evaluation d’impact sur la vie privee (eivp … · la vie privee (eivp – pia) livre blanc –...

EVALUATION D’IMPACT SUR LA VIE PRIVEE (EIVP – PIA)

Livre Blanc – basé sur la démarche EIVP de la CNIL

POURQUOI MENER UNE EVALUATION D’IMPACT SUR LA

VIE PRIVEE - EIVP1

Les données à caractère personnel (DCP) peuvent avoir une valeur pour l’organisme qui les traite, mais leur traitement engendre également de facto une importante responsabilité du fait des risques qu’il fait encourir sur la vie privée des personnes concernées.

L’évaluation d’impact sur la vie privée permet d’étudier méthodiquement les traitements de DCP ou les produits, de hiérarchiser les risques et de les traiter de manière proportionnée pour optimiser les coûts et prendre des décisions sur la base d’éléments rendus les plus objectifs possibles.

Elle contribue à démontrer la mise en oeuvre des principes de protection de la vie privée afin que les personnes concernées gardent la maîtrise de leurs DCP.

Comment mener une évaluation d’impact sur la vie privée (EIVP) ?

Pour se conformer à la loi et réaliser une EIVP, il convient :

1. De décrire le (s) traitement(s) considéré(s), les données à caractère personnel concernés et leur usage ;

2. D’identifier les mesures existantes ou prévues pour respecter les exigences légales et traiter les risques sur la vie privée des personnes concernées par le(s) traitement(s) ;

3. D’apprécier les situations à risques pour vérifier qu’ils sont convenablement traités au sein de l’organisme ;

4. De valider la manière dont il est prévu de respecter les principes de protection de la vie privée et de valider les risques résiduels.

Le responsable des traitements doit approuver les résultats de l’EIVP et prendre les décisions qui s’imposent au regard des risques identifiés.

« Le responsable du traitement est tenu de prendre toutes

précautions utiles, au regard de la nature des données et des risques

présentés par le traitement, pour préserver la sécurité des données

et, notamment, empêcher qu’elles soient déformées, endommagées,

ou que des tiers non autorisés y aient accès. »

Article 34 de Loi 78-17 du 6 janvier 1978 modifiée

1 Source : Guide Evaluation d’Impact sur la Vie Privée, Juin 2015 – CNIL

AGERIS PRIV@CY

Créé en 2008, Ageris Priv@cy

est le département de la société

Ageris Group spécialisé dans

l’audit, le conseil, la formation et

la fourniture de solutions dans le

domaine de la protection des

données à caractère personnel.

Composé d’experts dans les

domaines juridiques et de la sécurité

des systèmes d’information, AGERIS

Priv@cy accompagne les

entreprises et les organismes publics

afin de renforcer la sécurité juridique

face aux enjeux liés aux technologies

de l’information et de protéger les

droits des employés, des clients et

des organismes eux-mêmes.

AGERIS Priv@cy

Tél. : +33 (0) 3 87 62 06 00

www.ageris-privacy.com

http://www.ageris-privacy.com/

DEMARCHE DE CONFORMITE2

La démarche de conformité proposée par la CNIL en menant une EIVP repose sur le respect des principes de protection de la vie privée :

Le respect des principes juridiques en matière de protection de la vie privée (finalité déterminée, explicite et légitime ; données adéquates, pertinentes et non excessives ; information claire et complète des personnes ; durée de conservation limitée ; droit d’opposition, d’accès, de rectification et suppression…), pour déterminer et justifier la pertinence des mesures destinées à satisfaire ces exigences ;

La gestion des risques liés à la sécurité des DCP et ayant un impact sur la vie privée des personnes concernées, afin de «prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (article 34 de la [Loi-I&L]).

CADRE REGLEMENTAIRE : LE NOUVEAU REGLEMENT EUROPEEN

2016 est l’année d’adoption par les institutions européennes d’un nouveau règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données).

Ce nouveau règlement modifie la directive 95/46/CE du 24 octobre 1995, texte fondateur du cadre légal des états membres de l’Union Européenne en matière de protection des données à caractère personnel.

Il généralise l’obligation de réaliser une analyse des impacts sur la vie privée pour certains traitements de DCP dont la liste pourra être définie par la CNIL.

« Lorsqu'un type de traitement, en particulier par le recours à de nouvelles

technologies, et compte tenu de la nature, de la portée, du contexte et des

finalités du traitement, est susceptible d'engendrer un risque élevé pour les

droits et libertés des personnes physiques, le responsable du traitement

effectue avant le traitement une analyse de l'impact des opérations de

traitement envisagées sur la protection des données à caractère personnel.

