ISO/IEC 29134:2017
(Main)Information technology — Security techniques — Guidelines for privacy impact assessment
Information technology — Security techniques — Guidelines for privacy impact assessment
This document gives guidelines for — a process on privacy impact assessments, and — a structure and content of a PIA report. It is applicable to all types and sizes of organizations, including public companies, private companies, government entities and not-for-profit organizations. This document is relevant to those involved in designing or implementing projects, including the parties operating data processing systems and services that process PII.
Technologies de l'information — Techniques de sécurité — Lignes directrices pour l'étude d'impacts sur la vie privée
Le présent document établit des lignes directrices pour: — un processus d'évaluation des impacts sur la vie privée; et — une structure et un contenu d'un rapport d'évaluation des impacts sur la vie privée (PIA). Il s'applique aux organismes de tous types et de toutes tailles, y compris les entreprises publiques et privées, les entités gouvernementales et les organisations à but non lucratif. Le présent document s'adresse à toute personne impliquée dans la conception ou la réalisation de projets, y compris les parties qui exploitent des systèmes et services de traitement des données qui traitent des DCP.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 29134
First edition
2017-06
Information technology — Security
techniques — Guidelines for privacy
impact assessment
Technologies de l’information — Techniques de sécurité — Lignes
directrices pour l’évaluation d’impacts sur la vie privée
Reference number
ISO/IEC 29134:2017(E)
©
ISO/IEC 2017
---------------------- Page: 1 ----------------------
ISO/IEC 29134:2017(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO/IEC 2017, Published in Switzerland
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO/IEC 2017 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 29134:2017(E)
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Abbreviated terms . 3
5 Preparing the grounds for PIA . 4
5.1 Benefits of carrying out a PIA. 4
5.2 Objectives of PIA reporting . 5
5.3 Accountability to conduct a PIA . 5
5.4 Scale of a PIA . 6
6 Guidance on the process for conducting a PIA . 6
6.1 General . 6
6.2 Determine whether a PIA is necessary (threshold analysis) . 7
6.3 Preparation of the PIA . 7
6.3.1 Set up the PIA team and provide it with direction . 7
6.3.2 Prepare a PIA plan and determine the necessary resources for conducting
the PIA . . 9
6.3.3 Describe what is being assessed .10
6.3.4 Stakeholder engagement .11
6.4 Perform the PIA .13
6.4.1 Identify information flows of PII .13
6.4.2 Analyse the implications of the use case .14
6.4.3 Determine the relevant privacy safeguarding requirements .15
6.4.4 Assess privacy risk .16
6.4.5 Prepare for treating privacy risks .19
6.5 Follow up the PIA .23
6.5.1 Prepare the report .23
6.5.2 Publication .24
6.5.3 Implement privacy risk treatment plans .24
6.5.4 Review and/or audit of the PIA.25
6.5.5 Reflect changes to the process .26
7 PIA report .26
7.1 General .26
7.2 Report structure .27
7.3 Scope of PIA .27
7.3.1 Process under evaluation .27
7.3.2 Risk criteria .29
7.3.3 Resources and people involved .29
7.3.4 Stakeholder consultation .29
7.4 Privacy requirements .29
7.5 Risk assessment .29
7.5.1 Risk sources .29
7.5.2 Threats and their likelihood .29
7.5.3 Consequences and their level of impact .30
7.5.4 Risk evaluation .30
7.5.5 Compliance analysis .30
7.6 Risk treatment plan .30
7.7 Conclusion and decisions .30
7.8 PIA public summary .30
Annex A (informative) Scale criteria on the level of impact and on the likelihood.32
© ISO/IEC 2017 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/IEC 29134:2017(E)
Annex B (informative) Generic threats .34
Annex C (informative) Guidance on the understanding of terms used .38
Annex D (informative) Illustrated examples supporting the PIA process .40
Bibliography .42
iv © ISO/IEC 2017 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC 29134:2017(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical
activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international
organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the
work. In the field of information technology, ISO and IEC have established a joint technical committee,
ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the following
URL: w w w . i s o .org/ iso/ foreword .html.
This document was prepared by Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques.
© ISO/IEC 2017 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO/IEC 29134:2017(E)
Introduction
A privacy impact assessment (PIA) is an instrument for assessing the potential impacts on privacy of a
process, information system, programme, software module, device or other initiative which processes
personally identifiable information (PII) and, in consultation with stakeholders, for taking actions as
necessary in order to treat privacy risk. A PIA report may include documentation about measures taken
for risk treatment, for example, measures arising from the use of the information security management
system (ISMS) in ISO/IEC 27001. A PIA is more than a tool: it is a process that begins at the earliest
possible stages of an initiative, when there are still opportunities to influence its outcome and thereby
ensure privacy by design. It is a process that continues until, and even after, the project has been
deployed.
