Il faut différencier la conformité aux obligations et les réponses apportées par l’organisme, de la démarche d’étude des risques décrites dans un PIA (Privacy Impact Assessment, ou analyse d’impact relative à la protection des données dans le RGPD).

L’analyse de la conformité aux obligations provenant de l’application de la législation (en particulier du RGPD et de la loi Informatique et libertés) peut ainsi être incluse dans l’atelier 1 d’EBIOS Risk Manager.
Pour ce faire, il ne faut pas mettre le RGPD dans son ensemble dans le socle de sécurité car il ne s’agit pas d’une liste d’exigences.
Par contre :
– les « normes simplifiées » de la CNIL, ou autres référentiels précis publiés par la CNIL ou l’EDPB (les CNILs européennes), peuvent utilement être ajoutées au socle (qui n’est plus que « de sécurité » dans ce cas), car il s’agit d’obligations ou de recommandations précises ;
– le « Socle pour la protection de la vie privée » du Club EBIOS peut être employé de la même manière.

L’étude des risques liés aux données à caractère personnel peut ensuite être menée par scénarios, en considérant les impacts sur les droits et libertés des personnes concernées, en plus ou à la place de la cybersécurité.
NB : EBIOS Risk Manager est une application d’EBIOS à la cybersécurité, dont l’objectif est de protéger les organismes contre les risques liés au numérique, alors que la protection de la vie privée a pour objectif de protéger les personnes concernées contre les mauvais usages et violations de leurs données, etc. Les deux approches sont complémentaires.