Guide pour les analyses d’impact sur la protection des données (AIPD)
Gstaad Palace
1 But et fondement
Le présent guide (le guide) a pour but de fournir aux collaborateurs compétents de l’hôtel Gstaad Palace (la Société) les bases essentielles pour la réalisation d'une analyse d'impact sur la protection des données (AIPD) et de leur permettre, à l'aide d'autres mesures et documents, de réaliser une AIPD conformément à la législation applicable en matière de protection des données. Les différentes responsabilités sont décrites en détail au point 15 du présent guide.
Le guide se base sur les exigences de la loi suisse sur la protection des données (LPD) en vigueur et de la révision de la LPD, ainsi que sur le Règlement général sur la protection des données (RGPD) de l'UE.
En complément de ce guide, le service de coordination de la protection des données doit, le cas échéant, édicter des règles spécifiques pour chaque pays et les intégrer.
2 Objectif du guide
Ce guide décrit ce qu'est une AIPD et comment et quand une telle doit être effectuée.
3 Champ d’application
Ce guide s'applique à tous les collaborateurs de la Société qui traitent des données personnelles, qui sont potentiellement impliqués dans des activités de traitement de données et qui, par conséquent, peuvent être amenés à effectuer des AIPD. Dans le cadre de leur activité professionnelle, les employés sont tenus de respecter toutes les lois applicables en matière de protection des données ainsi que le présent guide.
4 Définitions
La législation applicable en matière de protection des données définit certains concepts importants.
La notion de données personnelles est particulièrement importante :
Données personnelles
Définition Les données personnelles sont toutes les informations qui se rapportent à une personne physique identifiée ou identifiable.
Données sensibles
les données personnelles des catégories suivantes : Données relatives aux opinions ou activités religieuses, philosophiques, politiques ou syndicales ; données relatives à la santé, à l'intimité ou à l'appartenance à une race ou une ethnie ; données génétiques ; données biométriques identifiant une personne physique de manière unique ; données relatives aux poursuites ou sanctions administratives et pénales ; données relatives aux mesures d'aide sociale.
Caractère sensible
Par « personnes », on entend les personnes physiques et non les personnes morales. Les informations sur une personne de contact d'un prestataire ou auprès d'une autre entreprise dans les relations commerciales B2B sont également considérées comme des données personnelles
La législation applicable en matière de protection des données ne contient pas de définition de la notion d’ « analyse d'impact relative à la protection des données ». L'AIPD a pour but d'évaluer les risques d'un traitement concret de données avant que celui-ci ne commence. Des mesures de minimisation des risques peuvent ensuite être mises en œuvre sur la base de l'AIPD.
5 Quel est l’objectif d’une AIPD ?
L'AIPD est un outil permettant d'analyser de manière systématique et exhaustive les activités de traitement et d'identifier et de minimiser les risques en matière de protection des données dans un cas particulier. L'AIPD doit notamment tenir compte des risques pour la personnalité ou les droits fondamentaux des personnes concernées. Par conséquent, l'AIPD se focalise sur les dommages potentiels pour les personnes concernées ou la société dans son ensemble, qu'il s'agisse de dommages physiques, matériels ou immatériels.
Pour évaluer le risque associé à une activité de traitement, une AIPD doit tenir compte à la fois de la probabilité de l’occurrence et de la gravité de l'impact sur les personnes concernées. L'AIPD ne doit pas nécessairement conclure que tous les risques ont été éliminés. Néanmoins, elle aide la Société à documenter et à évaluer si les risques restants sont justifiés et si l'activité de traitement peut donc être menée à bien.
6 Quand doit-on effectuer une AIPD ?
De par la loi, une AIPD doit être effectuée avant le début d'une activité de traitement susceptible d'engendrer un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées (voir point 7 ci-dessous).
Si une AIPD doit nécessairement être effectuée pour un traitement de données, elle doit l’être le plus tôt possible dans le cours d’un projet, c'est-à-dire avant que l'entreprise ne commence ou n'adapte une traitement de données personnelles. Idéalement, l'AIPD devrait être effectuée en parallèle avec le processus de planification et de développement du projet.
