L’analyse d’impact –AIPD-[1] est l’une des pierres fondamentales du RGPD[2] et de la nouvelle réglementation de protection des données personnelles, car elle conduit l’entreprise à mener une analyse intégrale des conséquences de ses traitements pour les personnes concernées, notamment en cas de dysfonctionnement, de fuite ou de corruption de leurs données. L’apparition de cette exigence dans le RGPD traduit la généralisation d’une approche « risk based », fondée sur la prévention des dommages plutôt que sur leur remédiation (ou indemnisation !) en cas de sinistre.

 

Toutes les entreprises sont concernées, depuis les multinationales aux nombreux transferts transfrontaliers, jusqu’aux start-up spécialisées dans les nouvelles technologies data, en passant par de nombreux secteurs traditionnellement à risque (santé, assurance, enfants mineurs, etc.).
Pour une PME…qui ne disposerait pas des ressources internes [3]pour mener de telles analyses et qui souhaiterait pas exemple mieux contrôler les risques liés à la messagerie électronique, comment par exemple identifier son engagement à l’AIPD, et comment peut elle correctement mener les analyses ? La réponse en 11 points clés et un exemple pratique que toute PME peut rencontrer.