"Privacy Impact Assessment (PIA)"

Le Conseil d’administration du Club EBIOS a créé un exemple d’étude des risques sur la base de celle du système d’information de l’association.
L’étude a été réalisée à l’aide de la méthode EBIOS Risk Manager et porte à la fois sur la cybersécurité et la protection de la vie privée.
L’exemple a pour objectif d’illustrer des techniques de réalisation des ateliers et des techniques de présentation réutilisables dans d’autres analyses.

ClubEBIOS-Exemple_etude_des_risques
Télécharger le document au format PDF.
Télécharger le document au format Word.

Pour tous ceux qui souhaitent utiliser EBIOS Risk Manager pour mener un PIA (Privacy Impact Assessment, communément, ou analyse d’impact relative à la protection des données – AIPD, dans le cadre spécifique de l’article 35 du RGPD), voici une infographie qui synthétise la démarche :

D’une manière générale, la sécurité de l’information / cybersécurité et la protection de la vie privée traitent toutes deux de protection des données.
L’objectif diffère : en sécurité de l’information, le but est de protéger l’organisme, alors qu’en protection de la vie privée, le but est de protéger les personnes.
Mais la manière de gérer les risques est parfaitement compatible !

Pour mener un PIA avec EBIOS Risk Manager, il suffit ainsi de :

1. prendre le traitement de données à caractère personnel considéré comme objet de l’étude EBIOS Risk Manager ;
2. évaluer le respect des principes fondamentaux (finalité déterminée, données minimisées, information des personnes, leur permettre l’exercice de leurs droits, etc.), et ceci peut se faire dans le cadre du socle de l’atelier 1 d’EBIOS Risk Manager ;
3. identifier les impacts potentiels sur les personnes concernées et estimer leur gravité, et ceci peut se faire dans le cadre des événements redoutés du même atelier 1 d’EBIOS Risk Manager.

Toutes les informations requises dans un PIA se retrouvent toutes dans l’étude :

1. la description du traitement est issue de l’atelier 1 ;
2. l’évaluation de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux est issue également de l’atelier 1 ;
3. l’étude des risques sur la sécurité des données et leurs impacts potentiels sur la vie privée est issue des ateliers 1, 2, 3 et 4 ;
4. les mesures envisagées pour faire face aux risques sont issues de l’atelier 5.

Voir l’article

Le logiciel open source PIA facilite la conduite et la formalisation d’analyses d’impact relatives à la protection des données (AIPD) telles que prévues par le RGPD.

Il est diffusé par la CNIL : Télécharger

Cette norme internationale définit les principes qui doivent être respectés par toute approche de gestion des risques spécifique à la protection de la vie privée.

>Voir la norme (payante)

Le document suivant peut être utilisé lors de la détermination du socle de l’atelier 1 d’EBIOS Risk Manager dans le cas où l’objet de l’étude est un traitement de données à caractère personnel :
> Télécharger

Il constitue une déclaration d’applicabilité relative aux principes fondamentaux liés à la protection de la vie privée.

La suite de l’étude permet de satisfaire les obligations du RGPD en matière de sécurité (cf. art. 32) si vous appréciez les impacts sur les personnes concernées en plus de ceux sur l’organisme.
Vous pouvez ainsi utiliser EBIOS Risk Manager pour mener un PIA (cf. art. 35).

ClubEBIOS-2015-03-10-TOUBIANA
> Télécharger

Présentation d’une étude PIA (Privacy Impact Assessment) dans le cadre d’un périmètre composés d’objets connectés.