AGERIS Priv@cy - Livre blanc sur l'Evaluation d'Impact sur la Vie Privée (EIVP)

EVALUATION D’IMPACT SUR
LA VIE PRIVEE (EIVP – PIA)
Livre Blanc – basé sur la démarche EIVP de la CNIL
POURQUOI MENER UNE EVALUATION D’IMPACT SUR LA
VIE PRIVEE - EIVP1
Les données à caractère personnel (DCP) peuvent avoir une
valeur pour l’organisme qui les traite, mais leur traitement
engendre également de facto une importante responsabilité
du fait des risques qu’il fait encourir sur la vie privée des
personnes concernées.
L’évaluation d’impact sur la vie privée permet d’étudier
méthodiquement les traitements de DCP ou les produits, de
hiérarchiser les risques et de les traiter de manière proportionnée
pour optimiser les coûts et prendre des décisions sur la base
d’éléments rendus les plus objectifs possibles.
Elle contribue à démontrer la mise en oeuvre des principes de
protection de la vie privée afin que les personnes concernées
gardent la maîtrise de leurs DCP.
Comment mener une évaluation d’impact sur la vie
privée (EIVP) ?
Pour se conformer à la loi et réaliser une EIVP, il convient :
1. De décrire le (s) traitement(s) considéré(s), les données à
caractère personnel concernés et leur usage ;
2. D’identifier les mesures existantes ou prévues pour
respecter les exigences légales et traiter les risques sur la vie
privée des personnes concernées par le(s) traitement(s) ;
3. D’apprécier les situations à risques pour vérifier qu’ils sont
convenablement traités au sein de l’organisme ;
4. De valider la manière dont il est prévu de respecter les
principes de protection de la vie privée et de valider les
risques résiduels.
Le responsable des traitements doit approuver les résultats de
l’EIVP et prendre les décisions qui s’imposent au regard des
risques identifiés.
« Le responsable du traitement est tenu de prendre toutes
précautions utiles, au regard de la nature des données et des risques
présentés par le traitement, pour préserver la sécurité des données
et, notamment, empêcher qu’elles soient déformées, endommagées,
ou que des tiers non autorisés y aient accès. »
Article 34 de Loi 78-17 du 6 janvier 1978 modifiée
1 Source : Guide Evaluation d’Impact sur la Vie Privée, Juin 2015 – CNIL
AGERIS PRIV@CY
Créé en 2008, Ageris Priv@cy
est le département de la société
Ageris Group spécialisé dans
l’audit, le conseil, la formation et
la fourniture de solutions dans le
domaine de la protection des
données à caractère personnel.
Composé d’experts dans les
domaines juridiques et de la sécurité
des systèmes d’information, AGERIS
Priv@cy accompagne les
entreprises et les organismes publics
afin de renforcer la sécurité juridique
face aux enjeux liés aux technologies
de l’information et de protéger les
droits des employés, des clients et
des organismes eux-mêmes.
AGERIS Priv@cy
Tél. : +33 (0) 3 87 62 06 00
www.ageris-privacy.com

DEMARCHE DE CONFORMITE2
La démarche de conformité proposée par la CNIL en menant une
EIVP repose sur le respect des principes de protection de la vie
privée :
Le respect des principes juridiques en matière de protection
de la vie privée (finalité déterminée, explicite et légitime ; données
adéquates, pertinentes et non excessives ; information claire et
complète des personnes ; durée de conservation limitée ; droit
d’opposition, d’accès, de rectification et suppression…), pour
déterminer et justifier la pertinence des mesures destinées à
satisfaire ces exigences ;
La gestion des risques liés à la sécurité des DCP et ayant
un impact sur la vie privée des personnes concernées, afin de
«prendre toutes précautions utiles, au regard de la nature des
données et des risques présentés par le traitement, pour
préserver la sécurité des données et, notamment, empêcher
qu’elles soient déformées, endommagées, ou que des tiers non
autorisés y aient accès » (article 34 de la [Loi-I&L]).
CADRE REGLEMENTAIRE : LE NOUVEAU REGLEMENT
EUROPEEN
2016 est l’année d’adoption par les institutions européennes d’un
nouveau règlement relatif à la protection des personnes
physiques à l'égard du traitement des données à caractère
personnel et à la libre circulation de ces données (règlement
général sur la protection des données).
Ce nouveau règlement modifie la directive 95/46/CE du 24
octobre 1995, texte fondateur du cadre légal des états membres
de l’Union Européenne en matière de protection des données à
caractère personnel.
Il généralise l’obligation de réaliser une analyse des impacts sur
la vie privée pour certains traitements de DCP dont la liste pourra
être définie par la CNIL.
« Lorsqu'un type de traitement, en particulier par le recours à de nouvelles
technologies, et compte tenu de la nature, de la portée, du contexte et des
finalités du traitement, est susceptible d'engendrer un risque élevé pour les
droits et libertés des personnes physiques, le responsable du traitement
effectue avant le traitement une analyse de l'impact des opérations de
traitement envisagées sur la protection des données à caractère personnel.
Une même analyse peut porter sur un ensemble d'opérations de traitements
similaires qui présentent des risques élevés similaires»
Article 33 de la proposition de règlement du Parlement européen et du Conseil relatif
à la protection des personnes physiques à l'égard du traitement des données à
caractère personnel et à la libre circulation de ces données.
Source : Guide EIVP de la CNIL –juin 2015

