Le RGPD prévoit que les responsables de traitements doivent réaliser une analyse d’impact.
Elle constitue avec le registre, l’un des deux principaux outils de mise en conformité au RGPD.
Elle n’a pas à être déclarée à la CNIL.
Trois questions reviennent fréquemment :
- Êtes-vous concernés par l’analyse d’impact ?
- Que doit contenir l’analyse d’impact ?
- Et surtout comment, concrètement réaliser l’analyse d’impact ?
1/ Êtes-vous concernés par l’analyse d’impact ?
Vous êtes un établissement de santé ou médico-social, la CNIL vous demande de réaliser une analyse d’impact pour vos traitements de données de santé, soit votre dossier patients informatisé ou le dossier résidents
2/ Que doit contenir l’analyse d’impact ?
Il est important de comprendre que l’analyse d’impact et une analyse de risque appliquée à la protection des données et de la vie privée.
Attention, une erreur fréquente est de considérer le risque du point de vue de l’organisation alors que c’est le titulaire des données qui doit être au centre de l’analyse.
L’analyse d’impact doit parcourir les trois volets suivants :
- Une description détaillée du traitement,
- Un volet plus juridique sur le respect des principes et des droits fondamentaux
- Une étude plus technique sur la sécurité des données et l’impact potentiel du traitement sur la vie privée afin de déterminer les mesures techniques et organisationnelles nécessaires pour la protéger.
Attention, il faudra recueillir l’avis des personnes concernées, par exemple au travers des associations de patients.
3/ Comment, concrètement, réaliser l’analyse d’impact ?
La réalisation d’une analyse d’impact nécessitera un travail collaboratif entre les acteurs métiers, le DPO qui évaluera les mesures proposées puis la direction qui validera ou pas les conclusions.
L’analyse d’impact peut-être réalisée sur le logiciel PIA proposé sur son site par la CNIL, ou à l’aide d’un outil proposé par éditeur spécialisé.
