Découvrez nos solutions sans obligation d’achat
Dans le secteur australien de la santé, le Bureau du Commissaire australien à l’information (OAIC) a élaboré des directives pour la réalisation d’évaluations des incidences sur la vie privée (PIA) pour un certain nombre de nouvelles initiatives majeures dans le domaine du traitement des informations personnelles, décrites comme étant les premières du genre dans le monde. Ces directives visent à fournir des lignes directrices pour l’utilisation des évaluations d’impact sur la vie privée par les organisations de santé en ce qui concerne la collecte, le traitement et le stockage des informations. Elles sont basées sur les directives publiées par le Commissaire à l’information (voir le lien à droite de cette page). Les organisations néo-zélandaises évaluent depuis un certain temps les impacts sur la vie privée dans le cadre d’une nouvelle initiative majeure qui inclut l’utilisation d’informations personnelles dans un large éventail de domaines, dont la santé, l’éducation, les soins de santé et la sécurité publique. [Sources : 1,1,0,1]
En particulier, il faut évaluer si les solutions de protection des données mises en œuvre ont l’effet escompté de réduire les risques liés à la protection des données. La procédure d’évaluation des facteurs relatifs à la vie privée ne doit pas être limitée à la collecte, au traitement et au stockage de données à caractère personnel dans le domaine de la santé, de l’éducation, des soins de santé ou de la sécurité publique. [Sources : 8,3]
Les analyses d’impact sur la protection des données peuvent être utilisées pour identifier et atténuer les risques liés à la protection des données – risques qui découlent de nouveaux projets et peuvent affecter les organisations ou les personnes avec lesquelles elles sont en contact. Des analyses d’impact sur la protection des données doivent également être réalisées lorsque le traitement pourrait conduire à la collecte, au stockage ou au transfert de données à caractère personnel à des fins commerciales. Les outils utilisés pour identifier les autres risques réglementaires et commerciaux peuvent également être utilisés pour évaluer les risques liés à la protection des données associés à un projet. Sources : 3,3,4]
L’objectif est d’identifier les risques de protection des données que le projet pourrait poser et d’identifier les moyens qui pourraient être utilisés pour atténuer ces risques. Les solutions de protection des données sont des mesures qui peuvent être prises pour réduire la probabilité de récupération des données – risque pour la vie privée. Par exemple, le cryptage homomorphe pourrait être utilisé pour regrouper les données cryptées, permettant ainsi la collecte, le stockage et le transfert de données personnelles à des fins commerciales sans qu’il soit nécessaire de recourir à une solution de protection des données. [Sources : 3,3,7]
Les caméras CCV pourraient contenir un grand nombre de données personnelles, y compris des catégories de données spécifiques en fonction de la pièce surveillée et de la personne. Lorsque les caméras de surveillance enregistrent dans des espaces publics ou privés, des données pourraient être collectées lors d’achats, de l’utilisation de systèmes de paiement par smartphone dans les transports publics, ou de l’utilisation de téléphones mobiles et de tablettes. Sources : 6,7]
Il est important que les entreprises partagent mieux les informations qu’elles recueillent sur leurs employés. Par exemple, elles devraient fournir des panneaux visibles et lisibles pour les systèmes de vidéosurveillance et fournir les détails de l’organisation qui exploite le système. Lorsque le système de vidéosurveillance est utilisé pour surveiller les employés, d’autres aspects du GDPR entrent en jeu, comme la loi sur la protection des données et la loi sur l’économie numérique. Sources : 2,6,5]
Toutefois, les points de référence utilisés pour déterminer les effets négatifs sur la vie privée doivent être beaucoup plus larges que les seules lois existantes. Dans le cadre du règlement, il existe en effet certaines données qui présentent un risque élevé pour les droits d’un individu pour lesquelles une organisation doit réaliser une analyse d’impact sur la protection des données. [Sources : 2,8]
La deuxième étape consiste à examiner et à documenter pourquoi les caméras de surveillance sont absolument nécessaires compte tenu des besoins et des objectifs. Le responsable du traitement des données doit expliquer pourquoi une caméra de surveillance est nécessaire et comment la technologie soutient l’objectif poursuivi. [Sources : 6,6]
Élaboration d’un mécanisme permettant d’informer les individus de leurs droits personnels et d’obtenir leur consentement à la collecte, l’utilisation ou la divulgation de leurs données personnelles. Détermination des lois, politiques et stratégies qui ont un impact sur la protection des données, telles que la loi sur la protection des données, la loi sur la protection des données et le règlement sur la confidentialité des communications électroniques (ECPR). [Sources : 1,1]
Un domaine qui doit faire l’objet d’une attention particulière est celui de savoir si une analyse d’impact sur la protection des données (AIPD) doit être réalisée avant la mise en place d’un nouveau système de surveillance. Si l’initiative est à un stade précoce de conception ou de design et que des informations détaillées ne sont pas disponibles, le ministère ou l’autorité devrait envisager de mener un processus d’analyse préliminaire de la protection des données (PIA). Cela permettra d’examiner le projet et de tester les seuils afin de déterminer si une EIP est nécessaire et quelle devrait être la portée de l’examen. En s’appuyant sur les résultats des étapes précédentes, il n’est pas nécessaire à ce stade de développement de procéder à une évaluation complète de l’impact de la vidéosurveillance sur la vie privée. [Sources : 5,1,8,1]
Au cours de cette phase, la conception du projet sera examinée afin d’évaluer les problèmes de protection des données découlant de ce projet et d’identifier les personnes auxquelles il pourrait être exposé, ainsi que les organisations dont la protection des données – les risques associés – pourrait le faire. Cette phase doit être suivie d’une PIA afin de minimiser autant que possible les risques associés à la protection des données. Sources : 3,3]
Les outils visuels tels que les organigrammes qui documentent la manière dont les informations sont utilisées dans le projet peuvent aider à identifier les risques potentiels pour la vie privée. À ce stade, vous devriez essayer de trouver des solutions pour réduire l’impact de ce projet sur la protection des données. [Sources : 3,3]
Sources :
[0] : https://www.dur.ac.uk/ig/dp/dpia/
[1] : https://www.colleaga.org/article/country-specific-guidelines-conducting-privacy-impact-assessment
[2] : https://www.ifsecglobal.com/video-surveillance/public-cctv-operators-can-avoid-eye-watering-fines-gdpr/
[3] : http://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments
[4] : https://gdpr-info.eu/issues/privacy-impact-assessment/
[5] : https://actnowtraining.wordpress.com/2017/09/13/what-impact-will-gdpr-have-on-your-cctv-systems/
[6] : https://www.trilateralresearch.com/dpias-for-cctv-cameras-uk-public-authorities-duties-and-space/
[7] : https://plato.stanford.edu/entries/it-privacy/
[8] : https://privacy.org.au/policies/pia/