PIA, AIPD, analyses d’impact, ces mots ne vous disent rien ? On vous donne un indice : ce sont des synonymes… Si vous n’avez pas la réponse, nous vous invitons à continuer votre lecture car Dune lève le voile sur l’analyse d’impact relative à la protection des données.
Depuis le 25 mai 2018, le RGPD prévoit que les organismes privés ou publics doivent, avant de mettre en œuvre des traitements de données personnelles présentant un risque sur la vie privée, réaliser une analyse d’impact relative à la protection des données, également appelée, en anglais, Data Protection Impact Assessment (« AIPD ») ou Privacy Impact Assessment (« PIA »).
Pour les traitements antérieurs au 25 mai 2018, la CNIL avait octroyé un sursis de 3 ans en n’exigeant pas la réalisation immédiate d’analyse d’impact, notamment pour les traitements qui avaient fait l’objet d’une formalité déclarative avant le RGPD.
Ce sursis de 3 ans vient d’expirer le 25 mai 2021.
En outre, la CNIL a établi la liste des traitements qui ne requièrent pas d’analyses d’impact et donc sans risque sur la vie privée et qui est consultable ici. A titre d’exemple, il n’est pas nécessaire de réaliser une analyse d’impact pour certains traitements de ressources humaines ou de gestion des fournisseurs.
Si vos traitements ne sont pas répertoriés dans cette liste, il n’est plus possible de bénéficier du sursis et vous êtes censés avoir réalisé une ou plusieurs analyses d’impact.
Pour rappel, votre inaction peut être sanctionnée par une amende administrative pouvant s’élever jusqu’à 10.000.000 € ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant choisi.
Si vous ne l’avez pas encore fait, le temps est venu. Mieux vaut tard que jamais !