Une même analyse peut porter sur un ensemble d'opérations de traitements

similaires qui présentent des risques élevés similaires»

Article 33 de la proposition de règlement du Parlement européen et du Conseil relatif

à la protection des personnes physiques à l'égard du traitement des données à

caractère personnel et à la libre circulation de ces données.


Source : Guide EIVP de la CNIL –juin 2015

METHODOLOGIE POUR MENER UNE EIVP

La méthodologie proposée par la CNIL s’appuie sur la méthode EBIOS (Expression des Besoins et

Identification des Objectifs de Sécurité) développée par l’Agence Nationale de Sécurité des Systèmes

d’Information (ANSSI).

Créée en 1995 et régulièrement mise à jour, la méthode EBIOS bénéficie de 20 ans d’expérience dans

le domaine de la gestion du risque. Elle permet d’apprécier et de traiter les risques relatifs à la sécurité

des systèmes d’information (SSI). Elle permet aussi de communiquer à leur sujet au sein de

l’organisme et vis-à-vis de ses partenaires, constituant ainsi un outil complet de gestion des risques

SSI.

La démarche méthodologique appliquée à l’évaluation d’impact sur la vie privée s’appuie sur les 4

phases suivantes :

Phase 1

Description du contexte et du

périmètre de l’EIVP

Description du traitement, des DCP, des processus et des

supports.

Phase 2

Description des mesures de nature

juridique et de sécurité

Identifier les mesures pour respecter les exigences légales et les mesures de sécurité destinées à traiter les risques.

Phase 3

Description des risques pesant sur la vie

privée des personnes concernées

Cartographier les risques selon leur gravité et leur vraisemblance en identifiant les sources de menaces, les évènements redoutés et les menaces sur les supports de DCP

Phase 4

Validation de l’EIVP

Décider de l’acceptabilité ou non des risques et décider du plan d’actions correctif à déployer

DESCRIPTION DES PHASES D’UN PROJET EIVP

PHASE 1 : Description du contexte et du périmètre de l’EIVP

Cette phase vise à délimiter et à décrire le périmètre de manière détaillée en précisant notamment :

les données à caractère personnel (DCP) concernées par le(s) traitement(s), leurs destinataires, les personnes pouvant y accéder et leurs durées de conservation,

les processus de gestion des DCP et les supports utilisés pour l’ensemble du cycle de vie des DCP (depuis leur collecte jusqu’à leur effacement).

Intervenants impliqués dans cette phase CIL + Chef de Service en charge de la mise en oeuvre du traitement

Estimation de la charge de travail Atelier de travail entre 2h00 et 4h00

Pour collecter les informations de description du traitement et des supports de DCP, il est recommandé de s’appuyer sur les documents relatifs aux formalités préalables réalisées lors de la mise en œuvre du traitement (cas de modification d’un traitement).

Dans le cadre de la mise en œuvre d’un nouveau traitement, les informations collectées pourront être utilisées pour réaliser les formalités préalables à la mise en œuvre du traitement.

Exemple de livrable :

[Extrait de la solution SCORE Priv@cy]

Type de DCP Catégorie Destinataires des DCP

(et justifications)

Personnes pouvant y

accéder (et justifications)

Durée de conservation

(et justifications)

Commentaires

complémentaires

État-civil, identité, données d'identification XTiers autorisés Tant que salarié

Vie personnelle habitudes de vie, situation familiale, hors données

sensibles ou dangereuses…)

Tiers autorisés Tant que salarié

Vie professionnelle (CV, scolarité formation professionnelle,

distinctions…) XTiers autorisés Tant que salarié

Informations d'ordre économique et financier (revenus, situation

financière, situation fiscale…) XTiers autorisés Tant que salarié

Données de connexion (adresses IP, journaux d’événements…)

Données de localisation (déplacements, données GPS, GSM…)

Numéro de sécurité sociale (NIR) XTant que salarié

Données biométriques

Données bancaires

Opinions philosophiques, politiques, religieuses, syndicales, vie

sexuelle, données de santé, origine raciales ou ethniques, relatives à

la santé ou à la vie sexuelle

Infractions, condamnations, mesures de sécurité

Finalité du traitement

DCP

courantes

Catégories de DCP

traitées

DCP perçues

comme

sensibles

DCP

sensibles au

sens de la

[Loi-I&L]

Gestion du personnelNom du traitement

Gestion du personnel et suivi de l'évolution de carrière

Description du traitement concerné par le projet EIVP / PIA


PHASE 2 : Description des mesures de nature juridique et de sécurité

Cette phase vise à délimiter et à décrire de manière détaillée :

les mesures existantes ou prévues pour respecter les exigences légales en vigueur ;

les mesures organisationnelles, de sécurité logique et de sécurité physique destinées à traiter les risques.

