#Cybersécurité : 5 raisons de mener une étude d'impact (PIA)

#Cybersécurité : 5 raisons de mener une étude d'impact (PIA)
⏱ Lecture 6 min

Par Stéphane ASTIER et Jean-Philippe SOUYRIS

L’Etude d’Impact sur la vie privée ou PIA (Privacy Impact Assessment) est une obligation introduite par le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel.

Il s’agit d’un document clé dans le cadre de la gestion des risques liés au traitement des données à caractère personnel qui concerne non seulement les entreprises (publiques ou privées) responsables de traitements de données mais également les sous-traitants fournisseurs de solution permettant de mettre en œuvre lesdits traitements.

Afin d’aider les entreprises à identifier les traitements nécessitant une étude d'impact (PIA) ; la CNIL a publié une liste de traitements pour lesquels une Etude d’Impact est requise. Cette liste a été élaborée en tenant compte des critères permettant d’identifier un risque élevé pour les personnes concernées, par exemple, lorsqu’un traitement concerne des personnes dites « vulnérables » ou implique des données sensibles.

L’obligation de réaliser une étude d’impact sur la vie privée s’inscrit dans une logique de responsabilisation des acteurs qui a guidé l’élaboration du Règlement européen dont l’objectif est d’anticiper les évolutions technologiques (profilage de masse, Big Data, intelligence artificielles).

Au-delà de cette responsabilisation nécessaire des acteurs aux regards des nouveaux défis technologiques et éthiques, l’étude d’Impact s’impose également comme un vecteur de confiance dans la relation des acteurs à leurs partenaires et à leurs clients.

Voici 5 bonnes raisons de mener une telle étude.

Comment agir face à la cybercriminalité ?

1. L’accountability au service de la sécurité juridique

Le principe d’accountability figure à l’article 5 du règlement. Cet article rappelle dans son premier paragraphe les grands principes de la règlementation informatique et libertés :

  • Licéité, loyauté transparence
  • Limitation des finalités
  • Minimisation des données
  • Exactitude
  • Limitation de la conservation
  • Intégrité et confidentialité des données

Le second paragraphe oblige tout responsable de traitement à être en mesure de justifier à tout moment du respect de ces principes.

Dans ce cadre, l’Etude d’Impact, qui présente une analyse des mesures juridiques mises en œuvre par les entreprises se présente comme l’outil idéal pour démontrer le respect des grands principes de la législation IEL. Elle permet d’assurer la sécurisation juridique des traitements de données mis en œuvre mais également des solutions techniques permettant de traiter des données(1).

 

 

2. Une démarche de conformité : privacy by design et privacy by default

Les principes de la protection des données à caractère personnel dès la conception et par défaut ou « Privacy by design » et « Privacy by default » est un concept d’origine canadienne qui impose au responsable d’un traitement de mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut. (Cf. Article 25 du règlement)

La structure d’une Etude d’Impact comporte l’analyse des mesures juridiques, techniques et organisationnelles, existantes et prévues permettant de traiter les risques sur la vie privée.

Ainsi, l’Etude d’Impact permet aux responsables de traitement comme des fournisseurs de solutions dédiées à la mise en œuvre de traitements de mettre en avant l’ensemble des mesures prises en vertu du principe du Privacy by design : pseudonymisation, minimisation, chiffrement, éloignement des sources de risques ….

Le PIA (ou Etude d’Impact) permet en outre de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement » conformément à l’article 34 de la loi informatique et libertés.

3. L’Etude d’Impact : une obligation généralisée à la majorité des traitements innovants ou sensibles

L’article 35 du règlement européen prévoit que le responsable d’un traitement doit effectuer une Etude d’Impact lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

L'étude d'impact en 4 motsCette obligation est renforcée lorsque le responsable de traitement procède à l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire.

Pour mieux prendre en compte l’évolution de l’économie numérique, le règlement européen a défini la notion de profilage, il s’agit de « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique; »

Il s’agit ici d’encadrer les nombreuses technologies utilisées dans le secteur du e-marketing dont l’objet est d’analyser de manière de plus en plus fine les goûts, les habitudes et le comportement des utilisateurs (cookies, retargeting, etc…).

En conséquence, les cas où une Etude d’Impact est nécessaire s’avèrent très nombreux. Dès lors qu’une nouvelle technologie est utilisée (en matière d’objets connectés notamment), qu’un profilage servant de base à une prise de décision automatisée est envisagé, ou qu’un traitement présente un risque élevé pour les droits et libertés des personnes concernées, la réalisation d’une Etude d’Impact est obligatoire.

