087 – Le contenu des PIA

L’analyse d’impact (PIA) est nécessaire lorsque le traitement risque de porter atteinte aux libertés des personnes concernées ou s’il réduit leurs droits. Cette analyse s’effectue avant le développement de l’application concernée ou avant l’achat de la solution.

L’analyse d’impact doit comporter les éléments suivants : description des opérations de traitement et finalités, évaluation des risques, mesures pour faire face aux risques, évaluation de la nécessité et de la proportionnalité, mesures permettant d’apporter la preuve du respect de la conformité. Bien qu’il n’existe pas de formalisme imposé, il peut être conseillé de s’appuyer sur le logiciel PIA de la CNIL pour être sûr que le PIA soit complet. Une première partie du PIA repose sur une analyse juridique (respect des principes fondamentaux et des droits des personnes concernées) et une deuxième est orientée risques en termes de sécurité.  
https://www.cnil.fr/fr/RGPD-analyse-impact-protection-des-donnees-pia