METHODOLOGIE POUR MENER UNE EIVP
La méthodologie proposée par la CNIL s’appuie sur la méthode EBIOS (Expression des Besoins et
Identification des Objectifs de Sécurité) développée par l’Agence Nationale de Sécurité des Systèmes
d’Information (ANSSI).
Créée en 1995 et régulièrement mise à jour, la méthode EBIOS bénéficie de 20 ans d’expérience dans
le domaine de la gestion du risque. Elle permet d’apprécier et de traiter les risques relatifs à la sécurité
des systèmes d’information (SSI). Elle permet aussi de communiquer à leur sujet au sein de
l’organisme et vis-à-vis de ses partenaires, constituant ainsi un outil complet de gestion des risques
SSI.
La démarche méthodologique appliquée à l’évaluation d’impact sur la vie privée s’appuie sur les 4
phases suivantes :
Phase 1
Description du contexte et du
périmètre de l’EIVP
Description du traitement, des DCP, des processus et des
supports.
Phase 2
Description des mesures de nature
juridique et de sécurité
Identifier les mesures pour respecter les exigences légales et les
mesures de sécurité destinées à traiter les risques.
Phase 3
Description des risques pesant sur la vie
privée des personnes concernées
Cartographier les risques selon leur gravité et leur
vraisemblance en identifiant les sources de menaces, les
évènements redoutés et les menaces sur les supports de DCP
Phase 4
Validation de l’EIVP
Décider de l’acceptabilité ou non des risques et décider du plan
d’actions correctif à déployer

DESCRIPTION DES PHASES D’UN PROJET EIVP
PHASE 1 : Description du contexte et du périmètre de l’EIVP
Cette phase vise à délimiter et à décrire le périmètre de manière détaillée en précisant notamment :
 les données à caractère personnel (DCP) concernées par le(s) traitement(s), leurs
destinataires, les personnes pouvant y accéder et leurs durées de conservation,
 les processus de gestion des DCP et les supports utilisés pour l’ensemble du cycle de vie
des DCP (depuis leur collecte jusqu’à leur effacement).
Intervenants impliqués dans cette phase CIL + Chef de Service en charge de la mise en oeuvre du traitement
Estimation de la charge de travail Atelier de travail entre 2h00 et 4h00
Pour collecter les informations de description du traitement et des supports de DCP, il est recommandé
de s’appuyer sur les documents relatifs aux formalités préalables réalisées lors de la mise en œuvre
du traitement (cas de modification d’un traitement).
Dans le cadre de la mise en œuvre d’un nouveau traitement, les informations collectées pourront être
utilisées pour réaliser les formalités préalables à la mise en œuvre du traitement.
Exemple de livrable :
[Extrait de la solution SCORE Priv@cy]
Type de DCP Catégorie Destinataires des DCP
(et justifications)
Personnes pouvant y
accéder (et justifications)
Durée de conservation
(et justifications)
Commentaires
complémentaires
État-civil, identité, données d'identification X
Tiers autorisés Tant que salarié
Vie personnelle habitudes de vie, situation familiale, hors données
sensibles ou dangereuses…)
Vie professionnelle (CV, scolarité formation professionnelle,
distinctions…) X
Informations d'ordre économique et financier (revenus, situation
financière, situation fiscale…) X
Données de connexion (adresses IP, journaux d’événements…)
Données de localisation (déplacements, données GPS, GSM…)
Numéro de sécurité sociale (NIR) X
Tant que salarié
Données biométriques
Données bancaires
Opinions philosophiques, politiques, religieuses, syndicales, vie
sexuelle, données de santé, origine raciales ou ethniques, relatives à
la santé ou à la vie sexuelle
Infractions, condamnations, mesures de sécurité
Finalité du traitement
DCP
courantes
Catégories de DCP
traitées
DCP perçues
comme
sensibles
DCP
sensibles au
sens de la
[Loi-I&L]
Gestion du personnelNom du traitement
Gestion du personnel et suivi de l'évolution de carrière
Description du traitement concerné par le projet EIVP / PIA