Initiatives vary substantially in scale and impact. Objectives falling under the heading of “privacy”
will depend on culture, societal expectations and jurisdiction. This document is intended to provide
scalable guidance that can be applied to all initiatives. Since guidance specific to all circumstances
cannot be prescriptive, the guidance in this document should be interpreted with respect to individual
circumstance.
A PII controller may have a responsibility to conduct a PIA and may request a PII processor to assist in
doing this, acting on the PII controller’s behalf. A PII processor or a supplier may also wish to conduct
their own PIA.
A supplier’s PIA information is especially relevant when digitally connected devices are part of the
information system, application or process being assessed. It may be necessary for suppliers of such
devices to provide privacy-relevant design information to those undertaking the PIA. When the
provider of digital devices is unskilled in and not resourced for PIAs, for example:
— a small retailer, or
— a small and medium-sized enterprise (SME) using digitally connected devices in the course of its
normal business operations,
then, in order to enable it to undertake minimal PIA activity, the device supplier may be called upon to
provide a great deal of privacy information and undertake its own PIA with respect to the expected PII
principal/SME context for the equipment they supply.
A PIA is typically conducted by an organization that takes its responsibility seriously and treats PII
principals adequately. In some jurisdictions, a PIA may be necessary to meet legal and regulatory
requirements.
This document is intended to be used when the privacy impact on PII principals includes consideration
of processes, information systems or programmes, where:
— the responsibility for the implementation and/or delivery of the process, information system or
programme is shared with other organizations and it should be ensured that each organization
properly addresses the identified risks;
— an organization is performing privacy risk management as part of its overall risk management effort
while preparing for the implementation or improvement of its ISMS (established in accordance with
ISO/IEC 27001 or equivalent management system); or an organization is performing privacy risk
management as an independent function;
— an organization (e.g. government) is undertaking an initiative (e.g. a public-private-partnership
programme) in which the future PII controller organization is not known yet, with the result that
the treatment plan could not get implemented directly and, therefore, this treatment plan should
become part of corresponding legislation, regulation or the contract instead;
— the organization wants to act responsible towards the PII principals.
vi © ISO/IEC 2017 – All rights reserved
---------------------- Page: 6 ----------------------
ISO/IEC 29134:2017(E)
Controls deemed necessary to treat the risks identified during the privacy impact analysis process
may be derived from multiple sets of controls, including ISO/IEC 27002 (for security controls) and
ISO/IEC 29151 (for PII protection controls) or comparable national standards, or they may be defined
by the person responsible for conducting the PIA, independently of any other control set.
© ISO/IEC 2017 – All rights reserved vii
---------------------- Page: 7 ----------------------
INTERNATIONAL STANDARD ISO/IEC 29134:2017(E)
Information technology — Security techniques —
Guidelines for privacy impact assessment
1 Scope
This document gives guidelines for
— a process on privacy impact assessments, and
— a structure and content of a PIA report.
It is applicable to all types and sizes of organizations, including public companies, private companies,
government entities and not-for-profit organizations.
This document is relevant to those involved in designing or implementing projects, including the parties
operating data processing systems and services that process PII.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO Guide 73:2009, Risk management — Vocabulary
ISO/IEC 27000:2016, Information technology — Security techniques — Information security management
systems — Overview and vocabulary
ISO/IEC 29100:2011, Information technology — Security techniques — Privacy framework
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 29100, ISO/IEC 27000,
ISO Guide 73 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— IEC Electropedia: available at http:// www .electropedia .org/
— ISO Online browsing platform: available at http:// www .iso .org/ obp
3.1
acceptance statement
formal management declaration to assume responsibility for risk ownership, risk treatment and
residual risk
3.2
asset
anything that has value to anyone involved in the processing of personally identifiable information (PII)
Note 1 to entry: In the context of a privacy risk management process, an asset is either PII or a supporting asset.
© ISO/IEC 2017 – All rights reserved 1
---------------------- Page: 8 ----------------------
ISO/IEC 29134:2017(E)
3.3
assessor
person who leads and conducts a privacy impact assessment (3.7)
Note 1 to entry: The assessor may be supported by one or more other internal and/or external experts as part of
their team.
Note 2 to entry: The assessor may be an expert internal or external to the organization.
3.4
process
set of interrelated or interacting activities which transforms inputs into outputs
[SOURCE: ISO/IEC Directives, Part 1, Consolidated ISO Supplement : 2014, 3 .12]
3.5
device
combination of hardware and software, or solely software, that allows a user to perform actions
3.6
privacy impact
anything that has an effect on the privacy of a PII principal and/or group of PII principals
Note 1 to entry: The privacy impact could result from the processing of PII in conformance or in violation of
privacy safeguarding requirements.
3.7
privacy impact assessment
PIA
overall process of identifying, analysing, evaluating, consulting, communicating and planning the
treatment of potential privacy impacts with regard to the processing of personally identifiable
information, framed within an organization’s broader risk management framework
Note 1 to entry: Adapted from ISO/IEC 29100:2011, 2.20.
3.8
privacy risk map
diagram that indicates the level of impact and likelihood of privacy risks identified
Note 1 to entry: The map is typically used to determine the order in which the privacy risks should be treated.
3.9
programme
group of projects managed in a coordinated way to obtain benefits not available from managing them
individually
[SOURCE: ISO 14300-1:2011, 3.2]
3.10
project
unique process, consisting of a set of coordinated and controlled activities with start and finish dates,
undertaken to achieve an objective conforming to specific requirements, including the constraints of
time, cost and resources
[SOURCE: ISO 9000:2015, 3.4.2]
2 © ISO/IEC 2017 – All rights reserved
---------------------- Page: 9 ----------------------
ISO/IEC 29134:2017(E)
3.11
organization
person or group of people that has its own functions with responsibilities, authorities and relationships
to achieve its objectives
Note 1 to entry: The concept of organization includes, but is not limited to, sole-trader, company, corporation, firm,
enterprise, authority, partnership, charity or institution, or part or combination thereof, whether incorporated
or not, public or private.
[SOURCE: ISO/IEC Directives, Part 1, Consolidated ISO Supplement : 2014, 3 . 01]
3.12
severity
estimation of the magnitude of potential impacts on the privacy of a PII principal
3.13
system
information system
applications, services, information technology assets, or other information handling components
[SOURCE: ISO/IEC 27000:2016, 2.39]
3.14
stakeholder
person or organization that can affect, be affected by, or perceive itself to be affected by a decision or
activity
Note 1 to entry: Includes PII principals, management, regulators and customers.
Note 2 to entry: Consultation with stakeholders is integral to a PIA.
[SOURCE: ISO/IEC Directives, Part 1, Consolidated ISO Supplement: 2014, 3.02 – modified – The preferred
term “interested party” has been removed from this entry.]
3.15
technology
hardware, software, and firmware systems and system elements including, but not limited to, information
technology, embedded systems, or any other electro-mechanical or processor-based systems
[SOURCE: ISO/IEC 16509:1999, 3.3]
4 Abbreviated terms
API application programming interface
BYOD bring your own device
ICT information and communication technologies
ISMS information security management system
PII personally identifiable information
SME small and medium-sized enterprises
© ISO/IEC 2017 – All rights reserved 3
---------------------- Page: 10 ----------------------
ISO/IEC 29134:2017(E)
5 Preparing the grounds for PIA
5.1 Benefits of carrying out a PIA
This document provides guidance that can be adapted to a wide range of situations where PII is
processed. However, in general, a PIA can be carried out for the purpose of:
— identifying privacy impacts, privacy risks and responsibilities;
— providing input to design for privacy protection (sometimes called privacy by design);
— reviewing a new information system’s privacy risks and assessing its impact and likelihood;
— providing the basis for the provision of privacy information to PII principals on any PII principal
mitigation action recommended;
— maintaining later updates or upgrades with additional functionality likely to impact the PII that are
handled;
— sharing and mitigating privacy risks with stakeholders, or providing evidence relating to compliance.
NOTE A PIA is sometimes referred to by other terms, for example, a “privacy review” or a “data protection
impact assessment”. These particular instances of a PIA could come with specific implications for both process
and reporting.
A PIA has often been described as an early warning system. It provides a way to detect potential
privacy risks arising from the processing of PII and thereby informing an organization of where they
should take precautions and build tailored safeguards before, not after, the organization makes heavy
investments. The costs of amending a project at the planning stage will usually be a fraction of those
incurred later on. If the privacy impact is unacceptable, the project may even have to be cancelled
altogether. Thus, a PIA helps to identify privacy issues early and/or to reduce costs in management
time, legal expenses and potential media or public concern by considering privacy issues early. It may
also help an organization to avoid costly or embarrassing privacy mistakes.
