PIA vs. DPIA : L'art de l'évaluation des risques en matière de protection de la vie privée

Par Verrion Wright Stratégie et développement de contenu

2 septembre 2021

4 minute de lecture

Pouvez-vous contrôler avec précision la manière dont les données circulent à l'intérieur et à l'extérieur de votre organisation ?

Si ce n'est pas le cas, soyez prévenus : la plupart des entreprises ont besoin de comprendre comment elles peuvent se développer. collecter, utiliseret action et la manière dont ces pratiques sont liées au risque de violation de la vie privée.

Gérer les risques liés aux données et vie privée est souvent un cauchemar pour de nombreuses entreprises, car il peut être difficile de déterminer quelles données nécessitent un niveau de protection plus élevé. C'est pourquoi les entreprises doivent mettre en œuvre des évaluations des risques en matière de protection de la vie privée afin de comprendre les risques actuels et futurs qui pourraient avoir un impact sur les clients, les employés et l'organisation dans son ensemble.

Qu'est-ce que l'évaluation des risques en matière de protection de la vie privée ?

Les évaluations des risques ou de l'impact sur la vie privée sont généralement appelées Évaluations de l'impact sur la vie privée (EIVP) et Évaluations de l'impact de la protection des données (DPIA).

L'objectif d'une évaluation des risques en matière de protection de la vie privée est de fournir des signaux d'alerte précoce permettant de détecter les facteurs de risque afin que les organisations puissent éviter les erreurs dans respect de la vie privée et structurer leurs programmes pour réduire les risques liés à la protection de la vie privée. En outre, une évaluation des risques est un outil efficace contre le vol de données et pour la protection des clients dans le cadre de l'application de la loi sur la protection de la vie privée. le paysage de la confidentialité des données.

Le risque d'atteinte à la vie privée peut résulter de l'exposition à des problèmes pouvant découler de les informations personnelles identifiables (IPI) l'exposition aux risques. L'évaluation des risques tentera d'évaluer et, en fin de compte, de résoudre cette menace pour la vie privée des individus.

Qu'est-ce qu'une évaluation de l'impact sur la vie privée (EIVP) ?

A PIA est un processus standard qui identifie et documente les comportements des données à travers les processus, les produits et les systèmes qui contiennent des données sur la santé. les informations personnelles et établit comment le risque potentiel pour la vie privée est géré, protégé et partagé.

Les organisations utilisent les évaluations des incidences sur la vie privée pour atténuer les risques liés à la protection de la vie privée. Elles sont généralement réalisées lors de la mise en œuvre d'un nouveau processus commercial, de l'acquisition d'une nouvelle entreprise ou du lancement d'un nouveau produit. Toutefois, les ÉFVP peuvent également être appliquées aux processus, produits et systèmes existants lorsqu'ils sont modifiés (par exemple, lorsqu'une entreprise étend ses activités à un nouveau pays ou à une nouvelle région).

Les AIP aident toutes les entreprises :

veiller à ce que les informations collectées soient conformes aux exigences légales et réglementaires en matière de protection de la vie privée
évaluer les risques liés à la collecte, à la maintenance et à la circulation des informations confidentielles
identifier les mesures et procédures adéquates pour atténuer tout risque potentiel en matière de protection de la vie privée

Qu'est-ce qu'une analyse d'impact relative à la protection des données (DPIA) ?

Le Règlement général sur la protection des données (RGPD) de l'UE a mis en lumière la manière dont les organisations abordent la protection de la vie privée et l'évaluation des risques. Le GDPR a imposé aux entreprises une nouvelle obligation d'élaborer des DPIA pour les activités de traitement des données qui seraient considérées comme à haut risque.

Bien qu'il n'y ait pas d'exigences définitives sur la manière dont les organisations doivent documenter une DPIA, voici quelques exemples de mise en œuvre que les entreprises devraient prendre en considération :

une approche méthodique de la description des activités de traitement et de leur finalité globale (quoi, quand, comment et pourquoi les données à caractère personnel sont traitées)
Une évaluation de la base juridique qui rend la collecte de données nécessaire par rapport à sa finalité
Une évaluation du risque qui mettrait en péril le droit à la vie privée d'une personne donnée (client, employé, etc.).
que les mesures de protection des données qui doivent être prises pour atténuer les risques et garantir la protection des données personnelles et sensibles s'alignent sur les exigences du GDPR en matière de conformité.

