La nouvelle loi sur la protection des données a introduit l’obligation d’établir, dans certains cas, une analyse d’impact relative à la protection des données personnelles (AIPD). Elle vise à identifier préalablement les risques potentiellement élevés pour la personnalité et les droits fondamentaux, afin de prendre les mesures adéquates pour les réduire à un niveau acceptable. Si l’exercice peut faire peur, il suffit de suivre quelques étapes très concrètes.
Est-ce qu’une AIPD est nécessaire ?
L’art. 22 LPD prévoit qu’une analyse d’impact doit être réalisée en cas de risque élevé. Il y a dans tous les cas un risque élevé en cas de traitement de données sensibles à grande échelle ou de surveillance systématique de grandes parties du domaine public (risques absolus). Mais il peut aussi y avoir un risque élevé, dans d’autres cas, notamment en cas de profilage à risque élevé, du recours à de nouvelles technologies comme l’intelligence artificielle, de décision individuelle automatisée, de données collectées à l’insu des personnes concernées, d’un volume de données ou d’un nombre de personnes particulièrement important, d’interconnexion entre plusieurs bases de données, de surveillance, etc. (risques notoires). C’est au responsable du traitement d’évaluer s’il doit procéder à une AIPD. En présence de risques absolus, une AIPD est nécessaire. En cas de risques notoires, il faut vérifier si compte tenu de toutes les circonstances, il y a un risque élevé (une AIPD est nécessaire) ou pas (on peut s’en passer).
1. Décrire les traitements
La première partie de l’AIPD consiste dans la description très concrète du traitement envisagé : catégories de données et de personnes concernées, finalité du traitement, destinataires, durées et moralités de conservation, processus de traitement, droits d’accès aux données, transfert à l’étranger, information des personnes concernées, etc. On vérifiera aussi que le traitement est licite, c’est-à-dire qu’il respecte les principes de la protection des données (art. 6 et 8 LPD). Au besoin, on s’assura d’avoir un motif justificatif (art. 31 LPD).
2. Identifier les risques potentiellement élevés
L’AIPD ne vise toutefois pas à vérifier que le traitement en envisagé est licite, mais à identifier préalablement les risques pour les réduire. Dans cette deuxième partie, il faut donc mettre en évidence les risques pour la personnalité et les droits fondamentaux des personnes concernées. On peut mentionner les risques systémiques (y compris les risques liés au recours à des sous-traitants et aux transferts à l’étranger), les risques juridiques et les risques relevant de la sécurité (confidentialité, intégrité, disponibilité et traçabilité). Si les risques de sécurité sont assez classiques, les risques systémiques dépendront fortement de la finalité du traitement (erreur médicale pour un dossier patient, discrimination pour l’établissement pour profil, profilage pour une surveillance vidéo, etc.). Chaque risque initial potentiellement élevé doit être analysé et évalué séparément en tenant compte de la personne concernée par le risque, de l’étendue du risque et de sa probabilité de survenance.
3. Identifier les mesures visant à réduire les risques
Pour chaque risque initial potentiellement élevé identifié, il faut décrire dans une troisième partie les mesures envisagées pour le réduire à un niveau approprié afin qu’il puisse être qualifié de «réduit» ou de «moins élevé». Il peut s’agir de mesures juridiques (garanties contractuelles, pénalités, etc.), de mesures organisationnelles (sélection, instruction et surveillance du personnel, sensibilisation, formation, règlements, audit des sous-traitants, etc.) et de mesures techniques (conformément à l’art. 3 OPDo, journalisation, etc.). Les mesures envisagées peuvent aussi comprendre une pesée des intérêts entre ceux de la personne concernée et ceux du responsable du traitement.
4. Évaluer les risques résiduels
Cette quatrième et dernière partie de l’AIPD permet d’évaluer les risques résiduels, soit qualifier les risques restant malgré les mesures envisagées pour réduire les risques. Tenant compte de la probabilité et l’impact du risque résiduel, on indiquera s’il est réduit ou élevé.
Si tous les risques sont réduits, l’exercice est réussi et le traitement prévu a pu être amélioré. Si des risques résiduels demeurent élevés, cela ne signifie pas que l’AIPD a été mal réalisée. Il y a des situations dans lesquelles les risques ne peuvent simplement pas être réduits. Ces traitements ne violent pas la LPD pour autant et pourront être réalisés. Néanmoins, il faudra bien s’assurer que cela reste acceptable dans le cadre de la LPD et surtout le PFPDT devra se prononcer sur l’AIPD (art. 23 al. 1 LPD), sauf pour le responsable du traitement privé qui a préalablement consulté son propre conseiller à la protection des données. Le PFPDT doit se prononcer sur l’AIPD dans les deux mois et son avis est sujet à émolument. Il ne s’agit ni d’une autorisation, ni d’une interdiction du traitement, mais d’une simple recommandation.
Dans tous les cas, le responsable du traitement doit conserver l’AIPD pendant au moins deux ans après la fin du traitement des données.
Pour aller plus loin
L’établissement d’une AIPD implique de bien comprendre le fonctionnement concret du traitement envisagé et les enjeux de la protection des données. Une mauvaise rédaction de l’AIPD peut avoir des conséquences à long terme, notamment en cas de procédure ultérieure de surveillance. Il est donc particulièrement important d’y accorder dès le début le soin nécessaire. Aucune forme spécifique n’est imposée, ce qui laisse une certaine marge de manœuvre au responsable du traitement. Au contraire, le recours à des modèles préétablis ou remplis automatiquement est souvent une mauvaise idée, car les risques ne seront ni identifiés ni adressés correctement.
Le PFPDT a publié un Aide-mémoire concernant l’AIPD. Pour les unités de l’administration fédérale centrale (art. 7 OLOGA), le Conseil fédéral a adopté des Directives concernant l’examen préalable des risques et l’analyse d’impact relative à la protection des données personnelles en cas de traitement de données personnelles par l’administration fédérale. L’OFJ a également publié un Instrument d’examen préalable des risques pour aider les organes fédéraux à déterminer si une AIPD est nécessaire et un Guide AIPD pour les cas où ils doivent en réaliser une. Ces documents ne visent pas les responsables du traitement privés, mais ils peuvent évidemment s’en inspirer.
Laisser un commentaire