Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Analyse d’impact relative à la protection des données DPO/002/WIT/F (1) Auteur:

Analyse d’impact relative à la protection des données DPO/002/WIT/F (1) Auteur: Bernard Fontaine Page 1 de 23 Agence fédérale des médicaments et des produits de santé Analyse d’impact relative à la protection des données (AIPD) 5 Numéro de SOP : DPO/002/WIT/F (1) Nombre total de pages : 23 Annexe(s) : 1 Cette procédure est destinée à guider les responsables internes de traitement 10 de données (que ce soit un traitement informatisé ou manuel) à conduire une analyse d’impact relative à la protection des données à caractère personnel, conformément aux exigences du Règlement Général de Protection des Données (RGPD). 15 Nom Fonction Signature Vérifié par Nicolas Vervaeck Data Protection Officer – Soutien transversal Approuvé par Xavier De Cuyper Administrateur général Greet Musch Directeur général – DG PRE Hugues Malonne Directeur général – DG POST Ethel Mertens Directeur général a.i. – DG INSP Date d’application : voir « Application Date » dans DMS Quality Analyse d’impact relative à la protection des données DPO/002/WIT/F (1) Auteur: Bernard Fontaine Page 2 de 23 TABLE DES MATIERES 1. Champ d’application et responsabilités 3 1.1. Champ d’application 3 5 1.2. Responsabilités 3 2. But de la procédure 4 3. Définitions et abréviations 5 4. Généralités 6 5. Procédure 7 10 5.1. Déclenchement: dépistage de base (Basic Screening) 7 5.2. Préparation de l’exercice AIPD 8 5.2.0. Création ou réexécution d’une analyse AIPD 8 5.2.1. Section "Contexte" 8 5.2.2. Section "Principes fondamentaux" 13 15 5.2.3. Section "Risques" 15 5.3. Evaluation des 3 sections 17 5.3.1. Constitution et organisation du comité d’évaluation 17 5.3.2. Vérification du registre de traitement RGPD 17 5.3.3. Evaluation de la section « Contexte » 17 20 5.3.4. Evaluation de la section « Principes fondamentaux » 18 5.3.5. Evaluation de la section « Risques » 18 5.4. Validation finale 19 5.4.0. Vue générale 19 5.4.1. Cartographie des risques (Communicate) 19 25 5.4.2. Plan d’action (Plan & Implement) 19 5.4.3. Avis du DPO et des personnes concernées 20 5.4.4. Validation formelle par le Responsable Interne du Traitement 20 5.4.5. Soumission du DPIA à l’Autorité de protection des données 21 6. Références et documents connexes 21 30 7. Historique 21 Analyse d’impact relative à la protection des données DPO/002/WIT/F (1) Auteur: Bernard Fontaine Page 3 de 23 Analyse d’impact relative à la protection des données (AIPD) 1. Champ d’application et responsabilités 1.1. Champ d’application Cette procédure est destinée à guider les responsables internes de traitement de données (que ce soit un traitement informatisé ou manuel) à conduire une analyse 5 d’impact relative à la protection des données à caractère personnel, conformément aux exigences du Règlement Général de Protection des Données (RGPD).  Cette procédure décrit la méthodologie, l'outil et les étapes pratiques pour l’exécution d’une analyse d’impact relative à la protection des données (AIPD) à caractère personnel, que ces données fassent l’objet d’un traitement 10 automatisé ou non, de façon à pouvoir démontrer la conformité du traitement aux exigences du Règlement Général de la Protection des Données (RGPD).  Le traitement concerné peut être un traitement futur (non encore mis en place, mais envisagé dans le cadre d’un projet), ou un traitement déjà en place. Cette procédure est applicable tant pour effectuer la toute première analyse d’impact 15 d’un traitement que pour réviser et mettre à jour les résultats d’une analyse précédente  en réaction à de nouveaux événements immédiats  ou dans le cadre d’une révision biannuelle des risques effectuée dans un esprit d’amélioration continue ou pour identifier les changements depuis la dernière 20 analyse 1.2. Responsabilités Cette procédure est principalement destinée aux responsables internes des traitements de données (= "Responsables Internes de Traitement", RIT), qui endossent la responsabilité directe de l’analyse. 25 Cette procédure est également destinée à guider les autres intervenants qui apportent leur aide au RIT:  les experts « sécurité » qui contribuent à l’analyse o tout particulièrement le Data Protection Officer (DPO) de l’agence, qui a pour rôle de vérifier que la procédure est bien suivie, que les résultats 30 sont correctement documentés et plausibles, de garder ces informations pour répondre aux demandes d’audit, et de guider vers des ressources utiles comme des Bases de Connaissance (Knowledge Bases) et des directives particulières (guidelines). o le Conseiller en Sécurité de l’Information (CSI) de l’agence, qui a pour rôle 35 de donner des conseils pour ce qui concerne la sécurité de l’information, Analyse d’impact relative à la protection des données DPO/002/WIT/F (1) Auteur: Bernard Fontaine Page 4 de 23 et de veiller à ce que la politique de l’agence concernant la sécurité de l’information soit correctement appliquée.  