Points clefs d'un contrôle de conformité d'un traitement

1

Des données personnelles sont-elles traitées ?

Si OUI, si des données personnelles sont traitées, la CPDT-JUNE s'applique.

Si NON, les exigences des règles de protection des données ne s'appliquent pas.

2

Des données sensibles sont-elles traitées ?

Si OUI, si des données sensibles sont traitées :

• La base légale devra, en principe, être formelle et la densité normative aussi complète que possible (voir question n° 4).

• Une AIPD devra probablement être mise en œuvre pour un nouveau traitement ou des modifications conséquentes d'un traitement existant (voir question n° 8).

• Le traitement peut constituer un risque élevé pour la personnalité des personnes concernées (voir question n° 9).

• Le fichier doit être annoncé au PPDT (voir question n° 22).

• La communication devra bénéficier d'une base légale formelle (voir question n° 15).

• Communication de liste interdite, sauf si une base légale formelle la prévoit expressément (art. 29 al. 3 CPDT-JUNE).

3

Est-il effectué des profilages à risques élevés ?

Si OUI, si des profilages à risques élevés (profils de la personnalité) sont effectués :

• La base légale devra, en principe, être formelle et la densité normative aussi complète que possible (voir question n° 4).

• Une AIPD devra probablement être mise en œuvre pour un nouveau traitement ou des modifications conséquentes d'un traitement existant (voir question n° 8).

• Le traitement peut constituer un risque élevé pour la personnalité des personnes concernées (voir question n° 9).

• Le fichier doit être annoncé au PPDT (voir question n° 22).

• La communication devra bénéficier d'une base légale formelle (voir question n° 15).

• Communication de liste interdite, sauf si une base légale formelle la prévoit expressément (art. 29 al. 3 CPDT-JUNE).

4

Le traitement bénéficie-t-il d'une base légale adéquate ?

(pour une communication : voir questions n° 14 à 17)

Si OUI, vérifier que les questions n° 5 à 7 ont été traitées.

Si NON, il faut vérifier si le traitement est nécessaire à l'accomplissement d'une tâche légale. Le cas échéant, la tâche légale doit être suffisamment claire pour "sous-entendre" le traitement de données personnelles.

S'il s'agit de DONNÉES PERSONNELLES NON SENSIBLES, la base légale doit contenir les informations prévues à l'art. 24 CPDT-JUNE, si l'entité veut éviter de devoir informer les administrés aux cas par cas.

Le principe de légalité exige un degré suffisant de concrétisation des normes légales. Ces dernières doivent être formulées de manière suffisamment précises pour que les administrés puissent orienter leur comportement en fonction de ces normes et être en mesure d’évaluer les conséquences de leur comportement avec un degré suffisant de certitude.

La base légale qui prévoit un traitement de données personnelles doit ainsi permettre à la personne concernée de reconnaître quelle entité traite quelles catégories de données, dans quel but (qui, quoi, pourquoi) et, dans certains cas, quel est le mode de traitement, notamment en cas d'accès en ligne.

La base légale doit, en effet, également fournir des indications sur le mode de traitement, en particulier lorsque des moyens technologiques non reconnaissables par l’administré sont utilisés et que le recours à ces moyens peut avoir un impact sur ses droits fondamentaux. Par exemple, s’il existe un risque de discrimination lié au traitement de données par un algorithme ou un risque d’atteinte à la liberté personnelle du fait du recours à des outils de surveillance dans l’espace public.

Plus l’atteinte aux droits fondamentaux serait grave, plus la base légale doit être précise. A l'inverse, lorsque le traitement de données découle de manière inhérente à la tâche assumée par l'autorité, et que le risque d'atteinte aux droits fondamentaux est minime, par exemple lorsque l'autorité est chargée d'octroyer une aide financière, une base légale explicite pour le traitement de données personnelles n'est pas forcément indispensable et une éventuelle base légale spécifique pour la communication pourra être relativement générale.

