Analyse d'impact relative à la protection des données: Pour les nouveaux projets dans le domaine des RH
Ursula Uttinger
Ursula Uttinger est juriste de formation et a suivi diverses études postgrades et formations continues. Elle s'occupe de la protection des données depuis plus de 25 ans, a été responsable de la protection des données dans différentes entreprises, mais a également dirigé pendant plusieurs années une entreprise de Case Management et a occupé diverses fonctions de direction au niveau de la direction. Aujourd'hui, elle est chargée de cours à la Haute école de Lucerne et travaille en tant que conseillère indépendante en matière de protection des données.
Aides de travail appropriées
Analyse d'impact relative à la protection des données
Contrairement aux accords de confidentialité, aux déclarations de protection des données et aux accords sur le traitement des données de commande, on s’est peu focalisé sur l'analyse d'impact relative à la protection des données (AIPD) jusqu'à présent. Ceci s’explique peut-être par le fait qu'elle ne sera applicable qu'aux nouveaux traitements à partir du 1er septembre 2023.
Idéalement, l’analyse d'impact relative à la protection des données devrait faire partie intégrante de la gestion de projet: lorsqu'un nouveau projet est lancé, il convient en effet, dans un premier temps, de vérifier si des données personnelles seront traitées. Si la réponse est «oui», l'étape suivante consiste en une analyse des seuils, qui permet de déterminer si le traitement des données peut entraîner un risque élevé pour les personnes concernées. La notion de «risque élevé» doit faire l’objet d’une interprétation spécifique et n'est pas définie plus avant dans la loi. La pratique et d'éventuelles décisions judiciaires - dont on ne peut pas s'attendre à ce qu'elles interviennent très rapidement, si tant est qu'elles interviennent un jour - devront clarifier ce point1.
Dans quel cas un traitement de données présente-t-il un risque élevé pour les personnes concernées?
La loi fournit des aides à l'interprétation: sont considérés comme présentant un risque élevé l'utilisation de nouvelles technologies, la nature, l'étendue et la finalité du traitement, notamment lorsque des données personnelles sensibles sont traitées à grande échelle et que des domaines publics étendus sont systématiquement surveillés (LPD 22 II). Concrètement: si une entreprise décide d'installer un nouvel outil RH, il s'agit certainement de données personnelles; il faut alors déterminer s’il faut procéder à une AIPD. L'art. 5 let. c LPD définit ce qu'il faut entendre par données personnelles sensibles:
- les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales,
- les données sur la santé, la sphère intime ou l’origine raciale ou ethnique,
- les données génétiques,
- les données biométriques identifiant une personne physique de manière univoque,
- les données sur des poursuites ou sanctions pénales ou administratives,
- les données sur des mesures d’aide sociale.
La religion est indiquée dans le dossier personnel pour les personnes soumises à l'impôt à la source; les déclarations d'absence archivées devraient également fournir indirectement des indications sur les données relatives à la santé, car les certificats d'incapacité de travail sont également régulièrement archivés. Selon la branche et la fonction, un extrait de casier judiciaire peut faire partie des données du personnel. Que cela ait ou non une certaine importance dépend aussi de la taille de l'entreprise. Dans une PME de 20 personnes, on ne peut guère parler de «grande portée» à ce propos. Mais plus l'entreprise est grande et plus il est conseillé d'effectuer une AIPD.
Si les données personnelles sensibles ne sont pas traitées à grande échelle, il est possible d'utiliser l'analyse des valeurs seuils du Groupe de travail «Article 294» pour décider s'il faut procéder à une AIPD. Il s'agit là d'un document qui a été élaboré pour cette analyse selon l'art. 35 du RGPD européen3, mais dont le texte de loi ne diffère pas fondamentalement de son équivalent suisse.
Recommandations de produits
Critères d'analyse des valeurs seuils
Selon cette analyse des valeurs seuils, une AIPD doit être effectuée si deux critères sur neuf sont remplis. Il s'agit des critères suivants:
- évaluation ou classification et donc établissement d'un profilage
- prise de décision automatisée ayant un effet juridique ou une importance similaire
- surveillance systématique de personnes
- traitement de données confidentielles ou hautement sensibles
- traitement de données à grande échelle
- comparaison ou fusion d'ensembles de données
- données relatives à des personnes vulnérables
- utilisation ou application innovante de nouvelles technologies
- traitement empêchant les personnes concernées d'exercer un droit ou d'utiliser un service
Si l'on doit procéder à une analyse d'impact relative à la protection des données, il faut réfléchir aux risques que le traitement comporte pour les personnes concernées. Le formulaire type de l'Union suisse des arts et métiers (USAM)4 contient déjà une telle analyse.