Although a PIA should be more than simply a compliance check, it does nevertheless contribute to an
organization’s demonstration of its compliance with relevant privacy and data protection requirements
in the event of a subsequent complaint, privacy audit or compliance investigation. In the event of
a privacy risk or breach occurring, the PIA report can provide evidence that the organization acted
appropriately in attempting to prevent the occurrence. This can help to reduce or even eliminate any
liability, negative publicity and loss of reputation.
An appropriate PIA also demonstrates to an organization’s customers and/or citizens that it respects
their privacy and is responsive to their concerns. Customers or citizens are more likely to trust an
organization that performs a PIA than one that does not.
A PIA enhances informed decision-making and exposes internal communication gaps or hidden
assumptions on privacy issues about the project. A PIA is a tool to undertake the systematic analysis of
privacy issues arising from a project in order to inform decision makers. A PIA can be a credible source
of information.
A PIA enables an organization to learn about the privacy pitfalls of a process, information system or
programme upfront, rather than having its auditors or competitors point them out. A PIA assists in
anticipating and responding to the public’s privacy concerns.
A PIA can help an organization gain the public’s trust and confidence that privacy has been built into
the design of a process, information system or programme.
Trust is built on transparency, and a PIA is a disciplined process that promotes open communications,
common understanding and transparency. An organization that undertakes a PIA demonstrates to its
employees and contractors that it takes privacy seriously and expects them to do so too. A PIA is a way
of educating employees about privacy and making them alert to privacy problems that might damage
4 © ISO/IEC 2017 – All rights reserved
---------------------- Page: 11 ----------------------
ISO/IEC 29134:2017(E)
the organization. It is a way to affirm the organization’s values. A PIA can be used as an indication of
due diligence and may reduce the number of customer audits.
5.2 Objectives of PIA reporting
The PIA reporting objective is to communicate assessment results to stakeholders. Expectations from a
PIA exist from multiple stakeholders.
The following are typical examples of stakeholders and their expectations.
— PII principal – PIA is an instrument to enable subjects of PII to have assurance that their privacy is
being protected.
— Management – Several viewpoints apply with
— PIA as an instrument to manage privacy risks, create awareness and establish accountability;
visibility over PII processing within the organization, and possible risks and impacts of the
same; inputs to business or product strategy;
— Building the PIA into the earliest stages of the project ensures the privacy requirements are
included in the functional and non-functional requirements, are achievable, viable and traced
through change and risk management and may result in the project not happening or being
cancelled. The effort to classify and manage project PII should be funded as a separate investment
line item and amount in a project or programme budget, acceptable to all stakeholders;
— PIA as an opportunity to better understand privacy requirements and assess activities against
these requirements; inputs for product or service design and delivery; reviewed and amended
through the change management process after delivery;
— PIA as an instrument to understand the privacy risks at the function/project/unit level;
consolidation of risks; input to privacy policy design and enforcement mechanisms; inputs for
re-engineering privacy processes.
— Regulator – PIA is an instrument that contributes evidence supporting compliance with applicable
legal requirements. It can provide evidence of due diligence taken by the organization in case of
breach, non-compliance, complaint, etc.
— Customer – PIA is a means to assess how the PII processor or PII controller is handling PII and
provides evidence that it follows the contractual obligations.
PIA reporting should fulfil two basic functions. The fir
...