Intervenants impliqués dans cette phase CIL + Chef de Service en charge de la mise en oeuvre du traitement + RSSI

Estimation de la charge de travail Atelier de travail entre 4h00 et 8h00

Les mesures de nature juridique doivent être analysées sur les aspects suivants3 :

Finalité : finalité déterminée, explicite et légitime ;

Minimisation : réduction des données à celles strictement nécessaires ;

Qualité : préservation de la qualité des données à caractère personnel ;

Durée de conservation : durée nécessaire à l’accomplissement des finalités, à défaut d’une autre obligation légale imposant une conservation plus longue ;

Information : respect du droit à l’information des personnes concernées ;


Processus

génériques Description détaillée du processus

x

x

x

x

x

x

X

X

x

Destruction

Broyeurs

Canaux de transmission papier

Supports papier

Matériels et supports de données électroniques

Logiciels

Canaux informatiques

Personnes

Transfert Matériels et supports de données électroniques

Logiciels

Canaux informatiquesMessagerie électronique

Personnes

Supports papier

Canaux de transmission papierCourrier postal

Utilisation Matériels et supports de données électroniques

LogicielsSIRH


Personnessalariès de la DRH

Supports papierdossier salariè


Collecte

Liste des ressources internes utilisées

dossier de recrutement

Logiciels


Personnes

Supports papier


SIRH



Logiciels


Personnes

Supports papierdossier du personnel

Description des supports de DCP


Description des

processus et des

moyens utilisés

Moyens utilisés pour traiter les DCP

Conservation

Consentement : obtention du consentement des personnes concernées ou existence d’un autre fondement légal justifiant le traitement ;

Droit d’opposition : respect du droit d’opposition des personnes concernées ;

Droit d’accès : respect du droit des personnes concernées d’accéder à leurs données ;

Droit de rectification : respect du droit des personnes concernées de corriger leurs données et de les effacer ;

Transferts : respect des obligations en matière de transfert de données en dehors de l’Union européenne ;

Formalités : définition et accomplissement des formalités préalables applicables au traitement.

Les mesures de sécurité doivent être analysées sur les aspects suivants4 :

Mesures organisationnelles : organisation, politique, gestion des risques, gestion de projets, gestion des incidents, supervision…

Mesures de sécurité logique : anonymisation, chiffrement, sauvegardes, cloisonnement des données, contrôle d’accès logique…

Mesures de sécurité physique : contrôle d’accès physique, sécurité des matériels, protection contre les sources de risques non humaines…




Mesures Description des mesures / Justifications

Finalité : finalité déterminée, explicite et légitime Mesure(s) appliquée(s) Les finalités sont parfaitement connues et explicité sur les formulaires de collecte des DCP

Minimisation : réduction des données à celles strictement nécessaires Mesure(s) non appliquée(s) L'analyse détaillée des formulaires de collecte n'a pas été réalisée

Qualité : préservation de la qualité des données à caractère personnelMesure(s) partiellement appliquée(s) ou

en cours de mise en œuvreIl n'existe de pas de procédure

Durées de conservation : durée nécessaire à l’accomplissement des finalités, à défaut d’une autre obligation légale

imposant une conservation plus longueMesure(s) non appliquée(s) Les données ne sont pas purgées ou détruites

Information : respect du droit à l’information des personnes concernées Mesure(s) appliquée(s) Ok sur les mentions légales

Consentement : obtention du consentement des personnes concernées ou existence d’un autre fondement légal

justifiant le traitementMesure(s) appliquée(s) OK lors de la collecte des DCP

Droit d’opposition : respect du droit d’opposition des personnes concernéesMesure(s) partiellement appliquée(s) ou

en cours de mise en œuvreOK lors de la collecte des DCP

Droit d’accès : respect du droit des personnes concernées d’accéder à leurs données Mesure(s) appliquée(s) Procédure connue de tous

Droit de rectification : respect du droit des personnes concernées de corriger leurs données et de les effacerMesure(s) partiellement appliquée(s) ou

en cours de mise en œuvrele service RH ne souhaite pas modifier les DCP

Transferts : respect des obligations en matière de transfert de données en dehors de l’Union européenne Pas applicable / non concerné

Formalités : définition et accomplissement des formalités préalables applicables au traitement Mesure(s) appliquée(s) Déclaration CNIL OK

1. Mesures de nature juridique (obligatoires)

Situation opérationnelle


PHASE 3 : Description des risques pesant sur la vie privée des personnes concernées5

Cette phase vise à décrire de manière détaillée :

Les sources de risques pertinentes dans le contexte considéré et les capacités des sources de risques ;

Les événements redoutés en déterminant les impacts potentiels sur la vie privée des personnes concernées s'ils survenaient et en estimant leur gravité, notamment en fonction du caractère préjudiciable des impacts potentiels et, le cas échéant, des mesures susceptibles de les modifier ;

Les menaces sur les supports des DCP qui pourraient mener à chaque événement redouté en sélectionnant les sources de risques qui pourraient en être à l’origine et en estimant leur vraisemblance, notamment en fonction des vulnérabilités des supports de DCP, des capacités des sources de risques à les exploiter et des mesures susceptibles de les modifier ;

Les risques en déterminant le niveau de chaque risque selon sa gravité et sa vraisemblance.

