Préposé à la protection des données et transparence Jura-Neuchâtel

Analyse d'impact relative à la protection des données (AIPD)

Protection des données

Définition AIPD

L’AIPD est un outil qui permet de s'assurer qu'un traitement de données personnelles est conforme à la CPDT-JUNE, lorsqu’il est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.

Elle vise à identifier à un stade préalable les risque élevés associés à un projet, qui se caractérisent par leur probabilité de survenance et, du fait du qualificatif « élevés », par la gravité de leurs conséquences. Elle ne se résume pas à la prévisibilité et à l’évaluation des risques « élevés ». Son intérêt pratique réside aussi et surtout dans le fait qu’elle permet, d’une part, de documenter de façon claire l’origine et l’analyse des risques systémiques et relevant des techniques de sécurité et, d’autre part, de réduire les risques à un niveau acceptable du point de vue du droit de la protection des données par des mesures appropriées.

Traitements nécessitant une AIPD

Le responsable de traitement (l'entité responsable) doit effectuer une AIPD lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. S’il envisage d’effectuer plusieurs opérations de traitements semblables, il peut établir une analyse d’impact commune.

Le traitement de données personnelles à risque élevé ne doit pas nécessairement être nouverau. Le développement et l’extension d’un traitement préexistant peuvent aussi faire l’objet d’une AIPD.

Traitements ne nécessitant pas une AIPD

Le responsable du traitement ne doit pas établir d'AIPD si :

  1. Il ne remplit les conditions exposées ci-dessus.

  2. Une base légale prévoit le traitement en cause et que son adoption a été précédée d’une analyse répondant aux exigences de l'art. 23b CPDT-JUNE.

  3. Il a débuté avant le 1er octobre 2022, pour autant que les finalités du traitement restent inchangées et que de nouvelles catégories de données ne soient pas collectées.

Responsable de traitement astreint à une AIPD

Le responsable de traitement (l’entité qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données) doit s’assurer de la conformité de son traitement à la CPDT-JUNE.

Son éventuel sous-traitant doit fournir l'aide et les informations nécessaires à la réalisation de l'AIPD. Une AIPD peut également être menée par le fournisseur d’un produit (matériel, logiciel ou service), pour évaluer l'impact sur la protection des données de son produit. Les différents responsables de traitement qui utilisent ensuite ce produit doivent mener leurs propres AIPD mais, le cas échéant, celles-ci peuvent être alimentées par l'AIPD du fournisseur.

Idéalement, le responsable de traitement devrait également demander l’avis des personnes concernées (par le biais d’une enquête, d’un sondage, d’une question formelle aux représentants du personnel). De même, les métiers, les équipes chargées de la mise en œuvre et la personne chargée de la sécurité des systèmes d’information devraient également participer au processus de réalisation de l'AIPD et à sa validation.

AIPD doit se faire avant la mise en œuvre du traitement

L'AIPD doit être menée avant la mise en œuvre du traitement. Elle doit être démarrée le plus en amont possible.

Par la suite, le responsable de traitement se doit d'assurer que le traitement respecte les exigences de la CPDT-JUNE.

Contenu et annonce de l'AIPD

Pour établir une AIPD, il suffit de télécharger les deux fichiers ci-dessous, de les remplir.

Toutes les analyses d'impact doivent être adressées au PPDT pour qu'il se prononce sur son contenu et les mesures de sécurité envisagées. Pour ce faire, il faut utiliser le formulaire de consultation pour une analyse d'impact afin d'assurer la sécurité de la communication.

Les traitements ne peuvent pas débuter avant d'avoir obtenu le préavis du PPDT lorsque l'AIPD révèle que, malgré les mesures prévues par le responsable du traitement, le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.

Prises de position sommaires du PPDT

  

Ce site utilise plusieurs cookies pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques, ainsi que pour rappeler aux serveurs votre choix d'accepter les présentes conditions pour éviter de reposer la question à la prochaine visite. En poursuivant, vous acceptez l’utilisation de ces cookies aux fins énoncées ci-dessus. En savoir plus.