NORME ISO/IEC
INTERNATIONALE 29134
Première édition
2017-06
Technologies de l'information —
Techniques de sécurité — Lignes
directrices pour l'étude d'impacts sur
la vie privée
Information technology — Security techniques — Guidelines for
privacy impact assessment
Numéro de référence
ISO/IEC 29134:2017(F)
©
ISO/IEC 2017
---------------------- Page: 1 ----------------------
ISO/IEC 29134:2017(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2017
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO/IEC 2017 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/IEC 29134:2017(F)
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Abréviations . 3
5 Préparation de la justification d'un PIA . 4
5.1 Avantages de la mise en œuvre d'un PIA . 4
5.2 Objectifs de la production de rapports de PIA . 5
5.3 Responsabilité de la conduite d'un PIA . 6
5.4 Échelle d’un PIA . 6
6 Recommandations relatives au processus de conduite d'un PIA . 7
6.1 Généralités . 7
6.2 Déterminer si un PIA est nécessaire (analyse du seuil) . 7
6.3 Préparation du PIA . 8
6.3.1 Constituer l’équipe de PIA et lui donner des directives . 8
6.3.2 Préparer un plan de PIA et déterminer les ressources nécessaires à la
conduite du PIA .10
6.3.3 Décrire ce qui est évalué .11
6.3.4 Engagement des parties prenantes .12
6.4 Exécuter le PIA .15
6.4.1 Identifier les flux d’informations des DCP .15
6.4.2 Analyser les implications du cas d’utilisation .16
6.4.3 Déterminer les exigences applicables en matière de protection de la vie privée .16
6.4.4 Évaluer le risque sur la vie privée .17
6.4.5 Préparer le traitement des risques sur la vie privée .21
6.5 Assurer le suivi du PIA .26
6.5.1 Préparer le rapport .26
6.5.2 Publication .26
6.5.3 Mettre en œuvre les plans de traitement des risques sur la vie privée .27
6.5.4 Examen et/ou audit du PIA.28
6.5.5 Refléter les changements de processus .28
7 Rapport de PIA .29
7.1 Généralités .29
7.2 Structure de rapport .29
7.3 Domaine d’application du PIA .30
7.3.1 Processus soumis à évaluation .30
7.3.2 Critères de risque .32
7.3.3 Ressources et personnes impliquées .32
7.3.4 Consultation des parties prenantes .32
7.4 Exigences relatives à la protection de la vie privée .32
7.5 Évaluation des risques.32
7.5.1 Sources de risque .32
7.5.2 Menaces et probabilité associée .33
7.5.3 Conséquences et niveau d’impact associé .33
7.5.4 Évaluation des risques .33
7.5.5 Analyse de conformité.33
7.6 Plan de traitement des risques .33
7.7 Conclusion et décisions .33
7.8 Résumé public du PIA .33
Annexe A (informative) Critères d’échelle sur le niveau d'impact et la probabilité .35
© ISO/IEC 2017 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO/IEC 29134:2017(F)
Annexe B (informative) Menaces génériques .37
Annexe C (informative) Recommandations relatives à la compréhension des termes utilisés .41
Annexe D (informative) Exemples illustrés à l’appui du processus de PIA .44
Bibliographie .46
iv © ISO/IEC 2017 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/IEC 29134:2017(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et l'IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l'ISO ou de l'IEC participent au développement de Normes internationales
par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des
domaines particuliers de l'activité technique. Les comités techniques de l'ISO et de l'IEC collaborent
dans des domaines d'intérêt commun. D'autres organismes internationaux, gouvernementaux et non
gouvernementaux, en liaison avec l'ISO et l'IEC participent également aux travaux. Dans le domaine des
technologies de l'information, l'ISO et l'IEC ont créé un comité technique mixte, l'ISO/IEC JTC 1.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l'Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www .iso .org/ iso/ fr/ avant -propos.
Le présent document a été élaboré par le comité technique ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 27, Techniques de sécurité des technologies de l'information.
© ISO/IEC 2017 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO/IEC 29134:2017(F)
Introduction
Une évaluation des impacts sur la vie privée (PIA) est un instrument permettant d'évaluer les impacts
potentiels sur la vie privée d’un processus, d’un système d'information, d’un programme, d'un module
logiciel, d’un dispositif ou de toute autre initiative qui traite des données à caractère personnel (DCP) et,
en consultation avec les parties prenantes, de prendre les mesures nécessaires afin de gérer les risques
sur la vie privée. Un rapport PIA peut comprendre une documentation concernant les mesures adoptées
pour traiter les risques, par exemple les mesures découlant de l’utilisation du système de management
de la sécurité de l'information (SMSI) comme décrit dans l’ISO/IEC 27001. Un PIA ne se résume pas à un
simple outil: il s’agit d'un processus entrepris le plus tôt possible dans le cycle d’une initiative, lorsqu’il
existe encore des opportunités d’influencer ses résultats et, par là-même, de garantir la protection de
la vie privée dès la conception. Ce processus se poursuit jusqu’au déploiement du projet, voire après son
déploiement.
Les initiatives varient considérablement en termes d'échelle et d'impact. Les objectifs relevant de la
« vie privée » sont fonction de la culture, des attentes sociales et de la juridiction. Le présent document
a pour objet de fournir des recommandations adaptables pouvant être appliquées à toute initiative.
Étant donné que les recommandations applicables à toutes les circonstances ne peuvent avoir une
portée normative, il convient d’interpréter au cas par cas les recommandations données dans le présent
document.
Un responsable de traitement de DCP peut avoir la responsabilité de mener un PIA et peut demander à
un sous-traitant de DCP de l’assister dans cette tâche, en agissant au nom du responsable de traitement
de DCP. Un sous-traitant de DCP ou un fournisseur peut également souhaiter mener son propre PIA.
