une charte de bonnes pratiques
  • Définir les nouvelles missions du DPO (Data Protection Officer)
  • Se préparer à la possibilité d’une fuite de données

Un logiciel gratuit pour dérouler la méthode PIA

L’étape d'analyse d'impact sur la protection des données, PIA ou DPIA (Privacy Impact Assessment) est obligatoire pour certains traitements de données "susceptibles d’engendrer des risques élevés. C’est lors de cette étape que le logiciel fourni par la CNIL propose une assistance. Le logiciel PIA intègre une base de connaissances contextuelles, les guides PIA, ainsi que des outils de visualisation "permettant de comprendre en un coup d’œil l’état des risques du traitement étudié."

Diffusé sous licence libre, il est présenté par la commission comme une alternative gratuite aux applications propriétaires payantes et aux services commerciaux d'acteurs spécialisés. L’outil PIA se veut un outil d’accompagnement des entreprises et d’encouragement à l’anticipation de l’adoption du nouveau référentiel. La commission insiste sur sa volonté via cette publication «[d’aider les entreprises] à construire des traitements de données respectueux de la vie privée et à démontrer leur conformité au règlement».

L'outil déroule l’intégralité de la méthode PIA, permettant la mise en conformitéaux exigences définies dans les lignes directrices du G29. Le G29 estl'entité représentative des CNIL européennes,garant de la mise en place du règlementl'ensemble des États membresde l’Union européenne.Pour les sociétés transnationales, il faudra donc vérifier la bonne conduite des traitements dans chaque pays membre concerné par une implantation.

Livré en version bêta, l’outil est en attente des retours utilisateurs pour la publication d’une version finalisée avant la mise en place du nouveau RGPD.

Une obligation pour des traitements de données ou des collectes sensibles

Toutes les entreprises ne seront pas astreintes à la mise en conformité. Le nombre de cas requérant une analyse d’impact reste néanmoins important et concerne lestraitements"susceptiblesd’engendrer un risque élevé pour les droits et libertés des personnes concernées."Cette situation englobeles collectes de données sensibles, les croisements de données, la surveillance qualifiée de "systématique" et le scoring.

La CNIL souligneen outreque l’analyse d’impact se doit d’être menée le plus en amont possible et dans le meilleur des casavant la mise en œuvre du traitement.Cette analyse doit d’ailleurs être perçue comme un processus continu, impliquant des misesà jour tout au long du cycle de vie du traitement.

La mise en place ne concerne pas uniquement les entreprises : en France, la Caisse nationale des allocations familiales ,concernée en raison du caractère particulièrement sensible des données qu'elle traite,est un exemple d’organisation ayant déjà anticipé la mise en place du référentiel. 

comments powered by Disqus
top