Analyse d'impact relative à la protection des données
Évaluez et maîtrisez les risques pour les droits et libertés des personnes concernées par vos traitements de données à caractère personnel.
Qu'est-ce qu'une AIPD ?
L'analyse d'impact relative à la protection des données (AIPD, ou DPIA en anglais) est un processus itératif permettant de vérifier la maîtrise permanente des impacts relatifs aux droits et libertés des personnes concernées lors d'un traitement de données à caractère personnel.
Les articles 35 et 36 du RGPD imposent la réalisation d'une AIPD pour tout traitement susceptible d'engendrer un risque élevé : profilage systématique, traitement à grande échelle de données sensibles, surveillance systématique d'une zone accessible au public, ou encore recours à de nouvelles technologies.
Au-delà de l'obligation légale, l'AIPD constitue un outil de gouvernance précieux. Elle s'appuie sur le registre des traitements et permet d'intégrer la protection des données dès la conception d'un projet (privacy by design). Un cadre de gestion cohérent doit être mis en place pour prendre en compte la mise à jour périodique de l'AIPD.
Notre méthode d'AIPD repose sur la méthodologie d'analyse des risques MONARC et son outil associé, couvrant trois typologies de risques : risques de l'information, risques opérationnels et risques de non-conformité au RGPD.
obligation RGPD traitements à risque
typologies de risques analysées
méthodologie d'analyse
Comment procédons-nous ?
Chaque analyse d'impact est décomposée en quatre phases, de la définition du périmètre à la surveillance continue.
Périmètre de l'AIPD
Définition du ou des traitements analysés : finalités, bases légales, catégories de données, durées de conservation. Identification des personnes concernées et des parties prenantes. Personnalisation des critères d'impact et définition des critères d'évaluation et d'acceptation des risques.
Analyse des risques de l'information
Démarche structurée via MONARC. Identification, évaluation et traitement des risques sur les critères de confidentialité, intégrité et disponibilité pour chaque actif, à partir des scénarios de menaces fournis par les bases de connaissances MONARC.
Analyses d'impacts et bilan
Trois analyses d'impact distinctes : risques de l'information (impacts sur les personnes via perte de CID), risques opérationnels (ROLFP : réputation, opérations, légal, financier, personne), risques de non-conformité au RGPD. Plan de traitement des risques et bilan formel de l'AIPD.
Surveillance
Cadre de gestion pour vérifier qu'il n'y a pas de dégradation de la situation de risques. Contrôle périodique des changements internes et externes. Mise à jour du registre des traitements et des AIPD pour refléter les évolutions.
Prérequis
Registre des traitements à jour. Description fonctionnelle du traitement concerné (finalités, bases légales, catégories de données). Cartographie des flux de données : sources, destinataires, sous-traitants, transferts. Accès au responsable de traitement et aux équipes métiers. Implication du DPO (interne ou externalisé) le cas échéant.
Entité publique
Accompagnement AIPD continu dans le cadre d'une mission d'assistance DPO
Dans le cadre d'une mission d'assistance DPO auprès d'une entité publique, Tomeris est régulièrement consulté pour initier ou mettre à jour les AIPD au fil des projets et initiatives de l'organisation.
Qu'il s'agisse du déploiement d'une nouvelle application, de la refonte d'un processus métier ou de l'introduction d'un nouveau prestataire, chaque évolution susceptible d'impacter les traitements de données fait l'objet d'une analyse d'impact structurée couvrant les trois typologies de risques.
Grâce à l'utilisation de la plateforme MONARC, l'ensemble des AIPD est centralisé et maintenu à jour dans la continuité, offrant à l'organisation une vision consolidée et toujours actuelle de ses risques en matière de protection des données.
Cette intégration de l'AIPD dans le cycle de vie des projets garantit une prise en compte systématique du privacy by design.
Résultats
Besoin d'une analyse d'impact ?
Réalisez une AIPD conforme au RGPD avec une méthodologie éprouvée et un suivi dans la durée.