Selon le message relatif à la nLPD, l’analyse d’impact de la protection des données (AIPD) est un instrument permettant d’identifier et d’évaluer les risques qui peuvent résulter pour la personne concernée en raison de l’utilisation de certains processus de traitements de données. Sur la base de cette estimation, des mesures de gestion des risques sont définies.

Le législateur exige des entreprises qu’elles procèdent à une AIPD chaque fois qu’un traitement de données est susceptible d’engendrer un risque élevé pour les droits fondamentaux ou la personnalité de la personne concernée. Plus le traitement est important, plus les données traitées sont sensibles; plus le but du traitement est vaste, plus il est probable que le risque soit élevé. Selon le législateur, il y a un risque élevé notamment lorsque des données personnelles sensibles sont traitées à grande échelle. Il peut également y avoir un risque élevé lorsque la liberté des personnes concernées de disposer de leurs données est fortement limitée, lorsque de grands volumes de données sont traités, lorsque des données sont transmises à des pays tiers ou lorsqu’un grand nombre de personnes peut avoir accès aux données. Le traitement des données à l’aide de technologies modernes telles que l’IA peut également entraîner un risque élevé.

Il n’est pas nécessaire pour les entreprises de procéder à une AIPD lorsque le traitement est effectué sur la base d’une prescription légale, lorsque le système, le produit ou le service utilisé est certifié pour le traitement prévu ou lorsqu’un code de conduite soumis au Préposé fédéral à la protection des données et à la transparence (PFPDT) est respecté. À ce propos, Roman Böhni, avocat spécialisé dans le droit sur la protection des données, déclare: «En fonction de la structure de l’environnement du système et des processus, il peut s’avérer nécessaire pour certains cabinets médicaux d’effectuer une AIPD. La priorité sera alors accordée au traitement des données des patients et éventuellement des données des collaborateurs. Toutefois, je pars du principe selon lequel la moyenne des cabinets médicaux de petite taille, qui traitent les données personnelles dans des système internes, ne sera pas tenue de faire ce type d’analyse d’impact de la protection des données. Comme souvent, il faudra procéder à une évaluation au cas par cas.»

Si une société doit ou souhaite effectuer une AIPD, le processus concret ressemble à peu près à ceci: l’on prend le registre des traitements existant. Puis on se demande, pour chacun des processus qui y a été défini, si, pour les personnes concernées, le traitement envisagé de leurs données personnelles présente un risque élevé. Si l’on arrive à la conclusion qu’il n’y a pas de risque élevé en ce qui concerne le processus de traitement examiné, ce résultat doit être brièvement justifié et documenté (par exemple, directement dans le registre des traitements).

Analyse structurée des risques

Si, en revanche, l’analyse fait apparaître un risque élevé, il faut procéder à l’AIPD. Mais: que signifie ici concret? Roman Böhni explique: «L’AIPD est une analyse des risques structurée qu’il faut documenter. Il convient tout d’abord de décrire en détail le processus de traitement concerné. Dans un deuxième temps, il convient d’identifier et d’évaluer les risques pertinents pour les personnes concernées. Dans un troisième temps, il convient de définir les mesures déjà mises en œuvre – et celles qui doivent encore être implémentées – qui permettront de réduire les risques associés au processus de traitement concerné. Enfin, il faut déterminer si une action éventuelle s’impose». Le législateur n’impose pas la forme de l’AIPD. Certes, il existe des outils professionnels qui peuvent aider à réaliser une analyse d’impact sur la protection des données. D’après l’avocat, toutefois, ces outils dépassent en général les besoins des cabinets médicaux classiques. Il serait plus judicieux d’utiliser des modèles adaptés aux besoins et aux circonstances, comme ceux que les responsables de la protection des données de certains cantons publient en ligne.

«S’il devait résulter de l’AIPD que le traitement de données prévu présente un risque élevé pour les personnes concernées malgré les mesures de réduction des risques envisagées, les documents doivent être remis au PFPDT pour consultation», déclare Roman Böhni. Comme alternative à la notification au PFPDT, il est également possible de désigner un conseiller ou une conseillère à la protection des données afin de consulter cette personne au sujet de l’AIPD.

Enfin, il est important de ne pas se contenter d’effectuer l’AIPD; elle doit également être réexaminée périodiquement afin de déterminer si la situation en matière de risques a changé et s’il convient éventuellement de mettre en œuvre des mesures nouvelles ou différentes. Dans ce cas, le document doit être mis à jour en conséquence», dit Roman Böhni.