Back to Blog

5 bonnes raisons de rendre vos projets privacy-friendly grâce au DPIA

Maxime JAILLET

Avez-vous déjà soumis vos projets à un DPIA ? Cette étape est obligatoire pour les traitements de données personnelles les plus sensibles. C’est aussi un formidable moyen d’adopter une approche privacy-centric et de renforcer ainsi la confiance des personnes dont vous traitez les données. L’EIVP vous permet encore de maîtriser votre budget et sécuriser votre planning de lancement. On vous dit tout dans la product news du jour.

DPIA, AIPD, EIVP, qu’est-ce que c’est ?

Data Privacy Impact Assessment (DPIA ou PIA).

Analyse d’impact relative à la protection des données (AIPD).

Etude d’impact relative à la vie privée (EIVP).

Tous ces sigles désignent la même chose. Un DPIA sert à réaliser une analyse fine des composantes d’un projet impliquant de traiter des données à caractère personnel.

Ce traitement génère un risque sur la vie privée qui sera évalué et réduit en adoptant les mesures adéquates. Sa conduite suit donc un processus itératif aboutissant à évaluer le risque engendré par le projet et identifier des mesures destinées à le réduire.

Les conclusions d’un DPIA sont tributaires de votre état de connaissance du projet et du niveau de risque. Aussi, il s’inscrit dans une démarche d’amélioration continue qui suivra le cycle de vie du projet. Il sera donc renouvelé régulièrement pour en réajuster les conclusions.

AIPD obligatoire, maîtrisez votre risque conformité

Tout traitement de données à caractère personnel est soumis aux exigences légales du RGPD. Mais pour vos projets les plus sensibles, ceux qui présentent un risque élevé pour la liberté des personnes concernées, la conduite préalable d’une AIPD sera une étape imposée.

Ce risque s’apprécie au regard d’un ensemble de critères tels que :

  • la volumétrie et la diversité des données collectées ;
  • la nombre de personnes concernées et leur vulnérabilité (ex : les mineurs ou les collaborateurs) ;
  • le caractère innovant du projet sur le plan technologique.

Il y a donc un travail d’appréciation subjective à faire. Heureusement, la CNIL a listé de façon indicative les traitements pour lesquels une AIPD est requise et ceux pour lesquels elle est facultative.

Ne négligez pas cette étape. En cas de contrôle par l’autorité de régulation, vous serez comptable de votre décision de lancer ou non une AIPD.

EIVP ou comment soumettre votre projet au stress test de la Privacy

Une EIVP n’est pas quelque chose d’anodin.

En conduire une prend du temps. Au regard des efforts que cela impliquera, l’enjeu en vaut-il réellement la chandelle ?

Ne craignez pas d’abandonner un projet nice to have mais trop sensible. Concentrez-vous sur ce qui vous est nécessaire.

De la même manière, si au terme du processus, vous ne réduisez pas le risque à un niveau considéré comme acceptable, le projet tout entier devra être soumis à la CNIL pour avis. Pensez y.

Le DPIA au cœur d’une démarche de privacy by design

Le DPIA est LA méthode rêvée pour rendre vos projets privacy-friendly.

Pourquoi ? Vous allez challenger en profondeur le projet dans le but de faire moins intrusif.

Avez-vous besoin de collecter toutes ces données ? Pourquoi ne pas dégrader leur profondeur dans le temps ? Comment restreindre l’accès aux données brut ? C’est ce type de questions que vous examinerez.

L’avis rendu par la CNIL sur le DPIA relatif au projet d’application mobile Stopcovid est instructif à cet égard. Il montre que des efforts ont été faits pour rendre le dispositif le moins intrusif possible. Cela a été mis en avant pour inciter les français à télécharger cette application.

Bénéficiez des outils et méthodes de la CNIL

Le DPIA n’est rien d’autre qu’une démarche d’analyse des risques appliquée à ceux relatifs à la protection des données personnelles.

Néanmoins, pour beaucoup d’acteurs, c’est une nouveauté.

