L’application de la loi sur la protection des données personnelles oblige les sociétés à s’assurer de la correcte évaluation des risques pour la personnalité et les droits fondamentaux des individus sur les traitements de données effectués. Dans le meilleur des cas, l’évaluation de risques est réalisée par le personnel directement impliqué dans le traitement des données, avec une supervision technique, afin de pouvoir mettre en place les mesures de sécurité appropriées qui contrastent le risque potentiel identifié. L’AIPD est donc un outil qui aide à construire un traitement respectueux de la vie privée.
Ainsi la société doit vérifier que ses traitements ne soient pas susceptibles d’engendrer des risques élevés. On entend par risque élevé par exemple le profilage au sens de l’art. 5, let. g, LPD qui permet d’apprécier les caractéristiques essentielles de la personnalité d’un individu ou d’autres formes de traitement automatique telles que la décision individuelle automatisée visée à l’art. 21 LPD, ou encore des traitements de données des personnes vulnérables.
L’analyse de type préliminaire vise à identifier les potentiels risques élevés associés à un projet, qui se caractérisent par leur probabilité de survenance et, du fait du qualificatif « élevés », par la gravité de leurs conséquences. Elle est donc réalisée aussi bien sur les traitements de données en phase de conception que sur les traitements existants. Cette activité suppose une activité préalable de collecte d’informations pertinentes pour chaque traitement mis en examen. Pour ce faire, le responsable du traitement s’assure que le registre des traitements soit complet, comme prévu par l’art. 12 de la LPD, et que les traitements en phase de planification fassent l’objet d’un project report détaillé et spécifique.
Concernant les traitements en phase de planification, la société doit définir une liste des projets sur la base d’une communication obtenue par les différents chefs de service. Pour chacun d’eux le project leader doit communiquer les informations prévues à l’art. 12 de la LPD, même si le traitement n’est pas encore en vigueur, car selon l’art. 7 de la LPD, « le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données, en particulier les principes de la loi. Il le fait dès la conception du traitement. Les mesures techniques et organisationnelles doivent être appropriées au regard notamment de l’état de la technique, du type de traitement et de son étendue, ainsi que du risque que le traitement des données représente pour la personnalité et les droits fondamentaux des personnes concernées.
Le processus d’analyse est structuré et a pour objectif d’analyser les activités prévues dans le traitement en question, les catégories de personnes concernées, les catégories de données personnelles, les lieux de traitement des données et les destinataires de données, les mesures de sécurité en place, etc …..
Pour ce faire la société doit prendre en considération l’article 22, paragraphe 2 de la LPD qui donne la liste des traitements pour lesquels l’AIDP est obligatoire et qui correspondent (1) aux traitements de données sensibles à grande échelle ; (2) à la surveillance systématique des grandes parties du domaine public. Cette liste n’est pas exhaustive mais illustrative. D’après l’art 22 de la LPD, toute opération de traitement « à haut risque » doit faire l’objet d’une AIDP.
Si le traitement ne trouve pas de correspondance avec les cas prévus de l’article 22 de la LPD, il est une bonne pratique de vérifier l’éventuelle présence des 9 critères de l’European Data Protection Board (EDPB). En effet, les lignes directrices de l’EDPB contiennent un guide basé sur 9 critères définis avec des exemples concrets pour faciliter leur application en relation avec le traitement des données personnelles analysé. D’une manière générale, les lignes directrices indiquent que lorsque le traitement est concerné par au moins deux critères, il est susceptible de présenter un risque élevé et par conséquent il nécessite une AIPD.
Les critères EDPB à vérifier sont les suivants :
- Évaluation ou notation, y compris les activités de profilage et de prédiction, portant notamment sur des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements ;
- Existence d’une prise de décision automatisée avec effet juridique ;
- Application d’une surveillance systématique comme la vidéo-surveillance ;
- Utilisation de données sensibles ou données à caractère hautement personnel ;
- Traitement de données à grande échelle sur un volume important de données ou sur un nombre important de personnes, sur une durée ou une couverture géographique étendue ;
- Croisement ou combinaison d’ensembles de données, interconnexion ou comparaison de différentes bases de données ;
- Utilisation de données concernant des personnes vulnérables ;
- Utilisation de solutions innovatives, de systèmes d’intelligence artificielle, biométriques, ou d’applicatifs qui étudient les comportements des personnes ;
- Traitements en eux-mêmes qui empêchent les personnes concernées d’exercer un droit, de bénéficier d’un service ou d’exécuter un contrat.
Une fois réalisée, l’analyse préliminaire motivée doit faire l’objet d’un rapport d’analyse qui indique les résultats obtenus pour chaque traitement mis en œuvre ou planifié ainsi que la conclusion sur la nécessité de réaliser une évaluation d’impact (AIDP) ou pas. L’AIDP peut être effectuée en référence à un seul traitement ou un ensemble d’opérations de traitement similaires qui présentent des risques élevés analogues comme prévu par l’article 22.
Les activités menées dans le processus d’analyse des risques doivent être revues périodiquement pour les traitements existants, tous les 18 mois environ, afin de vérifier la correcte définition des éléments de contexte et de détail et de les mettre à jour. Les activités doivent donc être suivies et documentées ; les documents – en appliquant le système de gestion des versions – doivent être archivés dans le système de gestion centralisé de la société afin d’être disponibles en cas d’inspection du Préposé fédéral à la protection des données et à la transparence.
Fabienne Flesia
👉 Inscrivez-vous à notre newsletter “Data Management et Business” sur notre page Linkedin.