La sanction en cas de non-respect de l’obligation de mener une Etude d’Impact n’est pas à prendre à la légère ! En effet, les autorités de contrôle peuvent prononcer des amendes administratives pouvant s’élever à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial. 

Loin d’être simplement une contrainte, l’Etude d’Impact a néanmoins vocation à s’imposer comme un gage de confiance et un outil de valorisation.

4. L’Etude d’Impact : un vecteur de valorisation et de confiance

L’Etude d’Impact contribue à renforcer la confiance des clients à travers la justification et la mise en avant de garanties de sécurité et de confidentialité des données.

Une donnée captée en fraude des droits des personnes visées n’a plus de valeur. La Cour de Cassation indique même qu’une base de données constituée en violation de la loi informatique et libertés sera placée en dehors du commerce et ne pourra donc faire l’objet d’aucune valorisation(2). La valorisation du patrimoine informationnel étant un acte clé de gouvernance tant au niveau public qu’au niveau privé, l’Etude d’Impact constitue l’outil incontournable pour remplir cet objectif. Confiance, valorisation… les enjeux autour de la donnée sont colossaux. Les données sont en effet par nature génératrices de valeur dans le cadre de leur exploitation commerciale (e-marketing, publicité ciblée…). En cas de défaut de sécurité, les traitements mutent en vecteur de nuisance lors d’actions non justifiées (discrimination, refus de prestations…) ou de démarches malveillantes (transaction bancaire frauduleuse, usurpation, chantage à la destruction de données, cambriolage, diffamation, menaces, agression…).

Dans un contexte où les vols et divulgations frauduleuses de données se multiplient, l’Etude d’Impact s’inscrit dans une démarche de transparence et de confiance vis-à-vis des utilisateurs permettant de développer une culture de la protection de la vie privée.

Elle peut donc utilement compléter la politique de confidentialité d’un site web ou d’une application dans le but d’informer les utilisateurs des mesures de sécurité et de confidentialité prises pour protéger leurs données.

5. L’Etude d’Impact : un outil stratégique de développement

L’Etude d’Impact reflète les mesures de sécurité physiques et logiques mises en œuvre pour assurer la conformité d’une solution commercialisée (ex. service en mode SaaS) et plus généralement de tout type de traitements susceptibles de générer un risque pour la vie privée des personnes concernées (e-santé, données sensibles, profilage dans le secteur e-marketing etc.)

Lorsqu’un partage de données à caractère personnel est mis en œuvre, ou lorsqu’une entreprise envisage de recourir à des services dématérialisés, l’Etude d’Impact peut être communiquée totalement ou partiellement, part exemple lors de procédures d’appel d’offres. Avec la recrudescence des actes de fraudes informatiques, l’Etude d’Impact devient un élément décisionnel capital lors du choix d’un partenaire, fournissant un avantage concurrentiel non négligeable pour l’acteur qui justifie d’une telle garantie.

Avec cette inversion de modèle directement tiré des concepts de Privacy by design et d’accountability, la réglementation « informatique et libertés » a opéré une profonde mutation.

Responsabilisation des acteurs, renforcement considérable des sanctions, recherche d’une augmentation du niveau de conformité par l’offre, gestion des risques a priori etc., autant d’objectifs et de principes qui favorisent mécaniquement les « bons élèves » dans une sphère commerciale en recherche de modèles fiables.

Pour ce faire, l’Etude d’Impact apparaît comme l’outil indispensable. Juridique et technique, cette procédure suppose un accompagnement spécifique.

Dans le cadre d’une mission globale comprenant l’analyse des aspects juridiques et opérationnels des traitements ainsi que la réalisation de tests d’intrusion en partenariat avec une société spécialisée, le Cabinet HAAS Avocats assiste ses clients acteurs du digital dans l’élaboration de leur Etude d’Impact.

 

Vous souhaitez en savoir plus sur cette prestation ?

Cliquez ICI

(1) Afin de faciliter la réalisation d’Etudes d’Impact sur la vie privée la CNIL s’appuie notamment sur la méthode EBIOS (expression des Besoins et Identification des Objectifs de Sécurité) ou encore sur la méthode de gestion des risques publiée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI)) appliquée dans le contexte spécifique « Informatique et libertés »

(2) Cf. https://www.haas-avocats.com/actualite-juridique/la-cession-dun-fichier-client-non-declare-a-la-cnil-est-nulle/

 

Stéphane ASTIER

Auteur Stéphane ASTIER

Suivez-nous sur Linkedin