Comme nous l’avons vu dans la newsletter précédente, le responsable de traitement doit réaliser une analyse d’impact (AIDP) dès lors qu’un processus de traitement de données personnelles peut potentiellement engendrer des risques pour la personnalité et les droits fondamentaux des individus. Cette décision est prise à la suite d’une analyse préliminaire qui doit être documentée et archivée dans le système documentaire de la société, comme prévu dans les lignes directrices de l’EDPB et dans l’art. 22 de la LPD. Il est important de signaler que la LPD prévoit des cas de dérogation pour les organisations privées lorsque le traitement de données est effectué en vertu d’une obligation légale ou bien lorsqu’il recourt à un système, un produit ou un service certifié conformément à l’art. 13 de la LPD.
Le contenu d’une analyse d’impact est précisé par la LPD et doit comprendre (i) une description du traitement envisagé, (ii) une évaluation des risques pour la personnalité et les droits fondamentaux de la personne concernée, ainsi que (iii) les mesures prévues pour protéger sa personnalité et ses droits fondamentaux.
Cette analyse est obligatoire tant au moment de la planification d’un traitement que pour les traitements existants. Dans cette phase, toutes les mesures de sécurité nécessaires pour réduire le risque potentiel sur les droits fondamentaux des personnes concernées à un niveau acceptable sont identifiées.
La société planifie la réalisation des AIDP sous la responsabilité du directeur du département concerné avec le soutien des services impliqués, de consultants externes et d’avocats spécialisés. Si l’organisation possède un correspondant LPD, celui-ci joue un rôle de coordinateur et de support dans cet exercice.
La méthodologie se développe selon les étapes suivantes :
- Délimiter et décrire le contexte du traitement considéré en tenant compte du contexte (des informations détaillées sur le traitement, le processus et les ressources dédiées) et des finalités du traitement, y compris, le cas échéant, de l’intérêt légitime poursuivi par le responsable du traitement ;
- Calculer le risque inhérent du traitement sous observation ;
- Analyser les mesures de sécurité garantissant le respect des principes fondamentaux : la minimisation, la proportionnalité et la nécessité du traitement à des fins de protection des droits des personnes concernées ;
- Apprécier les risques sur les personnes concernées liés à la sécurité des données et vérifier qu’ils soient convenablement traités en fonction des risques de confidentialité, disponibilité ou d’intégrité ;
- Calculer le risque résiduel de l’AIDP ;
- Formaliser la validation de l’AIDP au regard des éléments précédents ;
- Définir le plan d’action individualisé dont l’objectif est de réduire à un niveau acceptable le risque potentiel résiduel relevé.
Les mesures de sécurité prises en compte correspondent à une liste précise accompagnée d’une indication sur l’effectivité de chaque mesure par rapport au risque mesuré pour la confidentialité, la disponibilité et l’intégrité. Ainsi on comprend bien qu’une mesure de sécurité ne pourra pas avoir le même impact sur les 3 catégories de risque mesuré. Si nous prenons comme exemple la sauvegarde des données, cette mesure aura un poids important sur les risques de disponibilité et d’intégrité mais pas sur le risque de confidentialité.
Dans le cas où le risque résiduel final est négligeable ou limité, le responsable du traitement peut autoriser la mise en œuvre du traitement analysé.
En revanche, si suite au calcul, le traitement envisagé présente encore un risque élevé pour la personnalité et les droits fondamentaux de la personne concernée, le responsable de traitement doit consulter le Préposé fédéral à la protection des données et à la transparence, PFPDT, préalablement à la mise en œuvre du traitement. Une fois la décision de consulter prise, le responsable de traitement, avec l’aide de consultants externes et du DPO, prépare la demande de consultation préalable, au PFPDT qui a 2 mois pour formuler ses objections concernant le traitement envisagé, avec un délai supplémentaire d’un mois lorsqu’il s’agit de traitement de données complexes.
En vertu du processus d’amélioration continue, une mise à jour des AIDP qui passe par la surveillance des évolutions du contexte, des mesures de sécurité, des risques identifiés est programmée tous les ans par le responsable de traitement. Une mise à jour est réalisée de facto dès qu’une évolution significative a lieu.
Il est important d’exécuter une AIPD sur les processus susceptibles d’engendrer un risque pour les personnes physiques car c’est un outil de responsabilisation qui aide non seulement à construire des traitements de données respectueux de la vie privée qui augmente la confiance des utilisateurs et des consommateurs avec une création de valeur directe, mais aussi la sécurité générale et la stratégie de l’entreprise. Ceci car aujourd’hui, les entreprises utilisent les données personnelles pour leur gestion ordinaire mais surtout pour le développement d’opportunités commerciales et pour avoir une meilleure visibilité. Ces objectifs impliquent une gestion des données à 360 degrés et la nécessité de mettre en place des processus internes respectueux à cet égard.
Ce n’est pas un hasard si des géants comme Apple et Samsung communiquent leur adhésion et proposent des produits respectueux de la vie privée pour accroître la confiance des stakeholders et pérenniser leurs revenus.
Fabienne Flesia
👉 Inscrivez-vous à notre newsletter “Data Management et Business” sur notre page Linkedin.