7 Examen préliminaire : faut-il effectuer une AIPD ?
Actuellement, le droit applicable en matière de protection des données n'exige pas la réalisation d'une AIPD pour chaque nouvelle activité de traitement ou pour chaque adaptation d'une activité de traitement existante. Un premier examen préliminaire permet donc d'évaluer s'il est nécessaire ou non d'effectuer une AIPD pour une activité de traitement spécifique.
La loi prévoit qu'une AIPD doit être effectuée lorsqu'un traitement est susceptible d'engendrer un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.
L'existence d'un risque élevé dépend de plusieurs critères et n'est pas toujours facile à évaluer. Les deux cas suivants, prévus par la loi, sont relativement clairs : le risque est toujours considéré comme élevé et une AIPD doit donc être effectuée :
1. lorsque des données personnelles sensibles sont traitées à grande échelle ; ou
2. lorsque des zones publiques étendues sont systématiquement surveillées (par exemple par vidéosurveillance).
Dans tous les autres cas, la nécessité d'une AIPD est moins évidente. Ainsi, le risque élevé peut résulter des aspects suivants :
1. l'utilisation de nouvelles technologies,
2. le type de traitement,
3. l'étendue du traitement,
4. les circonstances du traitement, ou
5. la finalité du traitement.
Note importante : ce n'est qu'après avoir effectué l'AIPD que la Société peut déterminer réellement si le traitement présente un risque élevé. L'examen préliminaire porte plutôt sur une question plus générale : existe-t-il des caractéristiques qui indiquent un potentiel de risque élevé ?
De nombreuses autorités de protection des données ont publié, dans des lignes directrices et des listes de contrôle, des exemples de traitements de données personnelles dont les caractéristiques indiquent un potentiel de risque élevé. A titre d'orientation, l'annexe 2 résume quelques exemples de situations dans lesquelles une AIPD peut être nécessaire.
Note importante : ces lignes directrices et listes de contrôle sont formulées de manière générale et ne peuvent pas prendre en compte toutes les facettes d'un cas particulier, ce qui est également le cas pour le présent guide. La mention d'un traitement de données dans l'annexe 2 ou dans d'autres listes de contrôle des autorités de protection des données ne signifie pas que ces types de traitement sont toujours susceptibles de présenter un risque élevé – il existe simplement une probabilité généralement reconnue qu'ils présentent un risque élevé et qu'une AIPD soit nécessaire pour évaluer plus précisément le niveau de risque.
Si le traitement de données envisagé n'est pas décrit dans l'annexe 2 ou dans les listes de contrôle des autorités de protection des données, il appartient à l'entreprise de décider si le traitement est susceptible de présenter un risque élevé, compte tenu de la nature, de la portée, du contexte et des finalités du traitement. En cas de doute, une AIPD doit être effectuée. Il est important de documenter les raisons qui ont amené à la décision d’effectuer ou non une AIPD.
Avant l'introduction de nouvelles activités et de nouveaux systèmes de traitement de données personnelles ou de nouveaux processus et services opérationnels en rapport avec le traitement des données personnelles, le chef de service compétent doit en informer le service de coordination de la protection des données. L'information doit également être fournie lorsque des processus ou des finalités de traitement existants doivent être modifiés. Dans ce dernier cas, il incombe au chef de service compétent pour cette modification d'informer le service de coordination de la protection des données. Les nouvelles activités et les nouveaux systèmes de traitement des données personnelles ou les modifications apportées aux activités de traitement existantes ne peuvent être mis en œuvre qu'après consultation et évaluation du service de coordination de la protection des données.
Afin de s'assurer que les nouvelles applications et solutions informatiques sont introduites et mises en œuvre conformément aux règles applicables en matière de protection des données, les collaborateurs ne doivent en aucun cas mettre en œuvre eux-mêmes ces applications et solutions informatiques.
