C10: Analyse d'impact (nLPD 20, 21 et RGPD 35, 36); Annonce violation de sécurité (nLPD 22 et RGPD 33, 34)

Question 1

Quelle est l’obligation du responsable du traitement lorsqu’il constate la violation de la sécurité des données personnelles?

Answer 1

Il l’annonce “dans les meilleurs délais” dès connaissance de la violation au PFPDT, si violation entraîne risque élevé pour la personnalité ou les droits fondamentaux du concerné (nLPD 24 I); puis aussi à la personne concernée lorsque les exigences de al. 4 sont remplies

Question 2

Qu’est-ce qui est une violation de la sécurité?

Answer 2

Définiton à nLPD 5 let. h

• -> intention ou illicéité n’importent pas
• -> peut être causé par un tiers, mais aussi par un collaborateur (qui outrepasse ses compétences ou fait preuve de négligence)

Question 3

Que doit permettre l’annonce au PFPDT?

Answer 3

PFPDT doit pouvoir intervenir le plus rapidement et le plus efficacement possible.

Question 4

Quel est le contenu de l’annonce?

Answer 4

nLPD 24 II

Question 5

Quid si violation auprès du sous-traitant?

Answer 5

Sous-traitant doit informer le plus vite possible le responsable (nLPD 24 III)
Celui-ci doit ensuite décider s’il faut informer le PFPDT.

Question 6

Quand est-ce qu’il faut informer la personne concernée?

Answer 6

Lorsque les conditions de al. 4 sont remplies = si les circonstances le requièrent; n. b. si l’information peut réduire les risques pour la personnalité ou les droits fondamentaux de la personne concernée.
–> appréciation assez large

Sinon, le PFPDT peut l’exiger aussi

Le devoir de l’information peut aussi être restreint en vertu de l’al. 5 !

Question 7

Qu’est-ce qui est l’analyse d’impact relative à la protection des données (AIPD)?

Answer 7

L’AIPD est un outil préventif prévu par la législation européenne à destination du responsable du traite- ment lui permettant de décrire le traitement qu’il entend mettre en œuvre, d’en évaluer la nécessité et la propor- tionnalité, ainsi que de gérer les risques pesant sur les droits et libertés des per- sonnes physiques liées au traitement de leurs données, en les évaluant et en déterminant les mesures nécessaires pour y faire face

–> bref: AIPD est un processus de gestion du risque mettant en balance le besoin, ainsi que le potentiel bénéfice d’un trai- tement de données, et l’impact que le traitement aura sur les individus dont les données sont traitées.

–> En présence de risques résiduels, le responsable du traitement doit consulter l’autorité de contrôle avant le début des opérations.

Question 8

Quels sont les principes inhérents à l’AIDP?

Answer 8

premièrement, une logique de responsabilisation de l’ensemble des acteurs de traitement de données,

deuxièmement, un renforcement quantitatif et qualitatif des droits des personnes concernées,

et enfin un raffermissement des pouvoirs d’enquête et de sanction des autorités de contrôle.

Question 9

Où est réglé l’AIDP?

Answer 9

RGPD 35 s (+ consid.; + d’autres règlements UE, p. ex. 2018/1725; directive 2016/680)

Question 10

Quand est-ce qu’il faut procéder à une AIDP?

Answer 10

RGPD 35 I: traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, compte tenu de:

• type de traitement (“nouvelle technologies”, probablement data mining et similaire)
• nature,
• portée,
• contexte, et
• finalités du traitement

–> cf. al. 3: cas de figure exemplaires

Question 11

Quelle sorte de liste pour déterminer les cas de figure du besoin d’une AIDP peut l’autorité nationale publier et quelle sorte elle doit publier?

Answer 11

Doit publier: Liste postive de cas de figure (RGPD 35 IV)
–> préalablement approuver par CEDP (ancien groupe art. 29 [G29] + groupe de travail “police et justice)

Peut publier: Liste négative (RGPD 35 V)

Question 12

Est-ce que le responsable suisse doit faire une AIDP?

Answer 12

Pas en vertu de la LPD ni OLPD; mais peut-être en vertu de l’application extra-territoriale du RGPD

Ce qui est le plus proche: HERMES exige parfois des sortes d’évaluation d’impact du chef de projet

Question 13

Qu’est-ce qui prévoit la nLPD?

