PIA signifie Privacy Impact Assessment / Analyse d’impact. Cela correspond à une description détaillée du traitement de données mis en œuvre tant sur le plan technique qu’opérationnel ainsi qu’à une analyse de risques sur la sécurité des données et leur impact sur la vie privée.
Un PIA est obligatoire lorsque le traitement réunit au moins deux critères parmi les suivants :
- évaluation/Scoring (y compris le Profilage) ;
- décision automatique avec effet légal ou similaire ;
- surveillance systématique ;
- collecte de données sensibles ou données à caractère hautement personnel (santé, géolocalisation, etc.) ;
- collecte de données personnelles à large échelle ;
- croisement de données ;
- personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
- usage innovant ou l’utilisation d’une nouvelle technologie (ex : objets connectés) ;
- exclusion du bénéfice d’un droit/contrat.
Dans la pratique, tous les processus et toutes les bases de données de la direction commerciale/marketing et de la direction des ressources humaines devraient être passés en revue car impliquant le plus souvent profilage et traitement de masse ou surveillance à grande échelle d’une zone accessible au public. Cela sera également souvent le cas des traitements ayant recours aux nouvelles technologies