Comment aborder l’analyse d’impact relative à la protection des données personnelles ?

Julie Celma
Legal Counsel
Legrand

L’exemple de mise en oeuvre pratique de PIA chez Legrand

Legrand est un spécialiste mondial des infrastructures électriques et des réseaux d’information. Il s’adresse aux marchés tertiaire, industriel et résidentiel. Le groupe axe son innovation sur les objets connectés, réunis au sein d’une offre baptisée « programme Eliot », qui met le respect de l’utilisateur au coeur de sa démarche. La sécurité des données et le respect de la vie privée sont au coeur de cette dynamique depuis 2015. Depuis, la direction juridique travaille en étroite collaboration avec les services marketing et les business units du groupe pour impulser le respect de la vie privée dès la phase la conception des produits. Des PIA sont conduits sur les produits Eliot qui traitent des données personnelles.

 

Une politique volontaire qui s’intègre dans la chaîne de valeur des produits Eliot

L’offre de produits connectés Eliot comporte 4 segments : Confort, Sûreté, Efficacité énergétique et Assistance à l’autonomie.

La prise en compte de la sécurité et de la confidentialité des données dès la conception du produit connecté repose sur plusieurs actions.

  • La mise en place d’un groupe de travail, en charge de l’intégration de la réflexion sur la sécurité et la confidentialité des données, et sa présence au niveau du comité décisionnel du programme Eliot ;
  • La nomination de personnes référentes au sein des R&D ;
  • La Formation de ces personnes aux sujets de la sécurité et la confidentialité des données ;
  • La réalisation de Privacy Impact Assessment, d’audits de sécurité et de tests d’intrusion avant la mise sur le marché de nouveaux produits connectés.

L’audit interne est impliqué pour la bonne application des règles définies plus haut.

 

PIA - Méthodologie Eliot

PIA Manual

Legrand a élaboré un manuel décrivant la méthode et les instructions de réalisation d’un PIA. PIA Report Munie de ce manuel, la personne en charge du PIA produit un PIA report, expliquant le produit et son écosystème : types de données, flux des informations, personnes ayant accès aux données, chaîne de sous-traitance…).

PIA Spreadsheet

Le PIA report est accompagné d’un PIA Spreadsheet, feuille de calcul listant les données, leur impact - 4 niveaux d’impact ont été déterminés ; les menaces, leur probabilité de survenance que l’opérationnel doit évaluer, en faisant abstraction des mesures de contrôles mises en place ; les contrôles prévus, leur efficience ; le risque résiduel, qui permet d’identifier les risques et d’évaluer les mesures de remédiation possibles.

 

Retour d’expérience

En conclusion, la mise en place du PIA nécessite une forte mobilisation en accompagnement des équipes, pour leur permettre une bonne appréhension des concepts relatifs à la privacy et aux techniques d’analyse d’impact, qui nécessitent un raisonnement abstrait qui n’est pas évident. Elle nécessite également une forte mobilisation en temps. Chez Legrand, on compte 2-3 jours d’accompagnement pour un PIA, 1 journée de formation initiale sur la privacy et 2 jours sur la sécurité.

Par ailleurs, il est nécessaire de réaliser une bonne définition du rôle des acteurs et des responsabilités dans la protection des données.

Enfin, ce sujet nécessite d’être en capacité de suivre les différents nouveaux projets et les mises à jour éventuelles des produits, car les projets et partenariats évoluent en permanence. Il convient d’être en veille pour vérifier que l’analyse des risques est à jour.

 

Extrait "Les Cahiers N°11" Mars 2018

   

 

Ce sujet vous inéresse ? Retrouvez notre prochaine formation :

Formation - Sécuriser le cadre contractuel des traitements de données - 15 mai 2018, Paris


Publié le 02/05/2018


Rejoindre
l'AFJE