PHASE 2 : Description des mesures de nature juridique et de sécurité
Cette phase vise à délimiter et à décrire de manière détaillée :
 les mesures existantes ou prévues pour respecter les exigences légales en vigueur ;
 les mesures organisationnelles, de sécurité logique et de sécurité physique destinées à
traiter les risques.
Intervenants impliqués dans cette phase CIL + Chef de Service en charge de la mise en oeuvre du traitement + RSSI
Estimation de la charge de travail Atelier de travail entre 4h00 et 8h00
Les mesures de nature juridique doivent être analysées sur les aspects suivants3 :
 Finalité : finalité déterminée, explicite et légitime ;
 Minimisation : réduction des données à celles strictement nécessaires ;
 Qualité : préservation de la qualité des données à caractère personnel ;
 Durée de conservation : durée nécessaire à l’accomplissement des finalités, à défaut d’une
autre obligation légale imposant une conservation plus longue ;
 Information : respect du droit à l’information des personnes concernées ;
Processus
génériques Description détaillée du processus
x
x
x
x
x
x
X
X
x
Destruction
Broyeurs
Canaux de transmission papier
Supports papier
Matériels et supports de données électroniques
Logiciels
Canaux informatiques
Personnes
Transfert Matériels et supports de données électroniques
Logiciels
Messagerie électronique
Personnes
Supports papier
Courrier postal
Utilisation Matériels et supports de données électroniques
Logiciels
SIRH
Personnes
salariès de la DRH
Supports papier
dossier salariè
Collecte
Liste des ressources internes utilisées
dossier de recrutement
Logiciels
Personnes
Supports papier
SIRH
Logiciels
Personnes
Supports papier
dossier du personnel
Description des supports de DCP
Description des
processus et des
moyens utilisés
Moyens utilisés pour traiter les DCP
Conservation

 Consentement : obtention du consentement des personnes concernées ou existence d’un autre
fondement légal justifiant le traitement ;
 Droit d’opposition : respect du droit d’opposition des personnes concernées ;
 Droit d’accès : respect du droit des personnes concernées d’accéder à leurs données ;
 Droit de rectification : respect du droit des personnes concernées de corriger leurs données
et de les effacer ;
 Transferts : respect des obligations en matière de transfert de données en dehors de l’Union
européenne ;
 Formalités : définition et accomplissement des formalités préalables applicables au traitement.
Les mesures de sécurité doivent être analysées sur les aspects suivants4 :
 Mesures organisationnelles : organisation, politique, gestion des risques, gestion de projets,
gestion des incidents, supervision…
 Mesures de sécurité logique : anonymisation, chiffrement, sauvegardes, cloisonnement des
données, contrôle d’accès logique…
 Mesures de sécurité physique : contrôle d’accès physique, sécurité des matériels, protection
contre les sources de risques non humaines…
Mesures Description des mesures / Justifications
Finalité : finalité déterminée, explicite et légitime Mesure(s) appliquée(s) Les finalités sont parfaitement connues et explicité sur les formulaires de collecte des DCP
Minimisation : réduction des données à celles strictement nécessaires Mesure(s) non appliquée(s) L'analyse détaillée des formulaires de collecte n'a pas été réalisée
Qualité : préservation de la qualité des données à caractère personnel
Mesure(s) partiellement appliquée(s) ou
en cours de mise en œuvre
Il n'existe de pas de procédure
Durées de conservation : durée nécessaire à l’accomplissement des finalités, à défaut d’une autre obligation légale
imposant une conservation plus longue
Mesure(s) non appliquée(s) Les données ne sont pas purgées ou détruites
Information : respect du droit à l’information des personnes concernées Mesure(s) appliquée(s) Ok sur les mentions légales
Consentement : obtention du consentement des personnes concernées ou existence d’un autre fondement légal
justifiant le traitement
Mesure(s) appliquée(s) OK lors de la collecte des DCP
Droit d’opposition : respect du droit d’opposition des personnes concernées
OK lors de la collecte des DCP
Droit d’accès : respect du droit des personnes concernées d’accéder à leurs données Mesure(s) appliquée(s) Procédure connue de tous
Droit de rectification : respect du droit des personnes concernées de corriger leurs données et de les effacer
le service RH ne souhaite pas modifier les DCP
Transferts : respect des obligations en matière de transfert de données en dehors de l’Union européenne Pas applicable / non concerné
Formalités : définition et accomplissement des formalités préalables applicables au traitement Mesure(s) appliquée(s) Déclaration CNIL OK
1. Mesures de nature juridique (obligatoires)
Situation opérationnelle