S'il s'agit d'un traitement de DONNÉES PERSONNELLES SENSIBLES, les conditions précitées s'appliquent, mais en plus, la base légale doit être adoptée par l'organe législatif compétent. En vertu du principe de légalité et pour garantir la transparence du traitement des données vis-à-vis de la personne concernée, la loi au sens formel doit nommer les catégories de données sensibles traitées. Le principe de proportionnalité impose de ne traiter que les catégories de données sensibles qui sont indispensables à l'exécution d'une tâche légale. Il s'agit donc de créer, dans la mesure du possible, des sous-catégories des catégories énumérées à l'art. 14 CPDT-JUNE, par exemple, dans le domaine de la santé, de préciser que seules des données sur les cancers sont traitées (cf. art. 3 de la loi fédérale sur l’enregistrement des maladies oncologiques).

Quant à la question de la densité normative, plus les risques d’atteintes à la personnalité ou aux droits fondamentaux sont élevés, plus le degré de précision de la disposition légale doit être élevé et la finalité du traitement définie de manière précise et reconnaissable par la personne concernée.

Cependant, une base légale matérielle suffit si les conditions suivantes sont remplies :

1. le traitement est indispensable à l’accomplissement d’une tâche clairement spécifiée dans une loi au sens formel;

2. le traitement n'est pas susceptible d'entraîner des risques particuliers pour la personnalité et les droits fondamentaux des personnes concernées.

S'il s'agit d'un PROFILAGE À RISQUES ÉLEVÉS, la base légale doit être suffisamment précise. Cela implique qu'elle prévoie explicitement le profilage à risques élevés ou le décrive de manière adéquate. Elle doit au moins indiquer la finalité du profilage à risques élevés et les catégories de données utilisées. La personne concernée devrait également pouvoir reconnaître lesquelles de ses caractéristiques sont évaluées par le profilage à risques élevés. Le droit à l'autodétermination informationnelle s'applique; la personne concernée par un profilage individualisé doit pouvoir exercer son droit d'accès et recevoir les informations des entités qui lui permettent de comprendre la logique du profilage dont elle fait l'objet. Les entités sont, de plus, tenues de prendre des mesures techniques et organisationnelles pour minimiser le risque d'erreur, de violation du principe de l'interdiction de discrimination ou du principe de l'interdiction de l'arbitraire.

Le PPDT doit impérativement être informé de tout :

1. Nouveau projet de base légale (quel qu'il soit) relatif à la protection des données.
2. Fichier, en principe avant d'être opérationnel, contenant des données sensibles ou/et des profilages à risques élevés par l'intermédiaire d'un formulaire.

5

La finalité du traitement est-elle explicite dans la base légale ?

Si NON, la finalité doit apparaître de manière reconnaissable dans la base légale.

6

Le responsable du traitement est-il désigné dans la base légale ?

Si NON, il faut prévoir de modifier la base légale. Le responsable de traitement doit apparaître comme tel dans les dispositions légales. C'est auprès de lui que s'exerce le droit d'accès. Le responsable du traitement doit de plus garantir que les prescriptions en matière de protection des données sont respectées.

7

Les informations obligatoires figurent-elles dans la base légale ?
(devoir d'information)

Si NON, si les informations nécessaires pour que la personne concernée puisse faire valoir ses droits selon la CPDT-JUNE, en particulier l’identité et les coordonnées du responsable du traitement, la finalité du traitement, les catégories de données traitées, le cas échéant les destinataires ou les catégories de destinataires auxquels des données sont transmises, ne figurent pas dans la base légale (art. 24 CPDT-JUNE), un processus d'information doit être mis en place.

8

La nécessité d'une Analyse d'Impact a-t-elle été vérifiée ?

Si OUI et que l'AIPD est nécessaire, ne pas oublier de la communiquer au PPDT.

Si OUI et que l'AIPD n'est pas nécessaire, le PPDT n'a pas besoin d'être informé.

Si NON, l'art. 23b CPDT-JUNE impose que la question soit traitée.

9

Le traitement expose-t-il la personnalité ou les droits fondamentaux des personnes concernées à un risque élevé ?

Si OUI, le PPDT doit impérativement être informé par l'intermédiaire du formulaire à disposition.

