Ton loyer va augmenter? Renseigne-toi sur tes droits

Processus d'analyses d’impact à la protection des donnés

Les entreprises suisses doivent définir un processus pour les analyses d’impact relatives à la protection des données personnelles (AIPD).

La réponse en détail

Qu’est-ce qu’une analyse d’impact relative à la protection des données (AIPD)?

Une analyse d’impact sur la protection des données n’est rien d’autre qu’une analyse structurée des risques. L’objectif est que les responsables puissent se rendre compte des risques que peut comporter un traitement des données et les prendre en considération de manière appropriée. 


Quand faut-il effectuer une AIPD?

Vous êtes tenus de réaliser une AIPD lorsque le traitement envisagé entraîne un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. Il existe un risque élevé notamment en cas de recours à des nouvelles technologies, si vous traitez un nombre très important de données sensibles ou surveillez systématiquement de grandes parties du domaine public. 


Comment effectuer une AIPD?

Il y a différentes façons d’aborder une AIPD, notamment en fonction de la taille de votre entreprise. Il est important que vous établissiez d’abord une analyse des risques en matière de protection des données et que vous engagiez ensuite une réflexion sur la gestion des risques. Lors de l’analyse des risques, prenez en compte les aspects suivants:

  1. Identifiez tous les risques de protection des données susceptibles de survenir lors du processus de traitement considéré.
  2. Analysez les risques et reportez-les dans une matrice. Ce faisant, vous devez évaluer le potentiel dommageable et la probabilité d’occurrence. 
  3. Évaluez les risques. 

Une fois l’évaluation des risques terminée, demandez-vous comment vous pouvez influer sur ces risques Vous disposez des possibilités suivantes:

  1. Vous évitez le risque en renonçant aux activités risquées.
  2. Vous transférez le risque à une entreprise partenaire (assurance, externalisation).
  3. Vous minimisez les risques en prenant des mesures d'accompagnement qui réduisent le potentiel dommageable ou la probabilité d’occurrence. 

Le préposé fédéral à la protection des données et à la transparence (PFPDT) doit être consulté préalablement au traitement lorsque l’analyse d’impact relative à la protection des données révèle que, malgré les mesures prévues, le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.

Il est possible de renoncer à une analyse d’impact relative à la protection des données en cas de recours à un système, un produit ou un service qui a été certifié par un organisme de certification agréé et indépendant pour l’utilisation prévue. 

En outre, les membres d’associations professionnelles, sectorielles et économiques peuvent également renoncer à une analyse d’impact relative à la protection des données lorsque l’association a élaboré un code de conduite et l’a soumis au préposé fédéral à la protection des données et à la transparence (PFPDT).

 

Ce qu’il faut savoir

Après avoir réalisé une AIPD, il reste encore beaucoup à faire. Vous devez vous assurer que la mise en oeuvre s’effectuera comme prévu. Par ailleurs, vous devriez soumettre votre AIPD à des contrôles réguliers afin de garantir une réaction rapide et appropriée, même si les conditions-cadres changent. Nous vous recommandons de documenter ce processus afin d’être en mesure, le cas échéant, de fournir la preuve de votre réaction. 
 

Autres conseils juridiques et modèles concernant la protection des données: