Compte tenu des risques et des menaces pesant sur les données et de leur impact sur l’entreprise, il est essentiel d’évaluer périodiquement dans quelle mesure les données sont protégées contre les menaces et d’identifier les vulnérabilités potentielles. Ceci est particulièrement important lorsque des données essentielles à une organisation sont examinées.
L’un des moyens les plus importants d’évaluer la sécurité et la protection des données critiques consiste à effectuer une analyse d’impact sur la protection des données (DPIA). Un tel examen est essentiel et la manière dont il est mené permet de garantir que les données sont accessibles, que leur intégrité est protégée contre les attaques et que leur disponibilité n’est pas compromise.
Cet article explique comment réaliser une DPIA, pourquoi c’est important et fournit des modèles DPIA pour aider une organisation à se préparer à une évaluation. Les orientations fournies supposent une approche manuelle de l’évaluation d’impact sur la protection des données, c’est pourquoi deux liens vers des modèles sont inclus. Il s’agit d’un bon point de départ pour identifier et se concentrer sur les risques et menaces les plus importants pour les données critiques. Les utilisateurs ont également la possibilité d’utiliser des systèmes automatisés pour rationaliser le processus et fournir plus de détails sur le processus de protection des données.
État actuel de la législation sur la protection des données et de la vie privée
En raison de l’importance croissante de la protection des données, en particulier contre les menaces telles que les attaques de phishing et de ransomware, des réglementations et des lois ont été publiées pour préciser comment les données doivent être protégées, et en particulier comment mener une DPIA.
À l’échelle internationale, la réglementation la plus souvent citée est le RGPD de l’UE. Des réglementations similaires ont été publiées dans d’autres pays, comme le Royaume-Uni et l’Inde. Le RGPD prévoit des sanctions spécifiques en cas de non-conformité. Il n’est donc pas surprenant qu’une DPIA soit une exigence du RGPD.
Bien que les États-Unis ne disposent actuellement d’aucune législation nationale formelle sur la confidentialité des données, au moins 15 États ont adopté une législation qui impose la confidentialité des données, en particulier pour les données personnelles et de santé. D’autres lois, telles que la HIPAA et la loi Gramm-Leach-Bliley, comprennent des sections traitant de la protection des données et de la confidentialité.
Importance d’une analyse d’impact sur la protection des données
Outre les sanctions potentielles en cas de défaut de démontrer que les données critiques sont protégées, la protection des données est un élément important d’un programme global de gestion des données. Un tel programme aborde le stockage des données, la sécurité des données, la récupération des données en cas d’urgence et la destruction des données. Dans le cadre de la sécurité des données, la protection des données est un élément clé.
Compte tenu des différentes manières dont les données sont traitées, on peut faire valoir que les données non protégées risquent d’être volées, corrompues, utilisées de manière inappropriée et autres dommages. Une DPIA est un moyen de plus en plus important de garantir que les données critiques sont protégées contre les logiciels malveillants et autres menaces. Les résultats d’une DPIA peuvent identifier les risques, les menaces et les vulnérabilités dans la manière dont les données sont traitées, consultées, stockées et autrement utilisées.
Considérations clés lors de la préparation d’une AIPD
Réaliser une évaluation d’impact sur la protection des données peut être une tâche très complexe et qui devient de plus en plus obligatoire dans les écosystèmes informatiques d’aujourd’hui. Voici les principales considérations :
- Faites preuve de prudence lors de l’analyse des données personnelles en vous assurant que le propriétaire des données a donné la permission d’examiner les données ; cela protège la confidentialité des données. Ne pas le faire pourrait entraîner des litiges.
- Les traitements de données appartenant à des catégories particulières ou liés à des infractions pénales doivent être identifiés.
- Des zones géographiques à grande échelle pourraient être examinées pour obtenir des données accessibles au public.
- Préoccupations concernant le traitement des données personnelles identifiables (PII) impliquant des enfants – qui pourraient être mineurs et ne pas comprendre ce qui se passe – des données génétiques ou des données biométriques en raison de leurs caractéristiques uniques et de leur risque potentiel.
- Les exigences de traitement particulières qui nécessitent la consultation d’une autorité compétente peuvent générer une liste d’activités de traitement nécessitant une DPIA.
- L’organisation chargée d’examiner les résultats de la DPIA peut spécifier des normes et des procédures pour réaliser, vérifier et auditer la DPIA.
- Lors de la réalisation de la partie évaluation des risques de la DPIA, évaluez le niveau de risque associé au traitement proposé et tenez compte à la fois de la probabilité et de la gravité de tout effet de risque sur les individus et les informations personnelles.
Ce qui doit être inclus dans une DPIA
Chaque évaluation doit inclure, au minimum, le contenu suivant :
- Description détaillée basée sur le système des activités de traitement proposées.
- Explication de la raison pour laquelle un tel traitement a lieu.
- Analyse de la nécessité et de l’importance relative du traitement proposé conformément à la ou aux finalités déclarées.
- Examen des risques et des effets du traitement proposé sur les droits et libertés des personnes concernées (par exemple, personnes physiques, enfants).
- Description de la manière dont le traitement proposé est conforme à l’article 35 du RGPD.
- Preuve documentée de consultation avec le délégué à la protection des données (DPD) de l’organisation, le cas échéant.
Les éléments ci-dessus démontrent non seulement la conformité réglementaire, mais constitueront également des preuves clés lors de tout audit du programme de gestion des données.
Étapes clés d’une DPIA
Les organisations informatiques qui se préparent à une DPIA doivent également être compétentes pour effectuer une analyse des risques. Les étapes suivantes sont recommandées pour effectuer une DPIA.
