Le Règlement général sur la protection des données (RGPD) a été mis en place par l’Union européenne afin de protéger les informations personnelles des citoyens. Bien que ce règlement soit spécifique à l’UE, il affecte également les entreprises suisses qui traitent ou partagent des données avec des clients ou partenaires européens. L’article 35 du RGPD concerne plus spécifiquement les analyses d’impact relatives à la protection des données.
Analyse d’impact relative aux données :
L’analyse d’impact est une évaluation réalisée par l’entreprise, visant à comprendre l’effet qu’un traitement particulier peut avoir sur la protection des données. Elle doit être effectuée avant la mise en œuvre de toute nouvelle activité impliquant le traitement des données à caractère personnel. Cela signifie que lorsque des informations sensibles sur des individus sont sollicitées, utilisées ou partagées, cette étape cruciale doit être réalisée avant de pouvoir donner suite au projet concerné.
Cas où une analyse d’impact est-elle requise :
- Évaluation systématique et approfondie permettant l’évaluation des aspects personnels sur des personnes physiques basée sur un traitement automatisé.
- Traitement à grande échelle de données dites « sensibles » ou relatives à des condamnations pénales.
- Surveillance systématique et continue à grande échelle d’une zone accessible au public.
Ces trois situations sont considérées comme présentant un risque élevé pour les droits fondamentaux et libertés des personnes concernées, d’où la nécessité de mener une analyse d’impact relative à la protection des données.
Étapes d’une analyse d’impact
Pour être conforme aux exigences du RGPD et réduire les risques potentiellement élevés liés à la protection des données, il est essentiel de suivre quelques étapes clés dans le cadre d’une analyse d’impact.
Identifier les traitements concernés :
Tout d’abord, il faut passer en revue tous les processus et projets impliquant un traitement de données à caractère personnel au sein de l’entreprise. Cela permet d’évaluer si le traitement présente ou non un risque élevé justifiant la réalisation d’une analyse d’impact.
Description détaillée du traitement :
Pour chaque traitement identifié comme étant à risque élevé, il faut procéder à une description précise de l’opération, y compris les finalités ainsi que les informations traitées. Cette description doit également inclure qui sera responsable du traitement et les différentes parties prenantes qui pourraient être impliquées.
Évaluation des risques :
L’évaluation des risques consiste à identifier et analyser les menaces potentielles pour la sécurité des données et les violations de la confidentialité et de l’intimité. Il est important de prendre en compte les conséquences potentielles pour les droits et libertés des personnes concernées ainsi que les mesures d’atténuation qui peuvent être mises en place pour réduire ces risques.
Mesures envisagées :
En fonction de l’évaluation des risques, il faudra déterminer quelles actions doivent être prises pour atténuer les menaces et protéger la vie privée des individus. Les mesures de protection des données telles que la limitation de l’accès aux informations, le chiffrement, la pseudonymisation ou l’anonymisation doivent être évaluées au regard du traitement effectué et de leurs avantages respectifs.
Validation de l’analyse :
Une fois toutes ces étapes réalisées, l’analyse d’impact doit être soumise à validation par un professionnel indépendant chargé du contrôle des traitements. Cette validation garantit que toutes les considérations ont été prises en compte et que le traitement est conforme aux obligations légales en matière de protection des données et aux principes du RGPD.
Implications pour les entreprises suisses
Les entreprises opérant en Suisse, même celles ne faisant pas directement partie de l’Union européenne, doivent se conformer aux règles du RGPD lorsqu’elles traitent des données personnelles de citoyens européens, par exemple dans le cadre d’une exportation de services ou produits vers l’UE. Les entreprises suisses sont donc tenues de suivre les dispositions de l’art 35 du RGPD, notamment en ce qui concerne les analyses d’impact.
Conséquences en cas de non-conformité :
Les entreprises ne se conformant pas aux exigences du RGPD concernant la protection des données s’exposent à des sanctions. L’ampleur de ces sanctions varie en fonction de la gravité de l’infraction, de l’intentionnalité ou de la négligence, ainsi que des mesures prises par l’entreprise pour corriger cette situation et atténuer les impacts éventuels sur les droits et libertés des personnes concernées.
En conclusion, il est crucial pour les entreprises suisses traitant des données personnelles d’individus situés au sein de l’Union européenne de comprendre et d’appliquer les dispositions relatives à l’art 35 du RGPD et mener en amont une analyse d’impact. Ceci permet notamment de protéger les données des clients et partenaires ainsi que de respecter les obligations légales en matière de protection des données.