Intervenants impliqués dans cette phase CIL + Chef de Service en charge de la mise en oeuvre du traitement + RSSI + DSI

Estimation de la charge de travail Ateliers de travail entre 1 et 3 jours



Anonymisation des DCP Pas applicable / non concerné

Chiffrement des DCP Mesure(s) non appliquée(s)

Contrôle d'intégrité lors du traitement des DCPMesure(s) partiellement appliquée(s) ou

en cours de mise en œuvre

Sauvegardes des DCP Mesure(s) appliquée(s)

Cloisonnement des DCP Mesure(s) appliquée(s)

Contrôle d'accès logique aux DCP Mesure(s) appliquée(s)

Traçabilité des opérations sur les DCPMesure(s) partiellement appliquée(s) ou


Prise en compte de la sécurité des données dans les procédures d'exploitation du SI Mesure(s) appliquée(s)

Surveillance (paramétrages, contrôles de configurations, surveillance en temps réel…) Mesure(s) appliquée(s)

Gestion des postes de travail Mesure(s) appliquée(s)

Lutte contre les codes malveillants (virus, logiciels espions, bombes logicielles…) Mesure(s) appliquée(s)

Protection des canaux informatiques (réseaux) Mesure(s) appliquée(s)


Éloignement des sources de risques (produits dangereux, zones géographiques dangereuses…) Pas applicable / non concerné

Contrôle d'accès physique Mesure(s) appliquée(s)

Sécurité des matériels Mesure(s) appliquée(s)

Sécurité des documents papierMesure(s) partiellement appliquée(s) ou


Sécurité des canaux papierMesure(s) partiellement appliquée(s) ou


Protection contre les sources de risques non humaines (feu, eau…) Mesure(s) appliquée(s)


4. Mesures de sécurité physique


3. Mesures de sécurité logique


Extrait de la solution SCORE Priv@cy]


Sources humaines

internes agissant de

manière délibérée

Sources humaines

externes agissant de

manière délibérée

Sources humaines

internes agissant

accidentellement

Sources humaines

externes agissant

accidentellement

Sources non

humaines Impacts potentiels Description des impacts

AucuneLes données sont vues par des personnes qui n’ont pas à les

connaître, sans que celles-ci ne les exploitent. X X X3. Les personnes concernées pourraient connaître des conséquences significatives,

qu’elles devraient pouvoir surmonter, mais avec des difficultés réelles et significatives3. Importante

StockageLes données sont copiées et sauvegardées à un autre endroit,

sans être davantage exploitées. X1. Les personnes concernées ne seront pas impactées ou pourraient connaître quelques

désagréments, qu’elles surmonteront sans difficulté1. Négligeable

Rediffusion

Les données sont diffusées plus que nécessaire et échappent à

la maîtrise des personnes concernées (ex. : diffusion non

désirée d’une photo sur Internet, perte de contrôle d’informations

publiées dans un réseau social...)

X X3. Les personnes concernées pourraient connaître des conséquences significatives,


Exploitation

Les données sont exploitées à d’autres fins que celles prévues

et/ou de manière injuste (ex. : fins commerciales, usurpation

d’identité, utilisation à l’encontre des personnes concernées...)

ou corrélées avec d’autres informations relatives aux personnes

concernées (ex. : corrélation d’adresses de résidence et de

données de géolocalisation en temps réel...) dans un premier

temps

4 Les personnes concernées pourraient connaître des conséquences significatives, voire

irrémédiables, qu’elles pourraient ne pas surmonter4. Maximale

Autre (à préciser)

Dysfonctionnement

Les données sont modifiées en des données valides ou

invalides, qui ne seront pas utilisées de manière correcte, le

traitement pouvant engendrer des erreurs, des

dysfonctionnements, ou ne plus fournir le service attendu (ex. :

altération du bon déroulement de démarches importantes...)

X3. Les personnes concernées pourraient connaître des conséquences significatives,


Exploitation

Les données sont modifiées en d’autres données valides, de

telle sorte que les traitements ont été ou pourraient être

détournés (ex. : exploitation pour usurper des identités en

changeant la relation entre l’identité des personnes et les

données biométriques d’autres personnes...).