10

Les mesures techniques et organisationnelles nécessaires ont-elles été prises ?

Si OUI, il faut s'assurer que les mesures techniques et organisationnelles correspondent aux standards actuels pour suffisamment garantir la sécurité des données (pas uniquement du point du vu informatique, mais aussi matériel).

La disponibilité, l'intégrité et la confidentialité des données personnelles doivent être garanties.

Si NON, la responsabilité de l'entité pourra probablement être engagée (art. 56 CPDT-JUNE).

11

Les cas de violation de la sécurité font-ils l'objet d'un processus ?

Si NON, il faut prévoir un processus de réaction face à une violation de la sécurité susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.

Le PPDT doit impérativement être informé le cas échéant.

12

En cas de sous-traitance, toutes les conditions sont-elles respectées ?

Si NON, si les conditions de sous-traitance ne sont pas respectées, le traitement s'expose à devoir être interrompu, voire supprimé, rapidement si la personnalité des administrés est fortement en danger. L'activité métier de l'entité risque donc d'être lourdement impactée du jour au lendemain.

13

Les autres principes de protection des données sont-ils respectés ?

Si NON, il faut s'assurer que tous les principes de protection des données, tels que la proportionnalité du traitement et l'exactitude des données, soient respectés.

Les données personnelles :

• doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la ou des finalités du traitement;

• ne doivent pas être conservées plus longtemps que nécessaire au regard de la loi ou des finalités du traitement;

• doivent être exactes et mises à jour. Des mécanismes doivent être mis en place pour permettre aux individus d'exercer leurs droits.

En cas de non-respect, toute personne concernée pourra demander que l'entité s'abstienne de procéder au traitement, en supprime les effets ou en constate le caractère illicite.

14

 Une communication (y compris l'octroi d'accès) a-t-elle lieu ?

Si OUI, elle doit être prévue dans une base légale ou être nécessaire à l’accomplissement d’une tâche légale. Pour le contenu de la base légale, voir la réponse à la question n° 10.

La communication est aussi possible si :

1. La personne concernée y a en l'espèce consenti ou a rendu ses données accessibles à tout un chacun et ne s'est pas opposée formellement à la communication au sens de l'article 36 CPDT-JUNE.

2. La personne concernée n’est pas en mesure de donner son consentement, la communication des données est dans son intérêt et son consentement peut être présumé conformément aux règles de la bonne foi.

3. Le destinataire rend vraisemblable que la personne concernée ne refuse son accord ou ne s’oppose à la communication que dans le but de l’empêcher de se prévaloir de prétentions juridiques ou de faire valoir d’autres intérêts légitimes; la personne concernée sera auparavant invitée à se prononcer selon l'article 30 CPDT-JUNE.

4. Les données sont contenues dans un document officiel auquel l'accès est demandé selon les règles de la transparence, et que la communication est justifiée par un intérêt public prépondérant.

Pour déterminer si une communication est conforme ou non, il est possible d'utiliser un guide pour ce faire.

15

La communication (y compris l'octroi d'accès) de données sensibles a-t-elle lieu ?

Si OUI, la communication doit être prévue dans une base ou une tâche légale reposant sur une loi adoptée par l'organe législatif compétent. Pour plus de détails, voir la réponse à la question n° 4.

16

Une communication (y compris l'octroi d'accès) de profilages a-t-elle lieu ?

Si OUI, voir la réponse à la question n° 15.

17

 Une communication (y compris l'octroi d'accès) à l'étranger a-t-elle lieu ?

Si OUI, les conditions énumérées sur la page "Communication à l'étranger" doivent être respectées.

18

Des décisions individuelles automatisées sont-elles rendues ?

Si OUI, l'utilisation d'une telle forme de décision doit figurer dans une base légale devant, en principe, être formelle. Cette dernière doit prévoir expressément la décision individuelle automatisée ou la décrire de manière adéquate. La logique sur laquelle la décision automatisée repose doit être reconnaissable dans les grandes lignes par la personne concernée.

