C10: Analyse d'impact (nLPD 20, 21 et RGPD 35, 36); Annonce violation de sécurité (nLPD 22 et RGPD 33, 34) Flashcards
Quelle est l’obligation du responsable du traitement lorsqu’il constate la violation de la sécurité des données personnelles?
Il l’annonce “dans les meilleurs délais” dès connaissance de la violation au PFPDT, si violation entraîne risque élevé pour la personnalité ou les droits fondamentaux du concerné (nLPD 24 I); puis aussi à la personne concernée lorsque les exigences de al. 4 sont remplies
Qu’est-ce qui est une violation de la sécurité?
Définiton à nLPD 5 let. h
- -> intention ou illicéité n’importent pas
- -> peut être causé par un tiers, mais aussi par un collaborateur (qui outrepasse ses compétences ou fait preuve de négligence)
Que doit permettre l’annonce au PFPDT?
PFPDT doit pouvoir intervenir le plus rapidement et le plus efficacement possible.
Quel est le contenu de l’annonce?
nLPD 24 II
Quid si violation auprès du sous-traitant?
Sous-traitant doit informer le plus vite possible le responsable (nLPD 24 III)
Celui-ci doit ensuite décider s’il faut informer le PFPDT.
Quand est-ce qu’il faut informer la personne concernée?
Lorsque les conditions de al. 4 sont remplies = si les circonstances le requièrent; n. b. si l’information peut réduire les risques pour la personnalité ou les droits fondamentaux de la personne concernée.
–> appréciation assez large
Sinon, le PFPDT peut l’exiger aussi
Le devoir de l’information peut aussi être restreint en vertu de l’al. 5 !
Qu’est-ce qui est l’analyse d’impact relative à la protection des données (AIPD)?
L’AIPD est un outil préventif prévu par la législation européenne à destination du responsable du traite- ment lui permettant de décrire le traitement qu’il entend mettre en œuvre, d’en évaluer la nécessité et la propor- tionnalité, ainsi que de gérer les risques pesant sur les droits et libertés des per- sonnes physiques liées au traitement de leurs données, en les évaluant et en déterminant les mesures nécessaires pour y faire face
–> bref: AIPD est un processus de gestion du risque mettant en balance le besoin, ainsi que le potentiel bénéfice d’un trai- tement de données, et l’impact que le traitement aura sur les individus dont les données sont traitées.
–> En présence de risques résiduels, le responsable du traitement doit consulter l’autorité de contrôle avant le début des opérations.
Quels sont les principes inhérents à l’AIDP?
premièrement, une logique de responsabilisation de l’ensemble des acteurs de traitement de données,
deuxièmement, un renforcement quantitatif et qualitatif des droits des personnes concernées,
et enfin un raffermissement des pouvoirs d’enquête et de sanction des autorités de contrôle.
Où est réglé l’AIDP?
RGPD 35 s (+ consid.; + d’autres règlements UE, p. ex. 2018/1725; directive 2016/680)
Quand est-ce qu’il faut procéder à une AIDP?
RGPD 35 I: traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, compte tenu de:
- type de traitement (“nouvelle technologies”, probablement data mining et similaire)
- nature,
- portée,
- contexte, et
- finalités du traitement
–> cf. al. 3: cas de figure exemplaires
Quelle sorte de liste pour déterminer les cas de figure du besoin d’une AIDP peut l’autorité nationale publier et quelle sorte elle doit publier?
Doit publier: Liste postive de cas de figure (RGPD 35 IV)
–> préalablement approuver par CEDP (ancien groupe art. 29 [G29] + groupe de travail “police et justice)
Peut publier: Liste négative (RGPD 35 V)
Est-ce que le responsable suisse doit faire une AIDP?
Pas en vertu de la LPD ni OLPD; mais peut-être en vertu de l’application extra-territoriale du RGPD
Ce qui est le plus proche: HERMES exige parfois des sortes d’évaluation d’impact du chef de projet
Qu’est-ce qui prévoit la nLPD?
nLPD le prévoit aux art. 22 s
- -> absolument nécessaire pour conformité avec protocole d’amendement à la Conv. 108
- -> et ainsi absolument nécessaire pour la reconnaissance de l’ adéquation par UE !!