Answer 13

nLPD le prévoit aux art. 22 s

• -> absolument nécessaire pour conformité avec protocole d’amendement à la Conv. 108
• -> et ainsi absolument nécessaire pour la reconnaissance de l’ adéquation par UE !!

Question 14

Délimitations de “atteinte à la personnalité” et “risque d’atteinte”?

Answer 14

= sont indépendants (risque ≠ atteinte)

p. ex. atteinte peut être justifié avec motif justificatif; le risque, par contre, subsiste

Question 15

Comment se définit le risque?

Answer 15

Impact/dommage potentiel que le traitement peut causer, qu’il soit physique, émotionnel ou matériel

2 facteurs: gravité + probabilité

Question 16

Délimitations AIPD / protection dès la conception (PC)?

Answer 16

Proche, mais pas identique:

• périmiètre est différent: PC = principe / AIDP = obligation découlant de celui
• pas le même type de sanction
• Obligation AIDP est conditionnelle, PC s’applique en tt temps
• Temporalité diffère
• AIDP exige rapport détaillé, fait intervenir plusieurs personnes et a év. besoin d’approbation par l’autorité de contrôle

Question 17

Démarche avant création AIDP?

Answer 17

1. Préalable au développement du produit/service: évaluer l’impact et catégoriser les risques
2. AIDP nécessaire basé sur 1.?
3. Examen efficacité des mesures organisationnelles et techniques; ev. incorporer d’autres mesures –> en tout cas documenter les décisions
4. Si les risques restent élevés, procéder formellement à une AIPD; si risques sont moyens ou légers, respecter les conditions (moins lourdes) de RGPD 25 devrait suffire (protection dès conception)

Question 18

Condition d’une AIDP dans la nLPD?

Answer 18

CF renvoie explicitement aux lignes directrices de la G29

Est tjrs le cas dans une des hypothèses de nLPD 22 II

Question 19

Qui est tenu de faire l’AIDP? S’il y a co-responsabilité? Différence droit nLPD/RGPD? Sous-traitance? Au sein d’une entreprise?

Answer 19

Co-responsabilité:
- RGPD 26: dès qu’il y a traitement conjoint, les deux responsables doivent déterminer dans un contrat leurs obligations respectives, y c. répartir la création de l’AIDP entre eux

• nLPD: ne prévoit pas de règle similaire, ni de définition de responsabilité conjointe (juste une norme dans la section sur les traitement par les organes fédéraux); MAIS l’obligation pourrait découler des principes généraux / en fonction du degré de contrôle respectif

Sous-traitance:
- RGPD 28 al. 3 let. f (valable aussi pour AIDP): Le sous-traitant doit aider le responsable du traitement à garantir le respect des obligations prévues aux art. 32 à 36 RGPD

• Entreprise: idéalement le Chief Privacy Officer est chargé; à défaut, la direction. Ensuite, contrôle par le DPO

Question 20

Quel est le contenu de l’AIPD dans la nLPD/RGPD?

Answer 20

Formellement: RGPD va plus loin, incluant, nécessité et proportionnalité.

Di Tria: Sera également nécessaire dans nLPD
–> si oui: nLPD = RGPD

Question 21

Quelle est la méthodologie à suivre afin de créer une AIDP?

Answer 21

Aucune n’est prescrite; mais G29 recommande la suivante:

1. Descriptions des opération de traitement envisagés
2. Evaluation de la nécessité + proportionnalité
3. Mesure envisagées pour démontrer conformité
4. Evaluation des risques pour les droits et libertés
5. Mesures envisagées pour faire face aux risques
6. Documentation
7. Suivi et examen
8. Recommencer

Question 22

En cas de violation?

Answer 22

Dépend si c’est une violation “simple” ou “grave” (en fonction de portée de l’atteinte)

–> max: 10 mio € / jusqu’à 2% chiffres d’affaires annuel mondial

Question 23

Résumé: que apporte l’AIDP?

Answer 23

• Plus grande transparence, pour le responsable et pour les concernés, réduisant les soucis de ces derniers et ainsi leur confiance
• -> évite publicité négative + sanctions –> économise de l’argent
• Responsable: forcé de mettre en balance la nécessité ainsi que le potentiel bénéfice et l’impact que le traitement peut avoir
• Esprit de prévention, de sensibi- lisation et de contrôle des données. Il est primordial de développer une meilleure culture quant à l’importance de la protec- tion des données.