Les informations de PIA d’un fournisseur sont tout particulièrement pertinentes lorsque le système
d'information, l’application ou le processus soumis(e) à évaluation comprend des dispositifs qui
utilisent une connexion numérique. Il peut être nécessaire pour des fournisseurs de tels dispositifs de
fournir aux personnes chargées de mener le PIA des informations de conception pertinentes du point de
vue de la protection de la vie privée. Lorsque le fournisseur de dispositifs numériques ne possède ni les
compétences ni les ressources suffisantes pour mener des PIA, par exemple:
— un petit détaillant; ou
— une petite ou moyenne entreprise (PME) utilisant des dispositifs à connexion numérique dans le
cadre de ses activités normales,
le fournisseur de dispositifs peut, afin d’être en mesure d’entreprendre une activité PIA de base, être
appelé à fournir une grande quantité d'informations relatives à la vie privée et entreprendre son propre
PIA en tenant compte de la personne concernée/contexte de PME attendu(e) pour l’équipement qu’il
fournit.
Un PIA est généralement mené par un organisme qui prend sa responsabilité au sérieux et qui traite les
personnes concernées comme il convient. Dans certaines juridictions, un PIA peut être nécessaire pour
satisfaire aux exigences légales et réglementaires.
Le présent document est destiné à être utilisé lorsque l’évaluation des impacts sur la vie privée des
personnes concernées inclut la prise en compte de processus, systèmes d'information ou programmes où:
— la responsabilité de la mise en œuvre et/ou de la livraison du processus, du système d'information
ou du programme est partagée avec d’autres organismes, et où il convient de veiller à ce que chaque
organisme traite les risques identifiés de manière adéquate;
— un organisme gère les risques sur la vie privée dans le cadre de son effort global de management des
risques, tout en se préparant à la mise en œuvre ou à l’amélioration de son SMSI (établi conformément
à l’ISO/IEC 27001 ou à un système de management équivalent); ou un organisme gère les risques sur
la vie privée comme une fonction indépendante;
— un organisme (gouvernemental, par exemple) entreprend une initiative (par exemple, un programme
de partenariat public-privé) pour laquelle le futur organisme qui assumera le rôle de responsable
vi © ISO/IEC 2017 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO/IEC 29134:2017(F)
de traitement de DCP n’est pas encore connu, avec comme résultat que le plan de traitement ne peut
être directement mis en œuvre et où, par conséquent, il convient que ledit plan de traitement soit
plutôt rattaché à la législation, à la réglementation ou au contrat correspondant(e);
— l’organisme souhaite agir de manière responsable vis-à-vis des personnes concernées.
Les mesures jugées nécessaires pour traiter les risques identifiés au cours du processus d’analyse
des impacts sur la vie privée peuvent être dérivées de plusieurs ensembles de mesures, notamment
l’ISO/IEC 27002 (pour les mesures de sécurité) et l’ISO/IEC 29151 (pour les mesures liées à la protection
des DCP) ou de normes nationales comparables, ou peuvent être définies par la personne responsable
de la conduite du PIA, indépendamment de tout autre ensemble de mesures.
© ISO/IEC 2017 – Tous droits réservés vii
---------------------- Page: 7 ----------------------
NORME INTERNATIONALE ISO/IEC 29134:2017(F)
Technologies de l'information — Techniques de sécurité —
Lignes directrices pour l'étude d'impacts sur la vie privée
1 Domaine d'application
Le présent document établit des lignes directrices pour:
— un processus d’évaluation des impacts sur la vie privée; et
— une structure et un contenu d’un rapport d’évaluation des impacts sur la vie privée (PIA).
Il s’applique aux organismes de tous types et de toutes tailles, y compris les entreprises publiques et
privées, les entités gouvernementales et les organisations à but non lucratif.
Le présent document s’adresse à toute personne impliquée dans la conception ou la réalisation de
projets, y compris les parties qui exploitent des systèmes et services de traitement des données qui
traitent des DCP.