Délimitations de “atteinte à la personnalité” et “risque d’atteinte”?
= sont indépendants (risque ≠ atteinte)
p. ex. atteinte peut être justifié avec motif justificatif; le risque, par contre, subsiste
Comment se définit le risque?
Impact/dommage potentiel que le traitement peut causer, qu’il soit physique, émotionnel ou matériel
2 facteurs: gravité + probabilité
Délimitations AIPD / protection dès la conception (PC)?
Proche, mais pas identique:
- périmiètre est différent: PC = principe / AIDP = obligation découlant de celui
- pas le même type de sanction
- Obligation AIDP est conditionnelle, PC s’applique en tt temps
- Temporalité diffère
- AIDP exige rapport détaillé, fait intervenir plusieurs personnes et a év. besoin d’approbation par l’autorité de contrôle
Démarche avant création AIDP?
- Préalable au développement du produit/service: évaluer l’impact et catégoriser les risques
- AIDP nécessaire basé sur 1.?
- Examen efficacité des mesures organisationnelles et techniques; ev. incorporer d’autres mesures –> en tout cas documenter les décisions
- Si les risques restent élevés, procéder formellement à une AIPD; si risques sont moyens ou légers, respecter les conditions (moins lourdes) de RGPD 25 devrait suffire (protection dès conception)
Condition d’une AIDP dans la nLPD?
CF renvoie explicitement aux lignes directrices de la G29
Est tjrs le cas dans une des hypothèses de nLPD 22 II
Qui est tenu de faire l’AIDP? S’il y a co-responsabilité? Différence droit nLPD/RGPD? Sous-traitance? Au sein d’une entreprise?
Co-responsabilité:
- RGPD 26: dès qu’il y a traitement conjoint, les deux responsables doivent déterminer dans un contrat leurs obligations respectives, y c. répartir la création de l’AIDP entre eux
- nLPD: ne prévoit pas de règle similaire, ni de définition de responsabilité conjointe (juste une norme dans la section sur les traitement par les organes fédéraux); MAIS l’obligation pourrait découler des principes généraux / en fonction du degré de contrôle respectif
Sous-traitance:
- RGPD 28 al. 3 let. f (valable aussi pour AIDP): Le sous-traitant doit aider le responsable du traitement à garantir le respect des obligations prévues aux art. 32 à 36 RGPD
- Entreprise: idéalement le Chief Privacy Officer est chargé; à défaut, la direction. Ensuite, contrôle par le DPO
Quel est le contenu de l’AIPD dans la nLPD/RGPD?
Formellement: RGPD va plus loin, incluant, nécessité et proportionnalité.
Di Tria: Sera également nécessaire dans nLPD
–> si oui: nLPD = RGPD
Quelle est la méthodologie à suivre afin de créer une AIDP?
Aucune n’est prescrite; mais G29 recommande la suivante:
- Descriptions des opération de traitement envisagés
- Evaluation de la nécessité + proportionnalité
- Mesure envisagées pour démontrer conformité
- Evaluation des risques pour les droits et libertés
- Mesures envisagées pour faire face aux risques
- Documentation
- Suivi et examen
- Recommencer
En cas de violation?
Dépend si c’est une violation “simple” ou “grave” (en fonction de portée de l’atteinte)
–> max: 10 mio € / jusqu’à 2% chiffres d’affaires annuel mondial
Résumé: que apporte l’AIDP?
- Plus grande transparence, pour le responsable et pour les concernés, réduisant les soucis de ces derniers et ainsi leur confiance
- -> évite publicité négative + sanctions –> économise de l’argent
- Responsable: forcé de mettre en balance la nécessité ainsi que le potentiel bénéfice et l’impact que le traitement peut avoir
- Esprit de prévention, de sensibi- lisation et de contrôle des données. Il est primordial de développer une meilleure culture quant à l’importance de la protec- tion des données.