Ces points clés devraient aider les organisations à hiérarchiser le type de données qu'elles collectent et traitent, le risque lié au traitement des données, la possibilité d'un incident et son impact global. Ainsi, une DPIA aide les organisations à adopter une approche objective de l'évaluation des risques liés au traitement des données et à se préparer à atténuer les scénarios négatifs.

La différence entre l'évaluation des incidences sur la vie privée et l'évaluation des effets sur la vie privée

Bien que les évaluations des incidences sur la vie privée et les évaluations des facteurs relatifs à la vie privée soient souvent utilisées de manière interchangeable, elles visent toutes deux des exigences et des objectifs différents. Par exemple, les PIA et les DPIA permettent aux entreprises d'aborder et de réduire les risques - droits individuels, conformité de l'organisation, ou les deux.

Les évaluations des facteurs relatifs à la vie privée sont principalement conçues pour analyser si les organisations ont mis en place des contrôles pour identifier les risques - et déterminer si ces organisations sont conformes aux réglementations en matière de protection de la vie privée. La capacité d'auditer les risques aide les organisations à adopter une approche proactive des problèmes potentiels et à remédier à tout domaine de non-conformité en apportant des réponses réactives aux questions suivantes avis de confidentialitéLes questions relatives à l'accès à l'information, aux opt-out, aux violations de données et à la protection de la vie privée sont au cœur des débats. sécurité des programmes.

En revanche, l'exigence d'une DPIA est étroitement liée à l'article 35 du GDPR, en particulier dans les cas où le traitement des données à caractère personnel est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes concernées.

Une DPIA est nécessaire dans ce type de scénario :

Une évaluation des aspects personnels identifiables d'un individu tels que le profilage (mécanismes de publicité ciblée)
Traitement à grande échelle des IP et des IPI (collecte des données biométriques des employés)
Collecte et traitement automatisés des données
Surveillance à grande échelle des espaces publics (données de surveillance/reconnaissance faciale)

Comment BigID contribue à l'évaluation des risques en matière de protection de la vie privée

Les PIA et DPIA peuvent être difficiles à gérer car ils comportent plusieurs exigences en matière de documentation - et il est important d'atténuer les risques pour rester en conformité.

Avec BigID, les organisations peuvent gérer, contrôler et valider les évaluations des risques en matière de protection de la vie privée pour Article 35 du GDPR et CPRA la conformité. Voici quelques exemples :

Collaborer avec une approche fondée sur les données pour remplir les PIA/DPIA
Intégrer avec Registre des activités de traitement (RoPA)
Personnaliser les questionnaires pour l'évaluation d'un processus ou d'un projet d'entreprise
Identifier et réduire les risques associés au traitement en fonction du niveau de risque et de l'activité
Coordonner avec les tiers contrôler et évaluer les risques liés à l'échange et au transfert de données
Automatiser le calcul des risques pour la protection de la vie privée, la sécurité et la gouvernance des données
Créer facilement rapports réglementaires se conformer aux exigences en matière de protection de la vie privée

En savoir plus - et commencez à utiliser l'application PIA de BigID pour automatiser la conformité réglementaire (article 35 du GDPR, CPRA) en créant des flux de travail et des cadres spécifiques pour les évaluations de l'impact sur la vie privée (PIA) et les évaluations de l'impact sur la protection des données (DPIA).

Verrion Wright

Stratégie et développement du contenu

Verrion Wright est un spécialiste du marketing très expérimenté et ambitieux, avec plus de 20 ans d'expérience dans le marketing produit, le développement de contenu et la stratégie numérique. Il a occupé des postes de direction dans divers secteurs, notamment les services informatiques, la confidentialité des données, le marketing et la publicité (planification des médias), en mettant l'accent sur les connaissances fondées sur les données et le marketing intégré. Chez BigID, Verrion est le directeur de la stratégie et du développement de contenu, qui aide à élever le contenu à travers tous les piliers, les régions et les acheteurs, en créant systématiquement un contenu convaincant sur plusieurs supports - y compris la vidéo, les articles, les listes de contrôle, les livres blancs et les guides.

Contenu

Qu'est-ce que l'évaluation des risques en matière de protection de la vie privée ?
Qu'est-ce qu'une évaluation de l'impact sur la vie privée (EIVP) ?
Qu'est-ce qu'une analyse d'impact relative à la protection des données (DPIA) ?
La différence entre l'évaluation des incidences sur la vie privée et l'évaluation des effets sur la vie privée
Comment BigID contribue à l'évaluation des risques en matière de protection de la vie privée