2 Références normatives
Les documents suivants cités dans le texte constituent, pour tout ou partie de leur contenu, des
exigences du présent document. Pour les références datées, seule l'édition citée s'applique. Pour les
références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
Guide ISO 73:2009, Management du risque — Vocabulaire
ISO/IEC 27000:2016, Technologies de l’information — Techniques de sécurité — Systèmes de management
de la sécurité de l’information — Vue d’ensemble et vocabulaire
ISO/IEC 29100:2011, Technologies de l’information — Techniques de sécurité — Cadre pour la protection
de la vie privée
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO/IEC 29100,
l’ISO/IEC 27000 et le Guide ISO 73, ainsi que les suivants, s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— IEC Electropedia: disponible à l'adresse http:// www .electropedia .org/
— ISO Online browsing platform: disponible à l'adresse http:// www .iso .org/ obp
3.1
déclaration d’acceptation
déclaration de management formelle consistant à assumer la responsabilité de la propriété du risque,
du traitement du risque et du risque résiduel
© ISO/IEC 2017 – Tous droits réservés 1
---------------------- Page: 8 ----------------------
ISO/IEC 29134:2017(F)
3.2
actif
tout ce qui a de la valeur pour quiconque impliqué dans le traitement des données à caractère
personnel (DCP)
Note 1 à l'article: Dans le contexte d’un processus de management du risque lié à protection de la vie privée, un
actif désigne soit des DCP soit un actif sous-jacent.
3.3
évaluateur
personne qui dirige et conduit une étude d'impacts sur la vie privée (3.7)
Note 1 à l'article: L’évaluateur peut être assisté d’un ou plusieurs autres experts internes/externes intégrés à
son équipe.
Note 2 à l'article: L’évaluateur peut être un expert interne ou externe à l'organisme.
3.4
processus
ensemble d'activités corrélées ou en interaction qui transforme des éléments d'entrée en éléments
de sortie
[SOURCE: Directives ISO/IEC, Partie 1, Supplément ISO consolidé: 2014, 3.12]
3.5
dispositif
combinaison de matériel et de logiciel, ou uniquement de logiciel, permettant à un utilisateur d’exécuter
des actions
3.6
impact sur la vie privée
tout ce qui a un effet sur la vie privée d’une personne concernée et/ou d'un groupe de personnes
concernées
Note 1 à l'article: L’impact sur la vie privée peut être le résultat du traitement des DCP dans le respect ou en
violation des exigences applicables en matière de protection de la vie privée.
3.7
évaluation de l'impact sur la vie privée
PIA
processus global visant à identifier, analyser, évaluer, consulter, communiquer et planifier le traitement
des impacts potentiels sur la vie privée au regard du traitement des données à caractère personnel,
dans le cadre plus large du système de management des risques d’un organisme
Note 1 à l'article: Adapté de l’ISO/IEC 29100:2011, 2.20.
3.8
carte des risques sur la vie privée
schéma indiquant le niveau d'impact et la probabilité des risques identifiés pour la vie privée
Note 1 à l'article: La carte est généralement utilisée pour déterminer l’ordre dans lequel il convient de traiter les
risques sur la vie privée.
3.9
programme
groupe de projets gérés de manière coordonnée afin d'obtenir des bénéfices qu’il ne serait pas possible
de produire dans le cadre d’une gestion individuelle
[SOURCE: ISO 14300-1:2011, 3.2, modifiée]
2 © ISO/IEC 2017 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO/IEC 29134:2017(F)
3.10
projet
processus unique qui consiste en un ensemble d'activités coordonnées et maîtrisées comportant
des dates de début et de fin, entrepris dans le but d'atteindre un objectif conforme à des exigences
spécifiques, incluant les contraintes de délais, de coûts et de ressources
[SOURCE: ISO 9000:2015, 3.4.2]
3.11
organisme
personne ou groupe de personnes ayant un rôle avec les responsabilités, l'autorité et les relations lui
permettant d'atteindre ses objectifs
Note 1 à l'article: Le concept d'organisme englobe sans s'y limiter, les travailleurs indépendants, les compagnies,
les sociétés, les firmes, les entreprises, les administrations, les partenariats, les organisations caritatives ou les
institutions, ou bien une partie ou une combinaison des entités précédentes, à responsabilité limitée ou ayant un
autre statut, de droit public ou privé.
[SOURCE: Directives ISO/IEC, Partie 1, Supplément ISO consolidé 2014, 3,01]
3.12
gravité
estimation de l’ampleur des impacts potentiels sur la vie privée d'une personne concernée
3.13
système
système d'information
applications, services, actifs informationnels ou autres composants permettant de gérer l'information
[SOURCE: ISO/IEC 27000:2016, 2.39]
3.14
partie prenante
personne ou organisme susceptible d'affecter, d'être affecté ou de se sentir lui-même affecté par une
décision ou une activité
Note 1 à l'article: Comprend les personnes concernées, la direction, les organismes de réglementation et les
clients.
Note 2 à l'article: La consultation des parties prenantes fait partie intégrante d'un PIA.
[SOURCE: Directives ISO/IEC, Partie 1, Supplément ISO consolidé, 2014, 3.02 – modifiées – Le terme
recommandé « partie intéressée » a été supprimé de cet article.]