Pour vous aider dans vos démarches, la CNIL met à votre disposition :

  • Une boîte à outils impliquant des templates et une méthode ;
  • Un logiciel libre régulièrement mis à jour. Une nouvelle version a été d’ailleurs été publiée intégrant des correctifs mais aussi de nouvelles fonctionnalités.

Optimisez le coût de votre projet grâce à l’EIVP

La conduite d’une EIVP simplifie l’intégration de mesures de protection des données dans votre projet. La CNIL recommande d’ailleurs que même dans les cas où elle n’est pas légalement requise, une EIVP soit lancée.

  • L’EIVP donne une visibilité immédiate et complète. Vous pouvez ainsi identifier les principales actions à lancer (fonctionnalité de purge automatisée, process de pseudonymisation ou d’anonymisation…). Lorsque l’étude sera achevée, vous bénéficiez d’une visibilité globale avant d’entrer en phase de développement.
  • Vous saurez ainsi estimer le coût et le temps nécessaire pour les développements informatiques et les mesures juridiques à accomplir. Vous pouvez anticiper, votre planning ne sera pas perturbé à cause de la privacy.
  • A moyen terme, vous évitez également des complications. Par exemple, l’EIVP vous conduit à optimiser la sécurité de votre outil. Vous limitez le risque de subir une violation de données personnelles et de devoir la notifier à la CNIL.
  • Lancer une EIVP alors que les développements informatiques sont engagés, voire juste avant la mise en production, est au contraire beaucoup plus risqué. Vous vous exposez à de mauvaises surprises. Un prestataire qu’il faut changer, des développements informatiques supplémentaires… Dans ces conditions, votre budget peut exploser et votre planning de lancement être décalé.

Conclusion : avec le DPIA, pensez privacy by design

Le DPIA est donc un outil très intéressant pour injecter les exigences de protection et de sécurité des données dans vos processus de lancement de projet.

En opérant ainsi, vous sécurisez les traitements de données que vous mettez en place. Vos efforts sont valorisables auprès des personnes concernées dans l’optique d’instaurer une relation de confiance. Vous prouvez ainsi votre sérieux dans la façon de traiter les données que l’on vous confie.

Vous améliorez aussi votre performance en vous concentrant sur un nombre restreint de projets correspondant à vos besoins réels. Vous protégez également votre e-réputation.

Prenons l’exemple d’un projet s’appuyant sur l’acquisition d’une data management platform. Le module de cookies d’Axeptio vous permet de sécuriser le recueil des consentements online pour le dépôt de cookies. Le DPIA sécurise l’utilisation des données de navigation pour personnaliser vos campagnes.

Alors n’attendez plus pour lancer vos premiers DPIA.

Share on social media: 

Ne partez pas si vite ... 

RTB et publicité programmatique - Le framework de l’IAB viole-t-il le RGPD ?

Le dernier rapport de l’Autorité de Protection des Données belge conclut que le framework TCF de l’IAB ne respecte pas le RGPD. Les constats effectués sont accablants. Mais ce n’est qu’un rapport, pas une décision. La procédure de l’APD poursuit donc son cours. Pour les éditeurs de sites web, c’est par contre peut-être le moment de passer au marketing choisi.

Lire la suite

Axeptio a parlé cookies au 28e congrès de l’ACE

Le 15 octobre dernier, Axeptio a participé à un atelier sur les cookies. Ca tombe bien, la CNIL a dernièrement publié ses nouvelles lignes directrices et recommandations. Pour Axeptio, c’était l’occasion de présenter notre philosophie autour de notre module de gestion de cookies.

Lire la suite

Comment appliquer des durées de conservation à vos données personnelles ?

Mettez en place une politique de gestion des durées de conservation de vos données personnelles. Obligation légale de limiter le stockage et l’utilisation au strict nécessaire, c’est aussi un bon moyen de maîtriser votre risque en n’exploitant que des données pertinentes. Nous faisons un saut chez la société Choucroute pour voir comment procéder.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.