L'étape suivante consiste à évaluer les risques concrets. Le formulaire de l'autorité lucernoise en charge de la protection des données5 est utile dans ce contexte, car il comprend déjà divers risques. On y distingue notamment les risques généraux tels que l'accès non autorisé, la modification indésirable des données personnelles, la perte de données personnelles ainsi que les risques spécifiques aux processus tels que la perte de confidentialité. Mais c'est ici que les choses se corsent, car il faut encore réfléchir aux autres risques auxquels on peut être exposé. Cela demande d'une part être de la créativité et, d'autre part, l’existence de tels risques. On recommande dans un tel cas d'effectuer cette analyse en équipe. En effet, la gestion des risques n'est pas une science exacte, l'expérience et la sensibilité personnelle étant particulièrement pertinentes dans ce domaine6.
Les deux axes, probabilité d'occurrence et impact, doivent être clairement définis afin d'avoir une compréhension commune et de pouvoir suivre l'évaluation. Le terme «élevé» fait à lui seul l’objet de différentes interprétations. L'évaluation doit être effectuée sans mesures dans un premier, puis on introduit des mesures spécifiques, enfin on procède à une nouvelle évaluation. Si le risque reste élevé, il convient de consulter le Préposé fédéral à la protection des données et à la transparence (PFPDT) et de lui demander au préalable son avis (article 23 LPD). Cela ne signifie pas qu'un projet prévu n'est pas possible, pour autant que le traitement de données prévu soit conforme à la protection des données; le cas échéant, le PFPDT propose des mesures pour limiter les risques constatés7. Un risque élevé après mesures devrait être en principe plutôt rare. Le résultat de l’AIPD doit être conservé pendant deux ans jusqu'à la fin du traitement des données (OPDo 148).
Une entreprise est dispensée d'établir une AIPD si le responsable privé est légalement tenu de la traiter (LPD 22 IV); on peut renoncer à une consultation préalable si l'entreprise privée a nommé un conseiller à la protection des données et que celui-ci a été impliqué dans la AIPD et a examiné la question.
Résumé
Si de nouveaux projets sont lancés dans le domaine des RH, les données personnelles seront probablement concernées. Dans une phase précoce du projet, il convient de vérifier si une AIPD est nécessaire en procédant à une analyse des seuils. Si une AIPD doit être effectuée, il est utile de l'établir en équipe. Il existe déjà de nombreux outils pour l'analyse des seuils et pour l’AIPD; il vaut éventuellement la peine de rassembler les meilleurs d'entre eux. En principe, le formulaire de l'USAM se limite à l'essentiel, mais le formulaire du service de protection des données du canton de Lucerne est plus utile pour ce qui est des risques potentiels. Cela dit, quels que soient les modèles et les exemples, il faut toujours se poser des questions et vérifier. Le mieux est de se mettre à la place des personnes concernées afin d'identifier les risques éventuels. Les risques élevés ne devraient exister que dans de très rares cas. Si cela devait néanmoins être le cas, il convient d'examiner avec le sérieux nécessaire le projet et les mesures visant à améliorer la protection et la sécurité des données. Il convient en effet d'éviter autant que possible toute violation de la protection et de la sécurité des données.
Vidéo:
Les nouveautés au niveau de la protection des données: https://rb.gy/p70gte
Sources d'introduction
Art. 22 LPD (RS 235.1 Loi fédérale sur la protection des données).
www.edoeb.admin.ch/edoeb/de/home/datenschutz/grundlagen/dsfa.html (22.9.23).
Notes
1 PFPDT – Aide-mémoire sur l’analyse d’impact relative à la protection des données (AIPD) selon l’art. 22 et 23 LPD, état août 2023, ch. 4.
2 Groupe de travail Article29, Lignes directrices concernant l’analyse d’impact (AIPD) et réponse à la question de savoir si un traitement au sens du Règlement 2016/679 «comporte vraisemblablement un risque élevé» (wp 248 rev. 01).
3 Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques et à l’égard du traitement des données à caract¨re personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
4 www.sgv-usam.ch/media/19650/20221222_dsg_muster_daten- schutz_folgenabschaetzung_de.docx (22.9.23).
5 tinyurl.com/5x868dfs (25.9.23).
6 Ursula Uttinger/Thomas Geiser, Das neue Datenschutzrecht, Rz 3.40, Basel, 2023
7 BBl 2017, 7062 s.
8 Ordonnance sur la protection des données (OPDo) RS 235.11.