Une décision individuelle automatisée est prise exclusivement sur la base d’un traitement de données automatisé, y compris le profilage, et qui a des effets juridiques sur la personne concernée ou qui l’affecte de manière significative.

Cela signifie que l'évaluation d'une situation et la décision individuelle qui en découle sont réalisées par une machine ou un algorithme sans l'intervention d'une personne physique. Dans ce cas de figure, la machine n'est pas seulement un outil ou une aide à la décision. Seules les décisions individuelles automatisées qui présentent une certaine complexité sont considérées comme telles (et non, par exemple, le contrôle de l'entrée dans un bâtiment sur la base d'une carte de légitimation).

19

Un soutien automatisé à la prise de décision a-t-il lieu ?

Si OUI, si une préparation de la décision grâce à un processus automatisé, tel que l'utilisation d'intelligence artificielle), ce dernier doit figurer dans une base légale devant, en principe, être formelle.

Le soutien automatisé à la prise de décision individuelle grâce à des systèmes d'algorithmes ("intelligence artificielle") n'est pas réglementé en tant que tel dans la CPDT-JUNE. Il n'y a pas de décision individuelle automatisée au sens de l'art. 14 CPDT-JUNE lorsque cette dernière est préparée de manière automatisée, mais finalisée par un être humain. Les questions juridiques évoquées dans le cas des décisions individuelles automatisées peuvent cependant se poser d'une manière analogue, lors de soutien automatisé à la prise de décision individuelle grâce à "l'intelligence artificielle".
Le recours à "l'intelligence artificielle" peut (mais pas nécessairement) constituer un mode de traitement susceptible de porter gravement atteinte aux droits fondamentaux de la personne concernée. Dans ce cas, une base légale au sens formel doit le prévoir.

20

 "L'accès à ses données personnelles" fait-il l'objet d'un processus ?

Si NON, l'entité doit mettre en place un processus de droit d'accès aux propres données personnelles de la personne concernée.

21

Un répertoire interne des fichiers est-il tenu ?

Si NON, l'entité responsable doit établir une liste des fichiers de données personnelles qu'elle détient.

Les fichiers contenant des données sensibles doivent en plus être obligatoirement annoncés au PPDT.

22

Une délégation législative figure-t-elle dans la base légale ?

Si OUI, il faut s'assurer que la délégation respecte les principes législatifs. Une base légale matérielle peut, par exemple, préciser les modalités du droit d'accès. En revanche, seule une base légale formelle peut prévoir la durée de conservation de données sensibles. Toutefois, la loi peut expressément déléguer à l'exécutif la détermination de la durée.

La norme de délégation doit décrire l’objet, le but (à moins qu’il ne soit évident), l’étendue, et, autant que possible, les grandes lignes de la réglementation déléguée.

23

Une vidéosurveillance est-elle prévue ou en place ?

Si OUI, toutes les modalités figurant dans l'aide-mémoire vidéosurveillance doivent être respectées.

24

Le Système d'Information métier est-il accessible en ligne ?

Si OUI, il faut vérifier qu'une base légale prévoie d'offrir un accès en ligne à des données personnelles, sensibles ou non, nécessaires à une autre entité et que le PPDT ait été consulté (art. 28 CPDT-JUNE).

25

Les utilisateurs reçoivent-ils les instructions adéquates ?

Si NON, il appartient à l'entité de prévoir un processus pour que l'ensemble des employés traitant des données personnelles possèdent les informations utiles pour respecter les règles de protection de données.

26

Une liste des droits d'accès est-elle établie ?

Si NON, il appartient à l'entité de déterminer précisément qui a accès à quoi.

27

Des listes sont-elles communiquées à des tiers ?

Si OUI, il faut obtenir l’accord de l'exécutif dont dépend l'entité pour livrer une liste de personnes (ex : personnes ayant atteint 65 ans) à des tiers (ex : association de retraités) (art. 29 CPDT-JUNE).

28

Des Géodonnées sont-elles traitées ?

Si OUI, le catalogue de géodonnées doit impérativement être soumis au PPDT dans le canton de Neuchâtel.