X4 Les personnes concernées pourraient connaître des conséquences significatives, voire

irrémédiables, qu’elles pourraient ne pas surmonter4. Maximale

Dysfonctionnement

Les données sont manquantes à des traitements, ce qui génère

des erreurs, des dysfonctionnements, ou fournit un service

différent de celui attendu (ex. : certaines allergies ne sont plus

signalées dans un dossier médical, certaines informations

figurant dans des déclarations de revenus ont disparu, ce qui

empêche le calcul du montant des impôts...)

X X3. Les personnes concernées pourraient connaître des conséquences significatives,


Blocage

Les données sont manquantes à des traitements qui ne peuvent

plus du tout fournir le service attendu (ex. : ralentissement ou

blocage de processus administratifs ou commerciaux,

impossibilité de fournir des soins du fait de la disparition de

dossiers médicaux, impossibilité pour des personnes

concernées d’exercer leurs droits...).

3. Les personnes concernées pourraient connaître des conséquences significatives,


Disparition des

DCP

Gravité

Gravité des évènements redoutés

Accès illégitime

aux DCP

Modification

non désirée des

DCP

Violations

potentiellesSuites / objectifs poursuivis

Sources de risques

Evènements redoutés Vraisemblance

Accès illégitime aux DCP 3

Modification non désirée des DCP 2

Disparition des DCP 3

Accès illégitime aux

DCP

Modification non

désirée des DCP

Disparition des DCP

Gravité

4

4

3

Ces risques devraient pouvoir être pris, d’autant plus que le traitement des autres

risques devrait également contribuer à leur traitement.

1

4

3

2

1

G

r

a

v

i

t

é

2 3 4

Vraisemblance

Principaux impacts Principales menaces

Ces risques devraient absolument être évités ou réduits par l’application de

mesures de sécurité diminuant leur gravité et leur vraisemblance. Dans l’idéal, il

conviendrait même de s’assurer qu’ils sont traités à la fois par des mesures

indépendantes de prévention (actions avant le sinistre), de protection (actions

pendant le sinistre) et de récupération (actions après le sinistre) ;

Ces risques devraient être évités ou réduits par l’application de mesures de

sécurité diminuant leur gravité ou leur vraisemblance. Les mesures de prévention

devraient être privilégiées. Ils peuvent être pris, mais uniquement s’il est démontré

qu’il n’est pas possible de réduire leur gravité et si leur vraisemblance est

négligeable ;

Ces risques devraient être réduits par l’application de mesures de sécurité

diminuant leur vraisemblance. Les mesures de récupération devraient être

privilégiées. Ils peuvent être pris, mais uniquement s’il est démontré qu’il n’est pas

possible de réduire leur vraisemblance et si leur gravité est négligeable ;

PHASE 4 : Décision : la validation de l’EIVP

Cette phase vise à :

Étudier les résultats des étapes précédentes en vérifiant qu’il n’est pas utile, ou pas possible, d’améliorer la manière dont chaque mesure de nature juridique est mise en oeuvre et en vérifiant qu’il n’est pas utile, ou pas possible, d’améliorer la manière dont chaque risque est traité ;

Décider de l’acceptabilité ou non des risques, de manière argumentée, notamment au regard des enjeux préalablement identifiés ;

Décider du plan d’actions correctif à déployer pour réduire les risques inacceptables.

3 options peuvent être présentées au responsable du traitement6 :

Option 1 : Le PIA n’est pas encore jugé acceptable : Définir les objectifs

Dans ce cas, il convient de déterminer les objectifs pour les exigences légales et risques pour lesquels la manière de les traiter n’a pas été jugée acceptable et de reprendre les étapes précédentes.

Option 2 : Le PIA est jugé acceptable mais il convient de définir un plan d’action

Dans ce cas, des mesures spécifiées dans le plan d’action devront être formalisées, mises en place, contrôlées de manière régulière et améliorées de manière continue.

Option 3 : Le PIA est jugé acceptable : la validation formelle de l’EIVP

Dans ce cas la validation de l’EIVP doit être formalisée par le responsable du traitement.




Libellé Prévention des risques Acceptabilité Arguments

Finalité Mesure(s) appliquée(s) Mesures de protection de la vie privée acceptables

Minimisation Mesure(s) non appliquée(s) Mesures de protection de la vie privée insuffisantes

QualitéMesure(s) partiellement appliquée(s) ou en

cours de mise en œuvreMesures de protection de la vie privée insuffisantes

Durées de conservation Mesure(s) non appliquée(s) Mesures de protection de la vie privée insuffisantes

Information Mesure(s) appliquée(s) Mesures de protection de la vie privée acceptables

Consentement Mesure(s) appliquée(s) Mesures de protection de la vie privée acceptables

Droit d’oppositionMesure(s) partiellement appliquée(s) ou en


Droit d’accès Mesure(s) appliquée(s) Mesures de protection de la vie privée acceptables

Droit de rectificationMesure(s) partiellement appliquée(s) ou en


Transferts Pas applicable / non concerné Mesures de protection de la vie privée insuffisantes

Formalités Mesure(s) appliquée(s) Mesures de protection de la vie privée acceptables

Mesures de protection de la vie privée insuffisantes



Risques sur les DCP

Mesures de

nature juridique

Acceptabilité de la protection juridique des personnes concernées NON

Acceptabilité des risques sur les données à caractère personnel NON

Accès illégitime aux DCP

Modification non désirée des DCP

Disparition des DCP


Mesures Actions / mesures à prévoir Difficulté Coût financier Terme Avancement

Finalité : finalité déterminée, explicite et légitime Mesure(s) appliquée(s)

Minimisation : réduction des données à celles strictement nécessaires Mesure(s) non appliquée(s) Modifier les formulaires Faible Nul Trimestre Non démarré

Qualité : préservation de la qualité des données à caractère personnelMesure(s) partiellement appliquée(s) ou en

cours de mise en œuvreMettre en œuvre un contrôle de la qualité Faible Moyen Trimestre

Durées de conservation : durée nécessaire à l’accomplissement des finalités, à défaut d’une

autre obligation légale imposant une conservation plus longueMesure(s) non appliquée(s) purger les DCP Moyenne Moyen Trimestre

Information : respect du droit à l’information des personnes concernées Mesure(s) appliquée(s)

Consentement : obtention du consentement des personnes concernées ou existence d’un

autre fondement légal justifiant le traitementMesure(s) appliquée(s)

Droit d’opposition : respect du droit d’opposition des personnes concernéesMesure(s) partiellement appliquée(s) ou en

cours de mise en œuvrepermettre le droit d'opposition Faible Nul Trimestre

Droit d’accès : respect du droit des personnes concernées d’accéder à leurs données Mesure(s) appliquée(s)

Droit de rectification : respect du droit des personnes concernées de corriger leurs données et

de les effacer

Mesure(s) partiellement appliquée(s) ou en

cours de mise en œuvrepermettre le droit de rectification Faible Nul Trimestre

Transferts : respect des obligations en matière de transfert de données en dehors de l’Union

européennePas applicable / non concerné

Formalités : définition et accomplissement des formalités préalables applicables au traitement Mesure(s) appliquée(s)

Mesures Description des mesures / Justifications Difficulté Coût financier Terme Avancement

Organisation de la protection de la vie privée (définition des rôles et responsabilités)Mesure(s) partiellement appliquée(s) ou en

cours de mise en œuvreformaliser les rôles et responsabilités Faible Nul

Politique (gestion des règles) formalisée de protection de la vie privée Mesure(s) non appliquée(s) formaliser une politique vie privée Faible Moyen

Gestion des risques sur la vie privée Mesure(s) non appliquée(s) mettre en place une gestion des risques Moyenne Moyen

Prise en compte de la protection de la vie privée dans le cadre de la gestion de projet Mesure(s) partiellement appliquée(s) ou en

cours de mise en œuvremettre en place la sécurité dans les projets Elevée Moyen

Gestion des incidents et des violations de données à caractère personnel Mesure(s) non appliquée(s) formaliser une procédure Faible Nul

Prise en compte de la protection de la vie pivée par le personnel en charge du traitementMesure(s) partiellement appliquée(s) ou en

cours de mise en œuvresensibiliser Faible Moyen

Relations avec les tiers impliqués dans la mise en œuvre du traitement (fournisseurs, ….) Mesure(s) non appliquée(s) modifier contrat Faible Nul

Prise en compte de la protection de la vie privée dans le cadre de la maintenance du SI Mesure(s) non appliquée(s) faire signer une charte Faible Nul

Supervision de protection de la vie privée (audits, tableaux de bord…) Mesure(s) non appliquée(s) faire des tableaux de bord Moyenne Moyen

Marquage des documents contenant des données à caractère personnelMesure(s) partiellement appliquée(s) ou en

cours de mise en œuvreclassifier les documents Elevée Moyen

Archivage des données à caractère personnel Mesure(s) appliquée(s)


Anonymisation des DCP Pas applicable / non concerné

Chiffrement des DCP Mesure(s) non appliquée(s) chiffrer les DCP dans le SIRH Elevée Moyen

Contrôle d'intégrité lors du traitement des DCPMesure(s) partiellement appliquée(s) ou en

cours de mise en œuvreprocédure de contrôle d'intégrité Faible Nul

Sauvegardes des DCP Mesure(s) appliquée(s)

Cloisonnement des DCP Mesure(s) appliquée(s)

Contrôle d'accès logique aux DCP Mesure(s) appliquée(s)

Traçabilité des opérations sur les DCPMesure(s) partiellement appliquée(s) ou en

cours de mise en œuvrerenforcer la traçabilité Moyenne Elevé

Prise en compte de la sécurité des données dans les procédures d'exploitation du SI Mesure(s) appliquée(s)

Surveillance (paramétrages, contrôles de configurations, surveillance en temps réel…) Mesure(s) appliquée(s)

Gestion des postes de travail Mesure(s) appliquée(s)

Lutte contre les codes malveillants (virus, logiciels espions, bombes logicielles…) Mesure(s) appliquée(s)

Protection des canaux informatiques (réseaux) Mesure(s) appliquée(s)


Éloignement des sources de risques (produits dangereux, zones géographiques

dangereuses…)Pas applicable / non concerné

Contrôle d'accès physique Mesure(s) appliquée(s)

Sécurité des matériels Mesure(s) appliquée(s)

Sécurité des documents papierMesure(s) partiellement appliquée(s) ou en

cours de mise en œuvredéployer des broyeurs Faible Moyen

Sécurité des canaux papierMesure(s) partiellement appliquée(s) ou en

cours de mise en œuvresensibiliser les secrétariats Faible Moyen

Protection contre les sources de risques non humaines (feu, eau…) Mesure(s) appliquée(s)

Plan d'actions (mesures complémentaires)



1. Mesures de nature juridique (obligatoires) Plan d'actions (mesures complémentaires)

2. Mesures organisationnelles

3. Mesures de sécurité logique

4. Mesures de sécurité physique





QUI EST CONCERNE PAR L’EIVP

D'une manière générale, une EIVP est menée par un responsable de traitement ou un fournisseur de produits. Elle s’inscrit dans le cadre d’une prise en compte de la protection des données dès la phase amont d’un projet.

Elle requiert la participation de plusieurs parties prenantes du responsable de traitement, avec des rôles et responsabilités différents selon les étapes7 :

8 Il s’agit des métiers. Elle peut être déléguée, représentée ou sous-traitée. 9 Elle peut également être déléguée, représentée ou sous-traitée. 10 Ou la personne en charge des aspects « Informatique et libertés ». 11 Responsable de la sécurité des systèmes d’information ou personne en charge des aspects « Sécurité ». 12 Personne légitime pour approuver l’action. 13 Personne(s) consultée(s) pour obtenir les informations utiles à l’action. 14 Personne(s) informée(s) des résultats de l’action. 15 Personne(s) responsable(s) de la mise en oeuvre de l’action.

LE RAPPORT DE L’EIVP

Le rapport de l’EIVP est le document à produire quand une évaluation d’impact sur la vie privée est menée. Il devrait au minimum comporter les parties suivantes :

Une présentation du (des) traitements(s) considéré(s) par l’EIVP et la description du périmètre ;

La liste des mesures de nature juridique mises en œuvre ou prévues ;

La liste des mesures destinées à traiter les risques sur les DCP concernées par le(s) traitement(s) ;

La cartographie des risques identifiés au travers du processus d’appréciation des menaces et des évènements redoutés pouvant impacter les DCP concernées par le(s) traitement(s) ;

La décision argumentée de validation de l’EIVP par le responsable des traitements ;

Le plan d’action de réduction des risques inacceptables validé par les équipes en charge de sa mise en œuvre.

Il doit être rendu accessible aux autorités de protection des données (ex. : CNIL) et il est également parfois utile de publier et/ou de diffuser tout ou partie du rapport de l’EIVP, par exemple, si des obligations réglementaires l’imposent, s’il est requis en tant qu’élément « d’accountability », ou si cela est jugé opportun pour des raisons d’image.


OUTILLAGE DE LA CNIL

La CNIL met à disposition sur son site un document ‘outillage’ d’aide à la réalisation d’une EIVP.

Ce document constitué de 25 pages contient des modèles de fiches à compléter pour chacune des étapes de l’EIVP ainsi que les référentiels utiles pour chaque sujet et thème abordé.

Exemple de fiche disponible de l’outillage proposé par la CNIL :

Source : Guide EIVP de la CNIL –juin 2015

SOLUTION SCORE PRIV@CY8

Afin de faciliter la réalisation d’une évaluation d’impact sur la vie privée, Ageris Priv@cy a développé une solution logicielle entièrement basée sur les recommandations de la CNIL.

Un module de cette solution est dédié à l’évaluation d’impact sur la vie privée et intègre l’ensemble de la démarche et de l’outillage proposés par la CNIL dans ses différents guides.