PHASE 3 : Description des risques pesant sur la vie privée des personnes concernées5
Cette phase vise à décrire de manière détaillée :
 Les sources de risques pertinentes dans le contexte considéré et les capacités des sources
de risques ;
 Les événements redoutés en déterminant les impacts potentiels sur la vie privée des
personnes concernées s'ils survenaient et en estimant leur gravité, notamment en fonction du
caractère préjudiciable des impacts potentiels et, le cas échéant, des mesures susceptibles de
les modifier ;
 Les menaces sur les supports des DCP qui pourraient mener à chaque événement redouté en
sélectionnant les sources de risques qui pourraient en être à l’origine et en estimant leur
vraisemblance, notamment en fonction des vulnérabilités des supports de DCP, des capacités
des sources de risques à les exploiter et des mesures susceptibles de les modifier ;
 Les risques en déterminant le niveau de chaque risque selon sa gravité et sa vraisemblance.
Intervenants impliqués dans cette phase CIL + Chef de Service en charge de la mise en oeuvre du traitement + RSSI
+ DSI
Estimation de la charge de travail Ateliers de travail entre 1 et 3 jours
Anonymisation des DCP Pas applicable / non concerné
Chiffrement des DCP Mesure(s) non appliquée(s)
Contrôle d'intégrité lors du traitement des DCP
Sauvegardes des DCP Mesure(s) appliquée(s)
Cloisonnement des DCP Mesure(s) appliquée(s)
Contrôle d'accès logique aux DCP Mesure(s) appliquée(s)
Traçabilité des opérations sur les DCP
Prise en compte de la sécurité des données dans les procédures d'exploitation du SI Mesure(s) appliquée(s)
Surveillance (paramétrages, contrôles de configurations, surveillance en temps réel…) Mesure(s) appliquée(s)
Gestion des postes de travail Mesure(s) appliquée(s)
Lutte contre les codes malveillants (virus, logiciels espions, bombes logicielles…) Mesure(s) appliquée(s)
Protection des canaux informatiques (réseaux) Mesure(s) appliquée(s)
Éloignement des sources de risques (produits dangereux, zones géographiques dangereuses…) Pas applicable / non concerné
Contrôle d'accès physique Mesure(s) appliquée(s)
Sécurité des matériels Mesure(s) appliquée(s)
Sécurité des documents papier
Sécurité des canaux papier
Protection contre les sources de risques non humaines (feu, eau…) Mesure(s) appliquée(s)
4. Mesures de sécurité physique
3. Mesures de sécurité logique