8 Comment effectuer une AIPD?
L'examen préliminaire pour effectuer une AIPD (voir point 7 ci-dessus) constitue un test préalable et ne fait donc pas partie de l'AIPD proprement dite. Toutefois, l'examen préliminaire est étroitement lié à la réalisation de l'AIPD, raison pour laquelle il est également mentionné dans le schéma ci-dessous.
En général, la procédure de préparation d’une AIPD comprend les étapes suivantes:
9
Contenu d’une AIPD
L'AIPD est effectuée par la Société à l'aide du questionnaire de l'annexe 1 et peut concerner un seul traitement ou une série de traitements similaires. Le questionnaire contient les informations nécessaires à la réalisation de l'AIPD.
Le questionnaire doit être remis au service de coordination de la protection des données pour documentation et approbation.
Les activités de traitement ne peuvent être effectuées qu'après l'approbation du service de coordination de la protection des données.
Contacterle service responsable de la protection des données et déterminer s’il est nécessaire de mener une AIPD
Description de l’activité de traitement
Évaluation de la nécessité et de la proportionnalité de l’activité de traitement
Identification et évaluation des risques
Identification des mesures d’atténuation des risques à mettre en place
Vérification de l’existence d’une obligation de consulter l’autorité de surveillance compétente
Documentation des résultats
Intégration des mesures de minimisation des risques dans l’activité de traitement prévue
Examen régulier de la AIPD
Les sociétés d'un groupe d'entreprises peuvent effectuer conjointement une AIPD pour des traitements de données identiques, à condition que toutes les sociétés du groupe impliquées, ou plus précisément leurs traitements de données soient soumis à la même loi applicable. Cela doit être examiné soigneusement Il peut arriver que seule la LPD soit applicable à une société du groupe, mais que le RGPD le soit à d'autres sociétés du groupe. Même si ce guide s'inspire à la fois des exigences de la LPD et du RGPD, il peut y avoir de légères différences significatives
L'annexe 1 est largement auto-explicative. Le point 2 de l'annexe 1 (Nécessité d'une AIPD) se réfère à l'examen préliminaire présenté au point 7 ci-dessus (pour rappel, même si l'examen préliminaire conclut qu'il n'y a pas lieu de procéder à une AIPD, l'annexe 1 doit être complétée au moins jusqu'à ce point 2. Cela permettra de comprendre ultérieurement les raisons pour lesquelles un traitement donné n'a pas fait l'objet d'une AIPD). Les points à considérer concernant le point 5 de l'annexe 1 (Identification et évaluation des risques) et le point 6 de l'annexe 1 (Mesures d'atténuation des risques) sont expliqués ci-dessous.
10 Identification et évaluation des risques (point 5 de l'annexe 1)
Dans le cadre de l'AIPD, l'entreprise doit examiner l'impact potentiel sur les personnes concernées et tout dommage – physique, émotionnel ou matériel – qu'un traitement de données envisagé pourrait causer, en particulier si le traitement de données pourrait entraîner chez les personnes concernées les situations suivantes :
- Incapacité d'exercer des droits (y compris, mais sans s'y limiter, les droits de protection des données) ;
- Impossibilité d'accéder aux services ;
- Perte de contrôle sur l'utilisation des données personnelles ;
- discrimination ;
- usurpation d'identité ou fraude ;
- perte financière ;
- atteinte à la réputation ;
- préjudice physique ;
- perte de confidentialité ;
- ré-identification de données pseudonymisées ; ou
- tout autre préjudice économique ou social important.
L'AIPD doit prendre en compte toutes les sources de risque possibles, identifier l'impact potentiel sur les droits et libertés des personnes concernées d'événements tels que l'accès illicite, la modification et la disparition non souhaitées des données ou d'autres configurations de risque, identifier les menaces susceptibles d'entraîner un accès illicite, une modification et une disparition non souhaitées des données ou d'autres configurations de risque, et évaluer la probabilité et la gravité de l'événement.
