5 bonnes raisons de rendre vos projets privacy-friendly grâce au DPIA
Maxime JAILLETAvez-vous déjà soumis vos projets à un DPIA ? Cette étape est obligatoire pour les traitements de données personnelles les plus sensibles. C’est aussi un formidable moyen d’adopter une approche privacy-centric et de renforcer ainsi la confiance des personnes dont vous traitez les données. L’EIVP vous permet encore de maîtriser votre budget et sécuriser votre planning de lancement. On vous dit tout dans la product news du jour.
DPIA, AIPD, EIVP, qu’est-ce que c’est ?
Etude d’impact relative à la vie privée (EIVP).
Tous ces sigles désignent la même chose. Un sert à réaliser une analyse fine des composantes d’un projet impliquant de traiter des données à caractère personnel.
Ce traitement génère un risque sur la vie privée qui sera évalué et réduit en adoptant les mesures adéquates. Sa conduite suit donc un processus itératif aboutissant à évaluer le risque engendré par le projet et identifier des mesures destinées à le réduire.
Les conclusions d’un DPIA sont tributaires de votre état de connaissance du projet et du niveau de risque. Aussi, il s’inscrit dans une démarche d’amélioration continue qui suivra le cycle de vie du projet. Il sera donc renouvelé régulièrement pour en réajuster les conclusions.
AIPD obligatoire, maîtrisez votre risque conformité
Tout traitement de données à caractère personnel est soumis aux exigences légales du RGPD. Mais pour vos projets les plus sensibles, ceux qui présentent un risque élevé pour la liberté des personnes concernées, la sera une étape imposée.
Ce risque s’apprécie au regard d’un ensemble de critères tels que :
- la volumétrie et la diversité des données collectées ;
- la nombre de personnes concernées et leur vulnérabilité (ex : les mineurs ou les collaborateurs) ;
- le caractère innovant du projet sur le plan technologique.
Il y a donc un travail d’appréciation subjective à faire. Heureusement, la CNIL a listé de façon indicative les traitements pour lesquels une est requise et ceux pour lesquels elle est facultative.
Ne négligez pas cette étape. En cas de contrôle par l’autorité de régulation, vous serez comptable de votre décision de lancer ou non une AIPD.
EIVP ou comment soumettre votre projet au stress test de la Privacy
Une n’est pas quelque chose d’anodin.
En conduire une prend du temps. Au regard des efforts que cela impliquera, l’enjeu en vaut-il réellement la chandelle ?
Ne craignez pas d’abandonner un projet nice to have mais trop sensible. Concentrez-vous sur ce qui vous est nécessaire.
De la même manière, si au terme du processus, vous ne réduisez pas le risque à un niveau considéré comme acceptable, le projet tout entier devra être soumis à la CNIL pour avis. Pensez y.
Le DPIA au cœur d’une démarche de privacy by design
Le DPIA est LA méthode rêvée pour rendre vos projets privacy-friendly.
Pourquoi ? Vous allez challenger en profondeur le projet dans le but de faire moins intrusif.
Avez-vous besoin de collecter toutes ces données ? Pourquoi ne pas dégrader leur profondeur dans le temps ? Comment restreindre l’accès aux données brut ? C’est ce type de questions que vous examinerez.
L’avis rendu par la CNIL sur le DPIA relatif au projet d’application mobile Stopcovid est instructif à cet égard. Il montre que des efforts ont été faits pour rendre le dispositif le moins intrusif possible. Cela a été mis en avant pour inciter les français à télécharger cette application.
Bénéficiez des outils et méthodes de la CNIL
Néanmoins, pour beaucoup d’acteurs, c’est une nouveauté.
Pour vous aider dans vos démarches, la CNIL met à votre disposition :
- Une boîte à outils impliquant des templates et une méthode ;
- Un logiciel libre régulièrement mis à jour. Une nouvelle version a été d’ailleurs été publiée intégrant des correctifs mais aussi de nouvelles fonctionnalités.
Optimisez le coût de votre projet grâce à l’EIVP
La conduite d’une EIVP simplifie l’intégration de mesures de protection des données dans votre projet. La CNIL recommande d’ailleurs que même dans les cas où elle n’est pas légalement requise, une soit lancée.
- L’EIVP donne une visibilité immédiate et complète. Vous pouvez ainsi identifier les principales actions à lancer (fonctionnalité de purge automatisée, process de pseudonymisation ou d’anonymisation…). Lorsque l’étude sera achevée, vous bénéficiez d’une visibilité globale avant d’entrer en phase de développement.
- Vous saurez ainsi estimer le coût et le temps nécessaire pour les développements informatiques et les mesures juridiques à accomplir. Vous pouvez anticiper, votre planning ne sera pas perturbé à cause de la privacy.
- A moyen terme, vous évitez également des complications. Par exemple, l’EIVP vous conduit à optimiser la sécurité de votre outil. Vous limitez le risque de subir une violation de données personnelles et de devoir la notifier à la CNIL.
- Lancer une EIVP alors que les développements informatiques sont engagés, voire juste avant la mise en production, est au contraire beaucoup plus risqué. Vous vous exposez à de mauvaises surprises. Un prestataire qu’il faut changer, des développements informatiques supplémentaires… Dans ces conditions, votre budget peut exploser et votre planning de lancement être décalé.
Conclusion : avec le DPIA, pensez privacy by design
En opérant ainsi, vous sécurisez les traitements de données que vous mettez en place. Vos efforts sont valorisables auprès des personnes concernées dans l’optique d’instaurer une relation de confiance. Vous prouvez ainsi votre sérieux dans la façon de traiter les données que l’on vous confie.
Vous améliorez aussi votre performance en vous concentrant sur un nombre restreint de projets correspondant à vos besoins réels. Vous protégez également votre e-réputation.
Prenons l’exemple d’un projet s’appuyant sur l’acquisition d’une data management platform. Le module de cookies d’Axeptio vous permet de sécuriser le recueil des consentements online pour le dépôt de cookies. Le DPIA sécurise l’utilisation des données de navigation pour personnaliser vos campagnes.
Alors n’attendez plus pour lancer vos premiers DPIA.
Ne partez pas si vite
Data Protection Officer – Comment choisir son DPO et bien le positionner ?
Maxime JAILLETLe Data Protection Officer (DPO) est un acteur clé de la conformité RGPD de votre entreprise. Bien choisir son profil est vital pour que l’entreprise devienne privacy-friendly. La protection des données doit devenir une priorité de l’entreprise et plus encore un facteur de créations de valeurs. Pour cela, vous pouvez vous appuyer sur des solutions telles que la CMP d’Axeptio. On vous en parle. C’est notre product news du jour.
Quelle UX design pour votre bandeau cookies ?
Maxime JAILLETAdoptez une UX design claire et transparente pour votre bandeau cookies ! La réglementation pousse à recueillir un consentement actif et spécifique. Emplacement, contenu, ergonomie… Proposez une expérience utilisateur fluide permettant d’être informé et d’exprimer ses préférences. Devenez ainsi un acteur du marketing choisi.
Comment gérer la conformité RGPD de votre site Wordpress ?
Maxime JAILLETVotre site web Wordpress respecte-t-il les standards du RGPD ? Une démarche active sera nécessaire de votre part pour réaliser cette mise en conformité. Gestion des cookies, transparence, sécurité, consentement… les mesures à appliquer sont multiples. Heureusement, vous pouvez vous appuyer sur des outils dédiés… à condition de bien les choisir.