Comment utiliser EBIOS Risk Manager pour mener un PIA ?
Pour tous ceux qui souhaitent utiliser EBIOS Risk Manager pour mener un PIA (Privacy Impact Assessment, communément, ou analyse d’impact relative à la protection des données – AIPD, dans le cadre spécifique de l’article 35 du RGPD), voici une infographie qui synthétise la démarche :
D’une manière générale, la sécurité de l’information / cybersécurité et la protection de la vie privée traitent toutes deux de protection des données.
L’objectif diffère : en sécurité de l’information, le but est de protéger l’organisme, alors qu’en protection de la vie privée, le but est de protéger les personnes.
Mais la manière de gérer les risques est parfaitement compatible !
Pour mener un PIA avec EBIOS Risk Manager, il suffit ainsi de :
- prendre le traitement de données à caractère personnel considéré comme objet de l’étude EBIOS Risk Manager ;
- évaluer le respect des principes fondamentaux (finalité déterminée, données minimisées, information des personnes, leur permettre l’exercice de leurs droits, etc.), et ceci peut se faire dans le cadre du socle de l’atelier 1 d’EBIOS Risk Manager ;
- identifier les impacts potentiels sur les personnes concernées et estimer leur gravité, et ceci peut se faire dans le cadre des événements redoutés du même atelier 1 d’EBIOS Risk Manager.
Toutes les informations requises dans un PIA se retrouvent toutes dans l’étude :
- la description du traitement est issue de l’atelier 1 ;
- l’évaluation de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux est issue également de l’atelier 1 ;
- l’étude des risques sur la sécurité des données et leurs impacts potentiels sur la vie privée est issue des ateliers 1, 2, 3 et 4 ;
- les mesures envisagées pour faire face aux risques sont issues de l’atelier 5.