3.15
technologie
systèmes et éléments de systèmes matériels, logiciels et micrologiciels incluant, sans toutefois s’y
limiter, les technologies de l'information, les systèmes intégrés ou tout autre système électromécanique
ou reposant sur un processeur
[SOURCE: ISO/IEC 16509:1999, 3.3]
4 Abréviations
API Interface de programmation d'applications [application programming interface]
AVEC Apportez votre équipement personnel de communication
DCP Données à caractère personnel
© ISO/IEC 2017 – Tous droits réservés 3
---------------------- Page: 10 ----------------------
ISO/IEC 29134:2017(F)
PME Petites et moyennes entreprises
SMSI Système de management de la sécurité de l'information
TIC Technologies de l'information et de la communication
5 Préparation de la justification d'un PIA
5.1 Avantages de la mise en œuvre d'un PIA
Le présent document fournit des recommandations qui peuvent être adaptées à une grande diversité de
situations où sont traitées des DCP. D'une manière générale, cependant, un PIA peut être réalisé en vue:
— d'identifier les impacts sur la vie privée, les risques sur la vie privée et les responsabilités associées;
— de fournir des éléments d’entrée pour la conception d’une protection de la vie privée (parfois appelé
« protection de la vie privée dès la conception »);
— d’examiner les risques d’un nouveau système d'information en matière de vie privée, et d’évaluer
leur impact et leur probabilité;
— de fournir la base pour la fourniture d’informations sur la vie privée à des personnes concernées
concernant toute action d’atténuation recommandée des personnes concernées;
— de conserver les mises à jour ou mises à niveau ultérieures avec des fonctionnalités supplémentaires
susceptibles d’impacter les DCP traitées;
— de partager et d’atténuer les risques avec les parties prenantes, ou de fournir des preuves en lien
avec la conformité.
NOTE Un PIA est parfois désigné par d’autres termes, par exemple « examen de la protection de la vie
privée » ou « évaluation de l’impact de la protection des données ». Ces instances particulières d'un PIA peuvent
avoir des implications spécifiques aussi bien sur le plan du processus que sur celui des rapports.
Un PIA a souvent été décrit comme un système d'alerte précoce. Elle offre un moyen de détecter les
risques potentiels pour la vie privée qui découlent du traitement des DCP et, ainsi, d’informer un
organisme sur les domaines où il convient qu’il prenne des précautions particulières et qu’il développe
des moyens de protection adaptés avant (et non pas après) que l’organisme n’engage de lourds
investissements. Les coûts liés à la modification d'un projet au stade de la planification représentent
en général seulement une fraction des coûts engagés à une phase ultérieure. Si l’impact sur la vie privée
est inacceptable, le projet peut même devoir être annulé purement et simplement. Un PIA permet donc
d’identifier les problèmes liés à la protection de la vie privée à un stade précoce et/ou de réduire les
coûts associés au temps de gestion, aux frais juridiques et aux difficultés publiques ou médiatiques
potentielles, en prenant en compte ces problèmes de façon anticipée. Elle peut également aider un
organisme à éviter les violations des données à caractère personnel coûteuses ou embarrassantes.
S'il convient qu’un PIA ne se limite pas à une simple vérification de conformité, il n’en reste pas moins
qu’il contribue à démontrer la conformité d'un organisme aux exigences applicables en matière de
protection de la vie privée et de protection des données en cas de plainte, d’audit sur la protection de la
vie privée ou d’enquête de conformité ultérieur(e). Si un risque ou une violation des données à caractère
personnel se produit, le rapport de PIA peut apporter la preuve que l’organisme a agi de manière
appropriée pour tenter d’empêcher une telle situation. Cela peut aider à réduire, voire à éliminer, toute
responsabilité, publicité négative ou atteinte à la réputation.
Un PIA approprié démontre également aux clients et/ou citoyens d'un organisme que celui-ci respecte
leur vie privée et est attentif à leurs préoccupations. Les clients ou citoyens ont tendance à faire
davantage confiance à un organisme qui entreprend un PIA qu’à un organisme qui n’en fait rien.
Un PIA améliore la prise de décision et met au grand jour les insuffisances au niveau de la communication
interne ou les hypothèses cachées sur les questions liées à la protection de la vie privée dans le cadre
4 © ISO/IEC 2017 – Tous droits réservés
---------------------- Page: 11 ----------------------
ISO/IEC 29134:2017(F)
du projet. Un PIA est un outil qui permet d’analys
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.