Risque élevé pour la personnalité ou les droits fondamentaux
Définition de traitement de données personnelles à risque élevé
L’existence d’un risque élevé dépend de la nature, de l’étendue, des circonstances et de la finalité du traitement. Il n'est pas inutile de distinguer les risques "primaires" du traitement des "subséquents". Si les risques subséquents concernent les responsables du traitement eux-mêmes, ils ne relèvent pas l'art. 23b CPDT-JUNE, puisque ce dernier ne vise à protéger que la personnalité et les droits fondamentaux des personnes concernées. En revanche, la situation est différente lorsque la réalisation de ces risques subséquents pourrait en outre aggraver les dommages subis par les personnes concernées. Par exemple, lorsqu’un responsable du traitement est empêché, par son insolvabilité, de consacrer les moyens nécessaires à la maintenance de l’infrastructure afin d’assurer la protection technique des données personnelles qu’il traite.
Faute de jurisprudence suisse, il est repris les lignes directrices du Comité européen de la protection des données (CEPD) pour mieux définir cette notion. Selon ce document, un tel risque existe notamment dans les cas suivants :
-
Données sensibles traitées et à grande échelle : Le CEPD recommande de prendre en compte, en particulier, les facteurs suivants pour déterminer le caractère "à grande échelle" : le nombre de personnes concernées, soit en valeur absolue, soit en proportion de la population considérée :
a. le nombre de personnes concernées, soit en valeur absolue, soit en proportion de la population considérée;
b. le volume de données et/ou l’éventail des différents éléments de données traitées;
c. la durée ou la permanence de l’activité de traitement de données;
d. l’étendue géographique de l’activité de traitement.Exemples : Evaluations en lien avec l'aspect psychologique d'élèves d'un cercle scolaire, données biométriques du personnel d'une entité, ensemble de bénéficiaires d'une prestation sociale, nombreuses données médicales et d'aide sociale de quelques personnes,…
-
Profilage : toute forme de traitement automatisé de données consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique
-
Surveillance systématique : traitement utilisé pour observer, surveiller ou contrôler les personnes concernées, y compris la collecte de données via des réseaux ou par « la surveillance systématique […] d’une zone accessible au public ». Ce type de surveillance est un critère étant donné que la collecte des données à caractère personnel est susceptible d’intervenir dans des circonstances telles que les personnes concernées ne savent pas qui collecte leurs données et de quelle façon elles seront utilisées. En outre, il peut être impossible pour les personnes de se soustraire à un tel traitement dans l’espace public (ou accessible au public) considéré.
Les trois premiers chiffres, ressortant de la loi, étant exemplatifs, peuvent s'ajouter les cas de figure retenus par les autorités européennes de protection des données : -
Évaluation ou notation : y compris les activités de profilage et de prédiction, portant notamment sur des "aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacement". À titre d’exemples, prenons le cas d’un établissement financier passant ses clients au crible d’une base de données de cote de crédit ou d’une base de données dédiée à la lutte contre le blanchiment de capitaux et le financement du terrorisme (LBC/FT) ou « antifraude », celui d’une société de biotechnologie proposant des tests génétiques directement aux consommateurs afin d’évaluer et de prédire les risques de maladie/problèmes de santé, ou encore celui d’une entreprise analysant les usages ou la navigation sur son site web pour créer des profils comportementaux marketing.
-
Prise de décision automatisée avec effet juridique ou effet similaire significatif : traitement ayant pour finalité la prise de décisions à l’égard des personnes concernées produisant « des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ». Le traitement pourrait, par exemple, entraîner l’exclusion ou une discrimination. Les traitements n’ayant que peu ou pas d’effet sur les personnes ne répondent pas à ce critère particulier.
-
Croisement ou combinaison d’ensembles de données : par exemple issus de deux opérations de traitement de données, ou plus, effectuées à des fins différentes et/ou par différents responsables du traitement, d’une manière qui outrepasserait les attentes raisonnables de la personne concernée.