Extrait de la solution SCORE Priv@cy]
Sources humaines
internes agissant de
manière délibérée
Sources humaines
externes agissant de
manière délibérée
Sources humaines
internes agissant
accidentellement
Sources humaines
externes agissant
accidentellement
Sources non
humaines Impacts potentiels Description des impacts
Aucune
Les données sont vues par des personnes qui n’ont pas à les
connaître, sans que celles-ci ne les exploitent. X X X
3. Les personnes concernées pourraient connaître des conséquences significatives,
qu’elles devraient pouvoir surmonter, mais avec des difficultés réelles et significatives
3. Importante
Stockage
Les données sont copiées et sauvegardées à un autre endroit,
sans être davantage exploitées. X
1. Les personnes concernées ne seront pas impactées ou pourraient connaître quelques
désagréments, qu’elles surmonteront sans difficulté
1. Négligeable
Rediffusion
Les données sont diffusées plus que nécessaire et échappent à
la maîtrise des personnes concernées (ex. : diffusion non
désirée d’une photo sur Internet, perte de contrôle d’informations
publiées dans un réseau social...)
X X
3. Importante
Exploitation
Les données sont exploitées à d’autres fins que celles prévues
et/ou de manière injuste (ex. : fins commerciales, usurpation
d’identité, utilisation à l’encontre des personnes concernées...)
ou corrélées avec d’autres informations relatives aux personnes
concernées (ex. : corrélation d’adresses de résidence et de
données de géolocalisation en temps réel...) dans un premier
temps
4 Les personnes concernées pourraient connaître des conséquences significatives, voire
irrémédiables, qu’elles pourraient ne pas surmonter
4. Maximale
Autre (à préciser)
Dysfonctionnement
Les données sont modifiées en des données valides ou
invalides, qui ne seront pas utilisées de manière correcte, le
traitement pouvant engendrer des erreurs, des
dysfonctionnements, ou ne plus fournir le service attendu (ex. :
altération du bon déroulement de démarches importantes...)
X
3. Importante
Exploitation
Les données sont modifiées en d’autres données valides, de
telle sorte que les traitements ont été ou pourraient être
détournés (ex. : exploitation pour usurper des identités en
changeant la relation entre l’identité des personnes et les
données biométriques d’autres personnes...).
X
4 Les personnes concernées pourraient connaître des conséquences significatives, voire
irrémédiables, qu’elles pourraient ne pas surmonter
4. Maximale
Dysfonctionnement
Les données sont manquantes à des traitements, ce qui génère
des erreurs, des dysfonctionnements, ou fournit un service
différent de celui attendu (ex. : certaines allergies ne sont plus
signalées dans un dossier médical, certaines informations
figurant dans des déclarations de revenus ont disparu, ce qui
empêche le calcul du montant des impôts...)
X X
3. Importante
Blocage
Les données sont manquantes à des traitements qui ne peuvent
plus du tout fournir le service attendu (ex. : ralentissement ou
blocage de processus administratifs ou commerciaux,
impossibilité de fournir des soins du fait de la disparition de
dossiers médicaux, impossibilité pour des personnes
concernées d’exercer leurs droits...).
3. Importante
Disparition des
DCP
Gravité
Gravité des évènements redoutés
Accès illégitime
aux DCP
Modification
non désirée des
DCP
Violations
potentielles
Suites / objectifs poursuivis
Sources de risques
Evènements redoutés Vraisemblance
Accès illégitime aux DCP 3
Modification non désirée des DCP 2
Disparition des DCP 3
Accès illégitime aux
DCP
Modification non
désirée des DCP
Disparition des DCP
Gravité
4
4
3
Ces risques devraient pouvoir être pris, d’autant plus que le traitement des autres
risques devrait également contribuer à leur traitement.
1
4
3
2
1
G
r
a
v
i
t
é
2 3 4
Vraisemblance
Principaux impacts Principales menaces
Ces risques devraient absolument être évités ou réduits par l’application de
mesures de sécurité diminuant leur gravité et leur vraisemblance. Dans l’idéal, il
conviendrait même de s’assurer qu’ils sont traités à la fois par des mesures
indépendantes de prévention (actions avant le sinistre), de protection (actions
pendant le sinistre) et de récupération (actions après le sinistre) ;
Ces risques devraient être évités ou réduits par l’application de mesures de
sécurité diminuant leur gravité ou leur vraisemblance. Les mesures de prévention
devraient être privilégiées. Ils peuvent être pris, mais uniquement s’il est démontré
qu’il n’est pas possible de réduire leur gravité et si leur vraisemblance est
négligeable ;
Ces risques devraient être réduits par l’application de mesures de sécurité
diminuant leur vraisemblance. Les mesures de récupération devraient être
privilégiées. Ils peuvent être pris, mais uniquement s’il est démontré qu’il n’est pas
possible de réduire leur vraisemblance et si leur gravité est négligeable ;

PHASE 4 : Décision : la validation de l’EIVP
Cette phase vise à :
 Étudier les résultats des étapes précédentes en vérifiant qu’il n’est pas utile, ou pas possible,
d’améliorer la manière dont chaque mesure de nature juridique est mise en oeuvre et en vérifiant
qu’il n’est pas utile, ou pas possible, d’améliorer la manière dont chaque risque est traité ;
 Décider de l’acceptabilité ou non des risques, de manière argumentée, notamment au regard
des enjeux préalablement identifiés ;
 Décider du plan d’actions correctif à déployer pour réduire les risques inacceptables.
3 options peuvent être présentées au responsable du traitement6 :
 Option 1 : Le PIA n’est pas encore jugé acceptable : Définir les objectifs
Dans ce cas, il convient de déterminer les objectifs pour les exigences légales et risques pour
lesquels la manière de les traiter n’a pas été jugée acceptable et de reprendre les étapes
précédentes.
 Option 2 : Le PIA est jugé acceptable mais il convient de définir un plan d’action
Dans ce cas, des mesures spécifiées dans le plan d’action devront être formalisées, mises en
place, contrôlées de manière régulière et améliorées de manière continue.
 Option 3 : Le PIA est jugé acceptable : la validation formelle de l’EIVP
Dans ce cas la validation de l’EIVP doit être formalisée par le responsable du traitement.
Libellé Prévention des risques Acceptabilité Arguments
Finalité Mesure(s) appliquée(s) Mesures de protection de la vie privée acceptables
Minimisation Mesure(s) non appliquée(s) Mesures de protection de la vie privée insuffisantes
Qualité
Mesure(s) partiellement appliquée(s) ou en
cours de mise en œuvre
Mesures de protection de la vie privée insuffisantes
Durées de conservation Mesure(s) non appliquée(s) Mesures de protection de la vie privée insuffisantes
Information Mesure(s) appliquée(s) Mesures de protection de la vie privée acceptables
Consentement Mesure(s) appliquée(s) Mesures de protection de la vie privée acceptables
Droit d’opposition
Droit d’accès Mesure(s) appliquée(s) Mesures de protection de la vie privée acceptables
Droit de rectification
Transferts Pas applicable / non concerné Mesures de protection de la vie privée insuffisantes
Formalités Mesure(s) appliquée(s) Mesures de protection de la vie privée acceptables
Risques sur les DCP
Mesures de
nature juridique
Acceptabilité de la protection juridique des personnes concernées NON
Acceptabilité des risques sur les données à caractère personnel NON
Accès illégitime aux DCP
Modification non désirée des DCP
Disparition des DCP