Le risque est évalué en fonction de la corrélation entre la probabilité d'occurrence et la gravité d'un événement donné. La Société doit procéder à une évaluation objective des risques. Il est utile d'utiliser une matrice structurée pour réfléchir à la probabilité et à la gravité des risques :
Gravité des dommages grave
substan- tielle
minimale
Faible risque
Risque élevé
Risque élevé
Faible risque
Risque intermédiaire
Risque élevé
Faible risque
Faible risque
Faible risque
distante possible probable
Probabilité de survenance d’un dommage
11 Identification des mesures de réduction des risques (point 6 de l'annexe 1)
- Décision de ne pas collecter certains types de données ;
- Réduction de la portée du traitement des données ;
- Réduction des périodes de conservation des données ;
- Mise en place de mesures de sécurité techniques supplémentaires ;
- formation du personnel afin de s'assurer que les risques sont anticipés et gérés ;
- Anonymisation ou pseudonymisation des données lorsque cela est possible ;
- Création de lignes directrices ou de processus internes pour éviter les risques ;
- Utilisation d'une autre technologie ;
- introduction de conventions claires sur le partage des données dans une constellation de contrôleurs conjoints ;
- apporter des modifications aux avis de confidentialité ;
- donner aux personnes concernées, le cas échéant, la possibilité de refuser le traitement des données (opt-out) ; ou
- introduire de nouveaux systèmes pour aider les personnes concernées à exercer leurs droits.
Cette liste n'est pas exhaustive.
Il convient de documenter au point 6 de l'annexe 1 si une mesure réduirait ou éliminerait le risque. L'entreprise peut prendre en compte les coûts et les avantages de chaque mesure pour déterminer si elle est appropriée ou non. Ces considérations doivent également être documentées.
12 Consultation de l'autorité compétente en matière de protection des données
La Société fait d'abord approuver le résultat de l'AIPD par le service de coordination de la protection des données avant de consulter les autorités de protection des données compétentes.
Le service de coordination de la protection des données détermine s'il est nécessaire de consulter l'autorité compétente en matière de protection des données. En général, la consultation de l'autorité compétente en matière de protection des données doit avoir lieu lorsque l'AIPD révèle que le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, malgré les mesures prévues.
Le cas échéant, le service de coordination de la protection des données peut recueillir l'avis des personnes concernées ou de leurs représentants sur le traitement envisagé. Le service de coordination de la protection des données décide de la manière et du moment où une telle consultation doit être effectuée.
13 Révision régulière de l'AIPD
La Société ou les collaborateurs compétents doivent revoir l'AIPD régulièrement ou à la demande de l'unité de coordination de la protection des données. Une AIPD doit être renouvelée si la nature, la portée, le contexte ou les finalités de l'activité de traitement changent de manière significative.
Le service de coordination de la protection des données peut définir dans une directive la périodicité d'une révision régulière des AIPD ou, à sa discrétion, demander à la Société de réviser toutes les AIPD ou certaines d'entre elles.
14
Responsabilités
14.1 Direction respectivement la direction de l’hôtel
La direction de la Société respectivement la direction de l’hôtel définit le cadre général de la mise en œuvre de l'AIPD. Elle désigne un (ou plusieurs) responsable(s) de la protection des donnéesle service de coordination de la protection des données - qui agit en tant qu'instance exécutive, consultative et de contrôle pour la mise en œuvre de l’AIPD
14.2 Chefs de services
Les chefs de service à tous les niveaux sont responsables de l'application et du respect des dispositions légales relatives à la protection des données dans leur domaine de responsabilité. En collaboration avec le service de coordination de la protection des données, ils veillent à la formation et à la sensibilisation de leurs collaborateurs. Ils jouent un rôle de modèle et encouragent la motivation des collaborateurs à respecter les mesures de protection des données.
14.3 Collaborateurs
Chaque collaborateur doit veiller à ce que le service de coordination de la protection des données soit impliqué en amont dans la planification des activités de traitement futures. Dans leur domaine de responsabilité, ils sont tenus de fournir au service de coordination de la protection des données toutes les informations visées à l'annexe 1. Les employés doivent suivre les instructions du service de coordination de la protection des données.
