Le Privacy Impact Assessment (PIA) doit commencer le plus tôt possible dans un projet, qu'il s'agisse d'un nouveau projet ou de la transformation d'une infrastructure - de préférence dès la phase de planification. Le PIA est nécessaire dès quedes "PII sensibles " sont traités - il s'agit, selon ISO 29100:2011, de toutes les données dont la divulgation non autorisée entraîne un préjudice important pour le principal PII. Rappel : PII =Personally Identifiable Information = données qui permettent d'une part d'identifier une personne et d'autre part de tirer des conclusions sur son comportement ou sa situation personnelle.
En font également partie toutes les données qui doivent être protégées en vertu de dispositions légales ou autres. La loi suisse sur la protection des données (LPD) classe par exemple les données relatives à la santé ou aux opinions politiques comme étant particulièrement dignes de protection. Selon le secteur, d'autres données peuvent être pertinentes, notamment dans les banques, les hôpitaux ou les assurances. L'UE va encore un peu plus loin avec le RGPD, puisque les cookies de suivi, par exemple, font déjà partie des données pertinentes. Avant de décider si un PIA doit être réalisé, il est donc également nécessaire de jeter un coup d'œil aux lois applicables.
Si l'on souhaite réaliser un PIA selon une procédure reconnue, on s'oriente vers la norme ISO 29134:2017 - les"Guidelines for Privacy Impact Assessment".
Quiconque a déjà réalisé des évaluations des risques connaît l'ampleur des dommages ("consequence criteria " et"impact criteria") en tant que critère d'évaluation d'un risque : on évalue à quel point un dommage peut être quantitatif ou comment il peut être classé qualitativement. Il en va de même pour le PIA : quel dommage pourrait causer un Privacy Breach au PII Principal.
L'évaluation est toutefois très abstraite. Le contrôleur PII ne peut pas comprendre objectivement les dommages que peut causer une violation de la vie privée. L'évaluation représente en outre un changement de focalisation : Le dommage potentiel ne doit pas être évalué du point de vue de la propre organisation, mais il faut se mettre à la place du principal PII. C'est pourquoi l'évaluation des risques dans la SI et dans la protection de la vie privée devrait également être effectuée séparément, car la même vulnérabilité peut devoir être évaluée différemment dans les différents contextes.
Certains termes sont très abstraits.
La norme ISO recommande donc de parler de "niveau d'impact". Il s'agit d'une évaluation qualitative basée sur le critère de l'effort personnel que le principal PII peut fournir pour compenser le dommage par ses propres moyens.
Notre tableau montre un exemple, y compris une comparaison avec les niveaux de classification des données.
Au début du PIA, il est important de déterminer correctement l'étendue (scope), ce qui se fait typiquement par l'analyse des business cases et la détermination des actifs impliqués. Sur cette base, on établit un schéma des chemins de traitement des données ("Data Flows", chaîne de traitement des données) et on détermine le comportement possible des utilisateurs ("Use Cases", type d'utilisation du service).
Pour identifier les flux de données, il est recommandé de répondre à ces questions :
Une fois ces éléments identifiés, le PIA détermine les dommages potentiels pour les combinaisons possibles de flux de données et de cas d'utilisation. Le PIA se distingue ici de l'identification typique des actifs primaires et secondaires dans l'évaluation des risques des SI, car il s'oriente davantage sur l'interaction de l'utilisateur avec le système ainsi que sur le traitement qui a lieu en arrière-plan. Le PIA ne doit donc pas seulement impliquer le personnel technique dans l'analyse, mais aussi, dans l'idéal, les départements commerciaux et de vente.
Le PIA exige également de saisir les "Privacy Safeguarding Requirements", c'est-à-dire les exigences en matière de protection des données d'un point de vue juridique et réglementaire ainsi que les directives spécifiques au secteur. Les entreprises disposant d'un service juridique interne peuvent y faire appel pour les aider, car c'est à ce moment-là que le lien avec la LPD suisse et le RGPD est fait. Si l'on procède soigneusement à ces clarifications lors du premier PIA, elles pourront être réutilisées lors de futurs assessments.
Le PIA attend en outre une évaluation pour savoir si le traitement des données est nécessaire par rapport au service à fournir. Ceci est particulièrement important dans le cadre du RGPD, car c'est précisément en raison des dispositions du RGPD que de nombreux sites web demandent aujourd'hui des consentements séparés pour différents types de cookies.
Le PIA nécessite une liste des menaces potentielles. La norme contient un modèle plus long à cet effet. Une menace possible peut être, par exemple, un "accès non autorisé aux IIP" en cas d'exploitation d'une erreur dans le logiciel ou une "perte des IIP" en cas d'erreur dans le fonctionnement des serveurs.
Lorsque toutes les informations sont disponibles, une "carte des risques pour la vie privée" est dessinée à partir de ces informations. La détermination de la probabilité d'occurrence peut se faire de la même manière que pour l'évaluation des risques dans la sécurité de l'information.
Pour la Privacy Risk Map et le registre des Privacy Risks, il faut encore déterminer où se situe exactement la ligne d'acceptation des risques et, le cas échéant, définir les mesures de protection. Ceux qui connaissent déjà la SI peuvent procéder comme d'habitude.
Le graphique suivant montre un aperçu du déroulement d'un PIA. On y trouve également le "PIA Report", dont la rédaction est exigée par la norme ISO 29134:2017.
Une entreprise doit utiliser le même modèle pour tous ses projets. Si l'on jette un coup d'œil à la norme, on trouve un exemple de structure possible.
La structure du modèle devrait permettre de générer des versions pour différents groupes cibles. Celui qui, sur la base du rapport complet, peut par exemple générer une version abrégée et simplifiée à l'attention des clients, est en mesure de documenter les efforts entrepris et de les présenter, par exemple, lors de la participation à un appel d'offres.
Le Privacy Impact Assessment (PIA) est un outil permettant d'analyser les risques potentiels et de les présenter de manière transparente. Cela permet d'une part de remplir l'obligation d'une analyse d'impact exigée par le RGPD - d'autre part, le rapport PIA qui en résulte peut également servir de moyen pour montrer concrètement à ses propres clients ce qui se passe avec leurs données et comment elles sont protégées.
Ceux qui ont déjà de l'expérience avec les analyses de risques dans la SI s'y retrouveront rapidement dans le PIA, mais devront s'adapter à l'un ou l'autre aspect. Dans le cadre de nos services de conseil, Swiss Post Cybersecurity vous aide à élaborer votre premier PIA.