008 – Nécessité de l’analyse d’impact (PIA)

L’analyse d’impact est nécessaire lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des individus.

Cette analyse s’effectue avant la mise en œuvre d’un traitement de données personnelles, dès lors que ce traitement est susceptible d’engendrer des risques pour les droits et libertés des individus.

Elle doit comporter les éléments suivants : description des opérations de traitement et finalités, évaluation des risques, mesures pour faire face aux risques, évaluation de la nécessité et de la proportionnalité, mesures permettant d’apporter la preuve du respect de la conformité.

Bien qu’il n’existe pas de formalisme imposé, il est conseillé de s’appuyer sur le logiciel PIA de la CNIL pour être sûr que l’Analyse d’Impact relative à la Protection des Données (AIPD) soit complète.

Une première partie de l’AIPD repose sur une analyse juridique (respect des principes fondamentaux et des droits des personnes concernées) et une deuxième est orientée risques en termes de sécurité.
https://www.cnil.fr/fr/RGPD-analyse-impact-protection-des-donnees-pia

La CNIL a établi une liste de traitements nécessitant obligatoirement une analyse d’impact.
https://www.cnil.fr/fr/analyse-dimpact-relative-la-protection-des-donnees-publication-dune-liste-des-traitements-pour