Mesures Actions / mesures à prévoir Difficulté Coût financier Terme Avancement
Finalité : finalité déterminée, explicite et légitime Mesure(s) appliquée(s)
Minimisation : réduction des données à celles strictement nécessaires Mesure(s) non appliquée(s) Modifier les formulaires Faible Nul Trimestre Non démarré
Qualité : préservation de la qualité des données à caractère personnel
cours de mise en œuvre Mettre en œuvre un contrôle de la qualité Faible Moyen Trimestre
Durées de conservation : durée nécessaire à l’accomplissement des finalités, à défaut d’une
autre obligation légale imposant une conservation plus longue
Mesure(s) non appliquée(s) purger les DCP Moyenne Moyen Trimestre
Information : respect du droit à l’information des personnes concernées Mesure(s) appliquée(s)
Consentement : obtention du consentement des personnes concernées ou existence d’un
autre fondement légal justifiant le traitement
Mesure(s) appliquée(s)
Droit d’opposition : respect du droit d’opposition des personnes concernées
cours de mise en œuvre permettre le droit d'opposition Faible Nul Trimestre
Droit d’accès : respect du droit des personnes concernées d’accéder à leurs données Mesure(s) appliquée(s)
Droit de rectification : respect du droit des personnes concernées de corriger leurs données et
de les effacer
cours de mise en œuvre permettre le droit de rectification Faible Nul Trimestre
Transferts : respect des obligations en matière de transfert de données en dehors de l’Union
européenne
Pas applicable / non concerné
Formalités : définition et accomplissement des formalités préalables applicables au traitement Mesure(s) appliquée(s)
Mesures Description des mesures / Justifications Difficulté Coût financier Terme Avancement
Organisation de la protection de la vie privée (définition des rôles et responsabilités)
cours de mise en œuvre formaliser les rôles et responsabilités Faible Nul
Politique (gestion des règles) formalisée de protection de la vie privée Mesure(s) non appliquée(s) formaliser une politique vie privée Faible Moyen
Gestion des risques sur la vie privée Mesure(s) non appliquée(s) mettre en place une gestion des risques Moyenne Moyen
Prise en compte de la protection de la vie privée dans le cadre de la gestion de projet
cours de mise en œuvre mettre en place la sécurité dans les projets Elevée Moyen
Gestion des incidents et des violations de données à caractère personnel Mesure(s) non appliquée(s) formaliser une procédure Faible Nul
Prise en compte de la protection de la vie pivée par le personnel en charge du traitement
cours de mise en œuvre sensibiliser Faible Moyen
Relations avec les tiers impliqués dans la mise en œuvre du traitement (fournisseurs, ….) Mesure(s) non appliquée(s) modifier contrat Faible Nul
Prise en compte de la protection de la vie privée dans le cadre de la maintenance du SI Mesure(s) non appliquée(s) faire signer une charte Faible Nul
Supervision de protection de la vie privée (audits, tableaux de bord…) Mesure(s) non appliquée(s) faire des tableaux de bord Moyenne Moyen
Marquage des documents contenant des données à caractère personnel
cours de mise en œuvre classifier les documents Elevée Moyen
Archivage des données à caractère personnel Mesure(s) appliquée(s)
Anonymisation des DCP Pas applicable / non concerné
Chiffrement des DCP Mesure(s) non appliquée(s) chiffrer les DCP dans le SIRH Elevée Moyen
Contrôle d'intégrité lors du traitement des DCP
cours de mise en œuvre procédure de contrôle d'intégrité Faible Nul
Sauvegardes des DCP Mesure(s) appliquée(s)
Cloisonnement des DCP Mesure(s) appliquée(s)
Contrôle d'accès logique aux DCP Mesure(s) appliquée(s)
Traçabilité des opérations sur les DCP
cours de mise en œuvre renforcer la traçabilité Moyenne Elevé
Prise en compte de la sécurité des données dans les procédures d'exploitation du SI Mesure(s) appliquée(s)
Surveillance (paramétrages, contrôles de configurations, surveillance en temps réel…) Mesure(s) appliquée(s)
Gestion des postes de travail Mesure(s) appliquée(s)
Lutte contre les codes malveillants (virus, logiciels espions, bombes logicielles…) Mesure(s) appliquée(s)
Protection des canaux informatiques (réseaux) Mesure(s) appliquée(s)
Éloignement des sources de risques (produits dangereux, zones géographiques
dangereuses…)
Pas applicable / non concerné
Contrôle d'accès physique Mesure(s) appliquée(s)
Sécurité des matériels Mesure(s) appliquée(s)
Sécurité des documents papier
cours de mise en œuvre déployer des broyeurs Faible Moyen
Sécurité des canaux papier
cours de mise en œuvre sensibiliser les secrétariats Faible Moyen
Protection contre les sources de risques non humaines (feu, eau…) Mesure(s) appliquée(s)
Plan d'actions (mesures complémentaires)
1. Mesures de nature juridique (obligatoires) Plan d'actions (mesures complémentaires)
2. Mesures organisationnelles
3. Mesures de sécurité logique
4. Mesures de sécurité physique

