Pourquoi faire une analyse d'impact

Tant la LPD révisée que le RGPD prévoient que le responsable doit effectuer une analyse d’impact lorsqu’un traitement est susceptible d’engendrer « un risque élevé pour les droits et libertés des personnes physiques ».

3 types de traitements sont susceptibles de présenter un risque élevé :

L’évaluation systématique et approfondie d’aspects personnels fondée sur un traitement automatisé et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire

Le traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et des infractions ;

La surveillance systématique à grande échelle d’une zone accessible au public.

A qui s'adresse cette analyse d'impact ?

Vous êtes
chef de projet ?

Vous travaillez sur une nouvelle demande pour un outil qui va induire le traitement de données personnelles, peut-être sensibles (santé, biométrie, génétique par exemple) ou d’un grand volume, ou vous devez proposer un nouvel outil existant sur le marché : une nouvelle application RH, véritable plate-forme interactive ? Une nouvelle base de données, un nouvel ERP, un logiciel pour améliorer un traitement existant, un traitement impliquant l’usage des nouvelles technologies y compris l’intelligence artificielle ?

Avant l’achat ou la mise en production de votre nouveau produit vous devez vérifier l’impact qu’il aura sur le droit des personnes, et disposer d’un rapport sur la question.

Vous êtes
juriste ou chargé.e de la compliance ?

Vous savez qu’un certain nombre de projets sont susceptibles d’enfreindre le droit des personnes, vous connaissez l’obligation de faire une analyse d’impact, mais vous ne disposez pas d’un outil fiable et adapté au marché suisse, qui délivre un document de conformité.

Vous êtes
responsables de traitement ?

C’est-à-dire responsable de tout, mais aussi de la conformité, dirigeant ou dirigeante, directeur ou directrice. Vous souhaitez que vos équipes se conforment à la législation, vous vous souhaitez pouvoir démontrer vous êtes soucié de la conformité des applications, logiciels, procédures mises en place ou à venir et qui portent sur le traitement de données personnelles.

Vous êtes
DPO, interne ou externe ?

Vous savez dans quelles circonstances il convient de faire une analyse d’impact, mais vous ne disposez pas d’un outil fiable et adapté aux organisations suisses. Vous n’avez pas le temps de faire vous-même l’analyse d’impact avec le retour de l’expert, ou alors vous souhaitez disposer d’un outil vous permettant de faire vous-même l’analyse d’impact et le rapport d’expert pour les différents services ou vos différents clients.

Quels types d'opérations de traitement nécessitent une AIPD?

SANTE

Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico- sociaux pour la prise en charge des personnes.

  • Traitements « de santé » mis en œuvre par les établissements de santé (hôpital, CHU, cliniques, etc.) :
    • dossier “patients” ;
    • algorithmes de prise de décision médicale ;
    • dispositifs de vigilances sanitaires et de gestion du risque ;
    • dispositifs de télémédecine ;
    • gestion du laboratoire de biologie médicale et de la pharmacie à usage intérieur, etc.
  • Traitement portant sur les dossiers des résidents pris en charge par un centre communal d’action sociale (CCAS) ou par un établissement d’hébergement pour personnes âgées dépendantes (EPHAD).

SANTE

Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.).

  • mise en œuvre d’une recherche médicale portant sur des patients et incluant le traitement de leurs données génétiques ;
  • traitement utilisé pour la gestion d’une consultation de génétique dans un établissement de santé.

RH

Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines

  • traitement de détection et de gestion de « hauts potentiels » ;
  • traitement visant à faciliter le recrutement, notamment grâce à un algorithme de sélection ;
  • traitement visant à proposer des actions de formations personnalisées grâce à un algorithme,
  • traitement visant détecter et à prévenir les départs de salariés sur la base de corrélations établies entre divers facteurs.

SURVEILLANCE

Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés

  • dispositif de cyber surveillance tels que ceux procédant à une analyse des flux de courriels sortants afin de détecter d’éventuelles fuites d’information (dispositifs dits de Data Loss Prevention) ;
  • vidéosurveillance portant sur les employés manipulant de l’argent ;
  • vidéosurveillance d’un entrepôt stockant des biens de valeur au sein duquel travaillent des manutentionnaires ;
  • chronotachygraphe des véhicules de transport routier.

SURVEILLANCE

Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés

  • dispositif de cyber surveillance tels que ceux procédant à une analyse des flux de courriels sortants afin de détecter d’éventuelles fuites d’information (dispositifs dits de Data Loss Prevention) ;
  • vidéosurveillance portant sur les employés manipulant de l’argent ;
  • vidéosurveillance d’un entrepôt stockant des biens de valeur au sein duquel travaillent des manutentionnaires ;
  • chronotachygraphe des véhicules de transport routier.

SURVEILLANCE

Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire

  • dispositif de signalement de mineurs en danger ;
  • traitement utilisé par une agence sanitaire pour la gestion d’une crise sanitaire ou d’une alerte sanitaire ;
  • dispositif de signalement de situations de maltraitance sur des personnes vulnérables (personnes âgées, en situation de handicap, etc.).

SURVEILLANCE

Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle

  • dispositif de recueil d’alertes professionnelles pour les organismes privés ou publics concernés ;
  • dispositif de recueil de signalements concernant des faits de trafic d’influence ou de corruption commis au sein de l’organisme ;
  • dispositif d’alerte mis en œuvre dans le cadre du devoir de vigilance.

SURVEILLANCE

Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire

  • dispositif de signalement de mineurs en danger ;
  • traitement utilisé par une agence sanitaire pour la gestion d’une crise sanitaire ou d’une alerte sanitaire ;
  • dispositif de signalement de situations de maltraitance sur des personnes vulnérables (personnes âgées, en situation de handicap, etc.).

SANTE

Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre

  • entrepôt de données de santé mis en œuvre par un établissement de santé ou une personne privée, pour servir des finalités de recherche.

FINANCE

Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci

  • traitement établissant un score pour l’octroi de crédit ;
  • traitement reposant sur une analyse comportementale visant à détecter des comportements « interdits » sur
    un réseau social ;
  • traitement de lutte contre la fraude aux moyens de paiement.

Obtenez dès maintenant votre analyse d'impact

Usage individuel

Obtenez un rapport personnalisé sous 72h
CHF 1'500.-
  • Accès au questionnaire en ligne
  • Rapport écrit de l'expert dans les 72h

En licence

Utilisez notre plateforme pour pouvoir générer des rapports
CHF 599
- / an
  • Modèle de rapport avec nos paragraphes type
  • Accès au GUIDE ET PROCÉDURES DE L'ANALYSE D'IMPACT
  • Espace de gestion des questionnaires de vos propres clients