les experts de la Division Qualité, qui peuvent apporter une aide pour comprendre et appliquer les « analyse de risque » du AIPD.  les experts de la Division Juridique, qui peuvent clarifier des textes du RGPD, 5 ainsi que les bases légales du traitement concerné.  les experts du « business » concerné, qui ont une connaissance approfondie des données traitées, des flots de données et des raisons « business » du traitement, comme des représentants des personnes concernées à l’AFMPS qui traitent les données. 10  les experts ICT concernés lorsque le traitement est automatisé, qui ont une connaissance des technologies utilisées et peuvent donc indiquer les risques d’origine technique et les contre-mesures mises en place ou à mettre en place.  Si possible, un représentant des personnes concernées dont on traite des données à caractère personnelle. 15 2. But de la procédure Cette procédure décrit comment effectuer une analyse d’impact pour tous les traitements (automatiques ou non) de données à caractère personnel pour lesquels on estime qu’il y aurait un risque élevé pour les droits et libertés des personnes physiques concernées. Dans tous les cas, l’AIPD est un outil qui permet de s’assurer que des mesures adéquates 20 sont (ou seront) mises en place pour couvrir le niveau de risque associé au traitement présent (ou futur), et de justifier ces mesures en démontrant que l’analyse a été bien faite. L’AFMPS doit pouvoir démontrer cela au DPA (Autorité de protection des données) en gardant le rapport de l’AIPD à disposition. Si l’existence de mesures adéquates ne sont pas démontrées par l’analyse AIPD 25 correspondant au traitement, le traitement futur ne peut pas avoir lieu, et le traitement en cours doit être arrêté. Analyse d’impact relative à la protection des données DPO/002/WIT/F (1) Auteur: Bernard Fontaine Page 5 de 23 3. Définitions et abréviations AIPD: Analyse d’Impact relative à la Protection des Données CNIL: Commission Nationale de l’Informatique et des Libertés CSI: Conseiller en sécurité de l’information DPA: Data Protection Authority, l’Autorité de protection des données 5 DPIA: Data Protection Impact Assessment, Analyse d’impact relative à la protection des données Voir AIPD DPO: Data Protection Officer, Délégué à la Protection des Données (DPD) DS: Data Subject, personne concernée 10 EBIOS: Expression des Besoins et Identification des Objectifs de Sécurité Nom d’une méthode française de gestion des risques. GDPR: General Data Protection Regulation, Règlement Général sur la Protection des Données (RGPD) Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données 15 à caractère personnel et à la libre circulation de ces données. Personne concernée : La personne dont on traite les données à caractère personnel PIA: Privacy Impact Assessment, évaluation des facteurs relatifs à la vie privée Considéré ici comme synonyme à DPIA. PID: Project Initiation Documentation, Document de lancement du projet 20 Un document qui décrit la direction et le périmètre d’un projet, considéré comme le « contrat » entre le Chef de Projet et son client. RGPD: Règlement Général sur la Protection des Données Voir GDPR RIT: Responsable Interne du Traitement 25 Collaborateur de l'AFMPS responsable d'un traitement structurel ou régulier de données à caractère personnel. C'est la personne qui participe activement à l’analyse AIPD et qui en est responsable à l’intérieur de l’agence, pour le compte du Responsable du Traitement (= AFMPS). C’est la personne mentionnée comme Process Owner dans le registre RGPD. 30 ROI: Return On Investment, Retour d’investissement SOP: Standard Operating Procedure, procédure de travail standard SQERT: Scope Quality Effort Risks Time, Périmètre Qualité Effort Risques Temps Rapport mensuel de projet par un Chef de Projet TBC: To Be Confirmed, à confirmer 35 Analyse d’impact relative à la protection des données DPO/002/WIT/F (1) Auteur: Bernard Fontaine Page 6 de 23 4. Généralités Le Règlement Général sur la Protection des Données (RGPD) nous oblige à évaluer tous nos traitements de données à caractère personnel, tant ceux sujets à un traitement automatisé qu’à un traitement manuel, et d’exécuter une analyse d’impact relative à la protection des données (AIPD) complète pour tous les traitements qui ont été 5 identifiés avec un risque élevé (voir champ DPIA Required? dans le registre GDPR de l'AFMPS). La procédure qui suit explique comment procéder, pas à pas, en 4 étapes. Elle est dérivée de la méthodologie du CNIL (Commission Nationale de l’Informatique et des Libertés), elle-même basée sur la méthode française EBIOS (Expression des Besoins et 10 Identification des Objectifs de uploads/Management/ v3-2-0-dpo-002-wit-f-analyse-d-x27-impact-relative-a-la-protection-des-d.pdf