MENU
PIA RGPD, une notion floue et souvent négligée
Cybersecurity
24
Juin 21

La CNIL a reçu 2825 notifications de violation de données en 2020, soit 24% de plus qu’en 2019. Durant cette année particulière dans un contexte de crise sanitaire, les cyberattaques ont été en nette augmentation et les tendances se confirme en 2021. Aujourd’hui, 2/3 des sanctions prononcées par la CNIL visent des manquements à l’obligation de sécurité des données personnelles pesant sur les entreprises. Quelle que soit la faille (négligence, cyberattaque, ransomware – rançongiciel), aucun secteur n’est épargné.

Selon la CNIL, une donnée à caractère personnel concerne toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement. La violation de ces données, qu’elle soit intentionnelle ou non, peut revêtir de multiples formes. L’entrée en vigueur du RGPD (Règlement Général sur la Protection des Données) en 2018, oblige les entreprises à prévenir et corriger les manquements liés à la sécurité des données personnelles qu’elles détiennent. À défaut, elles risquent de lourdes sanctions administratives ou pénales auxquelles s’ajoute un préjudice d’image avec la publication par la CNIL du nom des entreprises sanctionnées.

Lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, un outil permet de construire un traitement conforme au RGPD et respectueux de la vie privée : l’étude d’impact relative à la protection des données (EIVP), ou PIA pour privacy impact assessment.

La CNIL a établi une liste d’opérations de traitement pour lesquelles il est impératif de réaliser une étude d’impact.

Pour mener un PIA, il convient de :

  • Délimiter et décrire le contexte du(des) traitement(s) considéré(s) ;
  • Analyser les mesures garantissant le respect des principes fondamentaux : la proportionnalité et la nécessité du traitement, et la protection des droits des personnes concernées ;
  • Apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités ;
  • Réviser les éléments précédents en cas de non-conformité ou formaliser la validation du PIA.

C’est un processus d’amélioration continue, long et fastidieux. Pour simplifier cette démarche, la méthode EBIOS développée par l’ANSSI vous amène à vous poser 10 questions essentielles classées en 5 catégories qui vous permettront de poser un cadre pour la réalisation du PIA.

Contexte :

  • Pourquoi et comment va-t-on gérer les risques ?
  • Quel est le sujet de l’étude ?

Événements redoutés :

  • Quels sont-ils ?
  • Lesquels seraient les plus graves ?

Scénarios de menaces :

  • Quels sont tous les scénarios possibles ?
  • Lesquels sont les plus vraisemblables ?

Risques :

  • Quelle est la cartographie des risques : axes et niveaux (juridique, image, financier) ?
  • Comment choisit-on de les traiter ?

Mesures de sécurité :

  • Quelles mesures devrait-on appliquer : mesures organisationnelles et techniques ?
  • Les risques résiduels, sont-ils acceptables ?

SERMA SAFETY AND SECURITY, spécialiste en sécurité informatique depuis plus de 20 ans et le directeur de la BU GRC, membre du club EBIOS, vous accompagne pour réaliser votre PIA.

Partagez l'article :