Au travers d’un menu ergonomique et simple d’usage, la solution proposée par Ageris Priv@cy permet au CIL de mettre en œuvre la démarche EIVP dans le cadre du processus d’amélioration recommandé par la CNIL.

Les acteurs impliqués dans l’EIVP sont guidés dans sa réalisation en complémentant les fiches disponibles et en ayant accès immédiatement aux résultats générés automatiquement par le logiciel.

REFERENCES BIBLIOGRAPHIQUES

PIA, LA MÉTHODE - Comment mener une EIVP, un PIA, Juin 2015, CNIL

PIA, L’OUTILLAGE - Modèles et bases de connaissances, Juin 2015, CNIL

Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

Les mesures pour traiter les risques sur les libertés et la vie privée, édition 2012, CNIL

8 Source : AGERIS Group

Evaluation d'Impact sur la Vie Privée (EIVP)

Périmètre de l'Evaluation d'Impact

sur la VP

1

Analyse des mesures de

protection de la VP

2 3

Analyse des sources de menaces

Analyse des évènements redoutés

(gravité)

4 5

Analyse des menaces (vraisemblance)

Cartographie des risques sur la vie

privée

6

Acceptation des résultats de l'EIVP

7

Plan d'actions de protection de la vie

8

Support PPT de l'évaluation d'impact

9

Registre des évaluations d'impact

sur la VPParamètres du

moduleGuide EIVP de la CNIL

http://www.ageris-consulting.com/?page_id=349

L’OFFRE D’AGERIS PRIV@CY POUR LES CIL / DPO

AGERIS Priv@cy accompagne depuis plus de 8 ans les CIL dans leur démarche de renforcement de la sécurité juridique et mise en conformité des traitements de données à caractère personnel.

Les retours d’expérience acquis au travers des différentes missions ont permis à AGERIS Priv@cy de construire une offre de services et de solutions adaptées aux besoins des organismes selon leur maturité et leur domaine d’activité.

Notre offre vise à renforcer l’expertise et les compétences des CIL dans leurs démarches au travers les services et les solutions suivantes :

1. Prestation d’audit de conformité juridique des traitements et de sécurité des données à caractère personnel.

2. Prestation de conseil et d’assistance du CIL / DPO sur la mise en conformité juridique des traitements et la sécurité des données à caractère personnel.

3. Formation et transfert de compétences du CIL / DPO et des personnels en charge de la mise en œuvre des traitements.

4. Prestations de CIL / DPO externe.

5. Solution logicielle de gestion de la conformité juridique des traitements et de la sécurité des données à caractère personnel.

Notre catalogue de service et de solutions prend en compte les exigences réglementaires actuelles ainsi que les nouvelles exigences qui seront imposées lors de l’application du nouveau règlement européen en 2018.

NOS SECTEURS D’ACTIVITE : 8 ANS D’ACQUIS

Fort de plusieurs années d’expériences, nous sommes en mesure d’accompagner les organismes des secteurs d’activités suivants :

Acteurs du domaine de la santé : établissement de santé, hébergeur de données de santé, GHT, etc.

Collectivités locales : Conseil Départemental, Conseil Régional, Métropôle, Communauté d’agglomération, Mairie, etc.

Bailleurs sociaux privés ou publics.

Entreprises du secteur bancaire et assurance.

Industriels (PMI, Grand groupe, etc.).

LES PRESTATIONS DE CONSEIL ET D’AUDIT DE CONFORMITE JURIDIQUE ET DE SECURITE

L’équipe d’AGERIS Priv@cy est composée de consultants / auditeurs spécialisés dans le domaine juridique (juriste NTIC) et dans le domaine de la sécurité des systèmes d’information (SSI).

Cette double compétence permet de réaliser des missions qui prennent en compte tout le périmètre de conformité des traitements de données à caractère personnel tel qu’il est imposé dans la règlementation en vigueur.

AGERIS PRIV@CY

Créé en 2008, Ageris Priv@cy

est le département de la société

Ageris Group spécialisé dans

l’audit, le conseil, la formation et

la fourniture de solutions dans le

domaine de la protection des

données à caractère personnel.

Composé d’experts dans les

domaines juridiques et de la sécurité

des systèmes d’information, AGERIS

Priv@cy accompagne les

entreprises et les organismes publics

afin de renforcer la sécurité juridique

face aux enjeux liés aux technologies

de l’information et de protéger les

droits des employés, des clients et

des organismes eux-mêmes.

AGERIS Priv@cy

Tél. : +33 (0) 3 87 62 06 00

www.ageris-privacy.com

http://www.ageris-privacy.com/

evaluation d’impact sur la vie privee (eivp … · la vie privee (eivp – pia) livre blanc –...

Documents