Préposé à la protection des données et transparence Jura-Neuchâtel

Analyse d'impact relative à la protection des données (AIPD)

Protection des données

Définition AIPD

L’AIPD est un outil qui permet de s'assurer qu'un traitement de données personnelles est conforme à la CPDT-JUNE, lorsqu’il est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.

Traitements nécessitant une AIPD

Le responsable de traitement (l'entité responsable) doit effectuer une AIPD lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. S’il envisage d’effectuer plusieurs opérations de traitements semblables, il peut établir une analyse d’impact commune.

Traitements ne nécessitant pas une AIPD

Le responsable du traitement ne doit pas établir d'AIPD si :

  1. Il ne remplit les conditions exposées ci-dessus.

  2. Une base légale prévoit le traitement en cause et que son adoption a été précédée d’une analyse répondant aux exigences de l'art. 23b CPDT-JUNE.

  3. Il a débuté avant le 1er octobre 2022, pour autant que les finalités du traitement restent inchangées et que de nouvelles catégories de données ne soient pas collectées.

Responsable de traitement astreint à une AIPD

Le responsable de traitement (l’entité qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données) doit s’assurer de la conformité de son traitement à la CPDT-JUNE.

Son éventuel sous-traitant doit fournir l'aide et les informations nécessaires à la réalisation de l'AIPD. Une AIPD peut également être menée par le fournisseur d’un produit (matériel, logiciel ou service), pour évaluer l'impact sur la protection des données de son produit. Les différents responsables de traitement qui utilisent ensuite ce produit doivent mener leurs propres AIPD mais, le cas échéant, celles-ci peuvent être alimentées par l'AIPD du fournisseur.

Idéalement, le responsable de traitement devrait également demander l’avis des personnes concernées (par le biais d’une enquête, d’un sondage, d’une question formelle aux représentants du personnel). De même, les métiers, les équipes chargées de la mise en œuvre et la personne chargée de la sécurité des systèmes d’information devraient également participer au processus de réalisation de l'AIPD et à sa validation.

AIPD doit se faire avant la mise en œuvre du traitement

L'AIPD doit être menée avant la mise en œuvre du traitement. Elle doit être démarrée le plus en amont possible.

Par la suite, le responsable de traitement se doit d'assurer que le traitement respecte les exigences de la CPDT-JUNE.

Contenu et annonce de l'AIPD

Pour établir une AIPD, il suffit de télécharger les deux fichiers ci-dessous, de les remplir.

Toutes les analyses d'impact doivent être adressées au PPDT pour qu'il se prononce sur son contenu et les mesures de sécurité envisagées. Pour ce faire, il faut utiliser le formulaire de consultation pour une analyse d'impact afin d'assurer la sécurité de la communication.

Les traitements ne peuvent pas débuter avant d'avoir obtenu le préavis du PPDT lorsque l'AIPD révèle que, malgré les mesures prévues par le responsable du traitement, le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.

Prises de position sommaires du PPDT

  

Ce site utilise plusieurs cookies : un pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques; un autre pour rappeler aux serveurs votre choix d'accepter les présentes conditions, afin d’éviter de reposer la question à la prochaine visite; sept pour l'outil Microsoft Clarity utilisé afin d'élaborer des statistiques de consultation du site. En poursuivant, vous acceptez l’utilisation des cookies aux fins énoncées ci-dessus, ainsi que l'enregistrement temporaire sur les serveurs de quelques données personnelles à des fins techniques. En savoir plus.