1. Identifier la nécessité d’une DPIA
Assurez-vous que la nécessité de traiter les informations personnelles est nécessaire et peut être justifiée. Cela comprend les éléments suivants :
- Décrire le projet dans lequel les données doivent être traitées.
- Le type de traitement prévu. Par exemple, la collecte de données à l’aide d’un appareil spécialisé tel qu’un moniteur cardiaque qui stocke les données pour une analyse plus approfondie et les traite dans un rapport sur la santé cardiaque peut être considérée comme une information personnelle.
- Considérations clés décrites précédemment qui pourraient nécessiter une AIPD.
2. Identifiez comment les données sont collectées et traitées
Expliquez la nature du traitement prévu sous plusieurs perspectives, telles que les suivantes :
- Le(s) but(s) du traitement proposé.
- Le(s) système(s), application(s) et référentiel de données à utiliser.
- Les sources de données).
- Quelles données doivent être partagées et avec qui.
- Si les données peuvent être supprimées.
- Mesures de sécurité pour garantir la confidentialité des données.
- Comment et où les données doivent être utilisées.
- Portée géographique des données.
- Comment les personnes dont les données doivent être traitées réagiront à l’utilisation de leurs données personnelles.
- Tout risque inhabituel associé au traitement.
3. Consultez les bonnes parties
Identifier et consulter des experts en la matière et des parties prenantes internes et externes dont les conseils seront nécessaires dans le cadre de la planification et de l’exécution du traitement. Cela peut inclure toute personne gérant les experts en traitement des données et en sécurité des données.
4. Déterminer la nécessité du traitement des données
Établir les éléments suivants :
- La pertinence du traitement proposé et les objectifs à atteindre.
- Si le traitement est nécessaire ou si un autre type de traitement est indiqué.
- Si le traitement est licite.
- La bonne quantité de données à traiter pour atteindre les objectifs du projet.
- Les données à livrer aux particuliers.
- Les entités de traitement des garanties fonctionnent comme prévu.
5. Évaluer les risques liés au traitement des données
Identifiez les risques technologiques, opérationnels, humains et autres qui pourraient avoir un impact sur le traitement et décidez comment y faire face. L’évaluation des risques porte sur les éléments suivants :
- La probabilité d’endommagement des données.
- La gravité du risque si les données sont compromises.
- Les conséquences si les risques ne sont pas atténués ; ceux-ci peuvent être classés comme faibles, moyens ou élevés.
6. Prendre des mesures pour atténuer les risques
Une fois les risques identifiés, évaluez les éléments suivants pour atténuer ou éliminer les risques.
- Assurez-vous que les mesures d’atténuation sont appropriées.
- Déterminez si les étapes peuvent éliminer tous les risques ou s’il peut y avoir un risque résiduel qui ne peut pas être traité.
- Déterminer le niveau d’acceptation du risque.
- Veiller à ce que les mesures d’atténuation des risques soient approuvées.
7. Enregistrer les résultats de la DPIA
Dans cette dernière étape, les organisations doivent procéder comme suit :
- Obtenez les approbations nécessaires de la direction informatique.
- Finalisez la DPIA avec les signatures des personnes clés, telles que le DPD et d’autres.
- Documentez la DPIA complétée.
Ces étapes sont conformes aux bonnes pratiques et à la réglementation RGPD qui prévoit des exigences spécifiques pour les DPIA.
Modèles DPIA
Pour simplifier le processus et faciliter le lancement d’un projet DPIA, considérez ces deux modèles :
Comment les DPIA sont affectées par le RGPD et d’autres réglementations
Comme indiqué plus haut dans cet article, le RGPD et d’autres réglementations internationales sont très spécifiques en ce qui concerne la réalisation d’une analyse d’impact sur la protection des données. La législation actuelle aux États-Unis impose la protection, la confidentialité et l’intégrité des informations personnelles, mais ne préconise pas une DPIA. L’American Data Privacy and Protection Act (ADPPA), probablement la version américaine du RGPD, attend actuellement une décision future du Congrès. Plus récemment, le président Biden a publié un décret le 28 février 2024 pour protéger les données personnelles sensibles des Américains. Il se concentre sur les informations personnelles qui pourraient être transférées à l’étranger et pourraient répondre aux risques pour la sécurité nationale.
Conseils de mise en œuvre de l’AIPD
S’il s’avère qu’une analyse d’impact sur la protection des données pourrait être nécessaire, les conseils suivants peuvent vous aider à préparer et à réaliser une AIPD :
- Lisez tout ce qui est disponible sur les DPIA pour vous familiariser avec le processus et étudiez le RGPD et les autres législations pertinentes.
- Obtenir l’approbation de la haute direction pour procéder à un premier examen de la situation et au financement d’un projet formel.
- Constituez une équipe de projet, y compris le DPO s’il en existe un.
- Élaborer un plan de projet formel basé sur les étapes associées à une DPIA.
- Étudier l’acquisition éventuelle du logiciel DPIA.
- Lors de l’examen initial, déterminez si les informations nécessaires pour compléter toutes les parties d’une DPIA sont disponibles ou peuvent être obtenues.
- Identifiez les outils qui peuvent faciliter l’analyse des risques, y compris les logiciels.
- Identifiez les candidats potentiels à la consultation qui peuvent apporter leur expertise à l’évaluation.
- Établir un processus pour documenter la DPIA à travers ses différentes étapes.
- Identifiez les personnes qui peuvent approuver la DPIA complétée.
Paul Kirvan est consultant indépendant, auditeur informatique, rédacteur technique, éditeur et éducateur. Il possède plus de 25 ans d’expérience dans la continuité des activités, la reprise après sinistre, la sécurité, la gestion des risques d’entreprise, l’audit des télécommunications et de l’informatique.