QUI EST CONCERNE PAR L’EIVP
D'une manière générale, une EIVP est menée par un responsable de traitement ou un fournisseur de
produits. Elle s’inscrit dans le cadre d’une prise en compte de la protection des données dès la phase
amont d’un projet.
Elle requiert la participation de plusieurs parties prenantes du responsable de traitement, avec des
rôles et responsabilités différents selon les étapes7 :
8 Il s’agit des métiers. Elle peut être déléguée, représentée ou sous-traitée.
9 Elle peut également être déléguée, représentée ou sous-traitée.
10 Ou la personne en charge des aspects « Informatique et libertés ».
11 Responsable de la sécurité des systèmes d’information ou personne en charge des aspects « Sécurité ».
12 Personne légitime pour approuver l’action.
13 Personne(s) consultée(s) pour obtenir les informations utiles à l’action.
14 Personne(s) informée(s) des résultats de l’action.
15 Personne(s) responsable(s) de la mise en oeuvre de l’action.
LE RAPPORT DE L’EIVP
Le rapport de l’EIVP est le document à produire quand une évaluation d’impact sur la vie privée est
menée. Il devrait au minimum comporter les parties suivantes :
 Une présentation du (des) traitements(s) considéré(s) par l’EIVP et la description du périmètre ;
 La liste des mesures de nature juridique mises en œuvre ou prévues ;
 La liste des mesures destinées à traiter les risques sur les DCP concernées par le(s)
traitement(s) ;
 La cartographie des risques identifiés au travers du processus d’appréciation des menaces et
des évènements redoutés pouvant impacter les DCP concernées par le(s) traitement(s) ;
 La décision argumentée de validation de l’EIVP par le responsable des traitements ;
 Le plan d’action de réduction des risques inacceptables validé par les équipes en charge de sa
mise en œuvre.
Il doit être rendu accessible aux autorités de protection des données (ex. : CNIL) et il est également
parfois utile de publier et/ou de diffuser tout ou partie du rapport de l’EIVP, par exemple, si des
obligations réglementaires l’imposent, s’il est requis en tant qu’élément « d’accountability », ou si cela
est jugé opportun pour des raisons d’image.

OUTILLAGE DE LA CNIL
La CNIL met à disposition sur son site un document ‘outillage’
d’aide à la réalisation d’une EIVP.
Ce document constitué de 25 pages contient des modèles de
fiches à compléter pour chacune des étapes de l’EIVP ainsi que
les référentiels utiles pour chaque sujet et thème abordé.
Exemple de fiche disponible de l’outillage proposé par la CNIL :
Source : Guide EIVP de la CNIL –juin 2015