-
Données concernant des personnes vulnérables : le traitement de ce type de données est un critère en raison du déséquilibre des pouvoirs accru qui existe entre les personnes concernées et le responsable du traitement, ce qui signifie que les premières peuvent se trouver dans l’incapacité de consentir, ou de s’opposer, aisément au traitement de leurs données ou d’exercer leurs droits. Peuvent être considérées comme des personnes concernées vulnérables, les enfants (qui peuvent être vus comme incapables de s’opposer ou de consentir sciemment et de manière réfléchie au traitement de leurs données), les employés, les parties les plus vulnérables de la population nécessitant une protection particulière (personnes souffrant de maladie mentale, demandeurs d’asile et personnes âgées, patients, etc.) et, en tout état de cause, toutes autres personnes pour lesquelles un déséquilibre dans la relation avec le responsable du traitement peut être identifié.
-
Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles : utilisation combinée, par exemple, de systèmes de reconnaissance des empreintes digitales et de reconnaissance faciale pour améliorer le contrôle des accès physiques, etc. L’utilisation d’une nouvelle technologie, définie en « conformité avec l’état des connaissances technologiques », peut déclencher la nécessité d’une AIPD, et ce en raison du fait que l’utilisation de la technologie en question peut impliquer de nouvelles formes de collecte et d’utilisation des données, présentant potentiellement un risque élevé pour les droits et libertés des personnes. En effet, les conséquences personnelles et sociales du déploiement d’une nouvelle technologie peuvent être inconnues, et une AIPD aidera le responsable du traitement à comprendre et à traiter de tels risques. Par exemple, certaines applications de « l’internet des objets » sont susceptibles d’avoir un impact important sur la vie quotidienne et la vie privée des personnes, et nécessitent par conséquent une AIPD.
-
Traitements en eux-mêmes qui « empêchent [les personnes concernées] d’exercer un droit ou de bénéficier d’un service ou d’un contrat » : Ces traitements incluent notamment les opérations visant à autoriser, modifier ou refuser l’accès à un service ou la conclusion d’un contrat. À titre d’exemple, prenons le cas d’une banque passant ses clients au crible d’une base de données de cote de crédit avant d’arrêter ses décisions d’octroi de prêt.
-
Données à caractère hautement personnel : Certaines catégories de données peuvent être considérées comme augmentant le risque possible pour les droits et libertés des personnes. Ces données à caractère personnel sont considérées comme sensibles (au sens commun du terme) dans la mesure où elles sont liées à des activités domestiques et privées (communications électroniques dont la confidentialité doit être protégée, par exemple), dans la mesure où elles ont un impact sur l’exercice d’un droit fondamental (données de localisation dont la collecte met en cause la liberté de circulation, par exemple) ou dans la mesure où leur violation aurait clairement des incidences graves dans la vie quotidienne de la personne concernée (données financières susceptibles d’être utilisées pour des paiements frauduleux, par exemple). À cet égard, il peut être pertinent de déterminer si les données ont déjà été rendues publiques par la personne concernée ou par des tiers. Le fait que les données à caractère personnel soient publiquement disponibles peut être pris en compte en tant que facteur dans l’analyse lorsqu’il est prévu une utilisation ultérieure des données pour certaines finalités. Ce critère peut également inclure les données telles que les documents personnels, les courriers électroniques, les agendas, les notes des liseuses équipées de fonctions de prise de notes ainsi que les informations à caractère très personnel contenues dans les applications de « life-logging ».
Selon la volonté du législateur exprimée à l'art. 23b CPDT-JUNE, les critères 1 à 3 constituent chacun un risque élevé. Tandis que pour les critères 4 à 10, dans la plupart des cas, le responsable du traitement peut considérer qu’un traitement satisfaisant à deux critères crée un risque élevé. D’une manière générale, le CEPD estime que plus le traitement remplit de critères, plus il est susceptible de présenter un risque élevé pour la personnalité et les droits fondamentaux des personnes concernées, quelles que soient les mesures que le responsable du traitement envisage d’adopter.
Néanmoins, dans certains cas, le responsable du traitement peut considérer que même si son traitement ne satisfait qu’à un seul de ces critères, il constitue néanmoins un risque élevé.
Pour plus de détails, veuillez vous référer aux explications des points énumérés ci-dessus, ainsi qu'aux lignes directrices du CEPD concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé ».