La CNIL vient de publier une nouvelle version de ses guides sur les analyses d’impact (ou PIA), complétés par une adaptation de la méthode au contexte des objets connectés. Le Règlement général sur la protection des données (RGPD) prévoit l’obligation de réaliser une analyse d’impact, si le traitement est susceptible d’engendrer des risques élevés sur les droits et libertés des personnes concernées.

La CNIL a donc révisé ses « guides PIA » (Privacy Impact Assessment) pour prendre en compte les nouveautés apportées par le RGPD et pour compléter l’outil PIA distribué par la CNIL. La méthode est conforme aux critères établis dans les lignes directrices du G29. Elle est également compatible avec les normes internationales de gestion des risques.

La méthode PIA de la CNIL est composée de trois guides :

  1. La méthode : explique comment mener un PIA ;
  2. Les modèles : aide à formaliser l’étude en détaillant la façon de traiter les différentes sections présentées dans la méthode ;
  3. Les bases de connaissances : comprennent des éléments utiles pour mener le PIA (catalogue de mesures, des typologies et exemples de données, supports, impacts, menaces, etc.).

La CNIL publie également une version de la méthode PIA appliquée spécifiquement au domaine des objets connectés (un PIAF – Privacy Impact Assessment Framework) ainsi qu’une étude de cas sur un moniteur de sommeil.

Pour en savoir plus sur les analyses d’impact, la CNIL a aussi développé une FAQ sur le sujet.