Le logiciel open source développé par la Cnil, destiné à simplifier la réalisation d’analyses d’impact sur la protection des données, monte en version et s’enrichit de nouvelles fonctionnalités, à l’instar de la recherche par mot-clé ou encore la catégorisation des analyses.
En 2017, en amont de l’entrée en vigueur du RGPD, la Cnil lançait un outil open source, PIA, pour Privacy Impact Assessment. Installé sur un serveur, il permet de réaliser plus simplement des études d’impact sur la protection des données, s’adressant principalement aux responsables de traitement n’étant pas ou étant peu familiers avec la démarche PIA.
Il consiste en une interface ergonomique déroulant pas à pas la méthode d’analyse d’impact de la Cnil, une base de connaissance contextuelle juridique et technique. Enfin, l’outil est modulaire de sorte à s’adapter aux besoins spécifiques ou à au secteur d’activité du responsable du traitement, “par exemple en créant un modèle d’AIPD qu’il sera possible de dupliquer et utiliser pour des traitements de nature similaire”.
Amélioré et corrigé
En deux ans, PIA a connu plusieurs mises à jour. Le logiciel passe désormais en version 2.3 et se dote de nouvelles fonctionnalités, annonce la Cnil sur son site. En l'occurrence, l’outil permet dans cette version la recherche par mots clés pour filtrer les analyses d’impact, d’archiver ces dernières, de les décliner en plusieurs versions et de les catégoriser et de gérer de façon plus fine le pourcentage d’avancement de l’analyse. “Cette nouvelle version s’accompagne également d’améliorations et d’une harmonisation de l’interface graphique ainsi que de la mise à jour des bibliothèques de développement” précise la Cnil.
En outre, certains problèmes sont corrigés, à l’instar de l’import et l’export d’analyses, d’un problème d’affichage lié aux caractères accentués lors de l’import d’une analyse ou encore d’un problème d’affichage au niveau des pièces jointes. Rappelons que les analyses d’impact sur la protection des données sont obligatoires dans certains cas listés par la Cnil, par exemple en cas de surveillance systématique, de collecte de données sensibles ou données à caractère hautement personnel, de collecte de données personnelles à large échelle ou encore de croisement de données.