SOLUTION SCORE PRIV@CY8
Afin de faciliter la réalisation d’une évaluation d’impact sur la vie
privée, Ageris Priv@cy a développé une solution logicielle
entièrement basée sur les recommandations de la CNIL.
Un module de cette solution est dédié à l’évaluation d’impact sur
la vie privée et intègre l’ensemble de la démarche et de l’outillage
proposés par la CNIL dans ses différents guides.
Au travers d’un menu ergonomique et simple d’usage, la solution
proposée par Ageris Priv@cy permet au CIL de mettre en œuvre
la démarche EIVP dans le cadre du processus d’amélioration
recommandé par la CNIL.
Les acteurs impliqués dans l’EIVP sont guidés dans sa réalisation
en complémentant les fiches disponibles et en ayant accès
immédiatement aux résultats générés automatiquement par le
logiciel.
REFERENCES BIBLIOGRAPHIQUES
PIA, LA MÉTHODE - Comment mener une EIVP, un PIA, Juin 2015, CNIL
PIA, L’OUTILLAGE - Modèles et bases de connaissances, Juin 2015, CNIL
Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel et à la libre circulation de ces données
Les mesures pour traiter les risques sur les libertés et la vie privée, édition 2012, CNIL
8 Source : AGERIS Group
Evaluation d'Impact sur la Vie Privée (EIVP)
Périmètre de
l'Evaluation d'Impact
sur la VP
1
Analyse des
mesures de
protection de la VP
2 3
Analyse des sources
de menaces
Analyse des
évènements redoutés
(gravité)
4 5
Analyse des menaces
(vraisemblance)
Cartographie des
risques sur la vie
privée
6
Acceptation des
résultats de l'EIVP
7
Plan d'actions de
protection de la vie
8
Support PPT de
l'évaluation d'impact
9
Registre des
évaluations d'impact
sur la VP
Paramètres du
module
Guide EIVP de la CNIL

L’OFFRE D’AGERIS PRIV@CY POUR LES CIL / DPO
AGERIS Priv@cy accompagne depuis plus de 8 ans les CIL dans
leur démarche de renforcement de la sécurité juridique et mise
en conformité des traitements de données à caractère personnel.
Les retours d’expérience acquis au travers des différentes
missions ont permis à AGERIS Priv@cy de construire une offre
de services et de solutions adaptées aux besoins des
organismes selon leur maturité et leur domaine d’activité.
Notre offre vise à renforcer l’expertise et les compétences des
CIL dans leurs démarches au travers les services et les solutions
suivantes :
1. Prestation d’audit de conformité juridique des traitements et
de sécurité des données à caractère personnel.
2. Prestation de conseil et d’assistance du CIL / DPO sur la
mise en conformité juridique des traitements et la sécurité des
3. Formation et transfert de compétences du CIL / DPO et des
personnels en charge de la mise en œuvre des traitements.
4. Prestations de CIL / DPO externe.
5. Solution logicielle de gestion de la conformité juridique des
traitements et de la sécurité des données à caractère personnel.
Notre catalogue de service et de solutions prend en compte les
exigences réglementaires actuelles ainsi que les nouvelles
exigences qui seront imposées lors de l’application du nouveau
règlement européen en 2018.
NOS SECTEURS D’ACTIVITE : 8 ANS D’ACQUIS
Fort de plusieurs années d’expériences, nous sommes en
mesure d’accompagner les organismes des secteurs d’activités
suivants :
 Acteurs du domaine de la santé : établissement de santé,
hébergeur de données de santé, GHT, etc.
 Collectivités locales : Conseil Départemental, Conseil
Régional, Métropôle, Communauté d’agglomération, Mairie, etc.
 Bailleurs sociaux privés ou publics.
 Entreprises du secteur bancaire et assurance.
 Industriels (PMI, Grand groupe, etc.).
LES PRESTATIONS DE CONSEIL ET D’AUDIT DE CONFORMITE JURIDIQUE ET DE SECURITE
L’équipe d’AGERIS Priv@cy est composée de consultants / auditeurs spécialisés dans le domaine
juridique (juriste NTIC) et dans le domaine de la sécurité des systèmes d’information (SSI).
Cette double compétence permet de réaliser des missions qui prennent en compte tout le périmètre
de conformité des traitements de données à caractère personnel tel qu’il est imposé dans la
règlementation en vigueur.
AGERIS PRIV@CY
Créé en 2008, Ageris Priv@cy
est le département de la société
Ageris Group spécialisé dans
l’audit, le conseil, la formation et
la fourniture de solutions dans le
domaine de la protection des
Composé d’experts dans les
domaines juridiques et de la sécurité
des systèmes d’information, AGERIS
Priv@cy accompagne les
entreprises et les organismes publics
afin de renforcer la sécurité juridique
face aux enjeux liés aux technologies
de l’information et de protéger les
droits des employés, des clients et
des organismes eux-mêmes.
AGERIS Priv@cy
Tél. : +33 (0) 3 87 62 06 00
www.ageris-privacy.com

AGERIS Priv@cy - Livre blanc sur l'Evaluation d'Impact sur la Vie Privée (EIVP)

Recommandé

Recommandé

Contenu connexe

Plus de Thierry RAMARD

Plus de Thierry RAMARD (6)

AGERIS Priv@cy - Livre blanc sur l'Evaluation d'Impact sur la Vie Privée (EIVP)