14.4 Service de coordination de la protection des données
La Société a désigné un service de coordination de la protection des données. Le service de coordination de la protection des données est le point de contact central pour les questions relatives à la protection et à la sécurité des données, ainsi que l'organe consultatif pour la réalisation de l'AIPD. Il peut être contacté par fbm@palace.ch ou par téléphone 861
Le service de coordination de la protection des données est chargé de veiller à ce que les AIPD soient effectués conformément à la loi et de documenter les AIPD effectués afin de respecter les normes de responsabilité. Elle veille à ce que la documentation relative aux notifications effectuées soit conservée pendant au moins deux ans.
Suisse : si le service de coordination de la protection des données remplit les exigences de l'article 10 paragraphe 3 LPD, la Société peut renoncer à la consultation du PFPDT conformément à l'article 23 paragraphe 4 LPD.
15 Sanctions
Le non-respect de ce guide peut entraîner des mesures disciplinaires, ainsi que des procédures civiles et/ou pénales.
16
Dispositions finales
16.1 Modifications et compléments
Ce guide ne peut être modifié, complété ou abrogé que par écrit et par décision de la direction de la Société respectivement la direction de l’hôtel. Par modification ou complément, on entend l'ajout, la suppression ou la modification de toute disposition. Sont exclues les corrections de nature purement formelle.
16.2 Documents complémentaires
Ce guide constitue la base de la mise en œuvre de l'AIPD. Sur cette base, d'autres documents peuvent être développés dans le cadre du traitement des données personnelles, notamment des guides spécifiques aux utilisateurs ou aux unités.
16.3 Dispositions intégrées
Les annexes ci-après font partie intégrante du présent guide:
Annexe 1: Questionnaire AIPD
Annexe 2: Exemples
En cas d’incohérence, les dispositions dans ce guide primeront.
16.4 Autres dispositions
Ce guide est accessible à tous les collaborateurs par le biais du système de directives existant de la Société ou par d'autres canaux selon la décision du service de coordination de la protection des données.
16.5 Les modifications ou compléments apportés à ce guide entrent en vigueur au moment de leur publication sur https://issuu.com/gstaadpalace/docs/leitfaden_datenschutz-folgenabsch_tzung_de_11.01.?fr=sNWM1ZjY5Mjg5ODA
16.6 Date d’entrée en vigueur
Ce guide entre en vigueur Lundi 13 janvier 2025
Annexe 1
Questionnaire AIPD
1. Informations sur la personne responsable (à remplir pour chaque traitement)
Nom de la personne responsable
Nom et données de contact du délégué à la protection des données (si disponible)
Nom et coordonnées du responsable du traitement
2. Nécessité de réaliser une AIPD (à remplir pour chaque traitement)
Expliquez dans les grandes lignes ce que votre projet vise à réaliser et quel type de traitement de données il implique. Décrivez si le traitement est susceptible d'engendrer un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, en tenant compte de la nature, de la portée, du contexte et des finalités du traitement. En cas de doute, une AIPD doit être effectuée. Si vous vous basez sur des exemples tirés de guides, de listes de contrôle ou de l'annexe 2, décrivez en quoi le traitement concret diffère ou est similaire aux exemples utilisés. Il est important de documenter les raisons pour ou contre la réalisation d'une AIPD, même si vous concluez qu'il n'est pas nécessaire de réaliser une AIPD
3. Décrivez le traitement des données (à partir d'ici, ne remplir que si une AIPD doit être effectuée)
Décrivez le type de traitement des données (la plupart des informations demandées ici doivent pouvoir être tirées du registre des activités de traitement) :
En quoi consiste le traitement des données en bref ? Quels sont les types de traitement de données effectués (collecte, communication, conservation, effacement, etc.) ?
Quels sont les traitements considérés comme présentant un risque probable ?
Quelle est la source des données?
Les données sont-elles partagées avec des tiers et si oui, lesquels? Veuillez insérer des diagrammes ou d’autres documents de flux de données.
Quelles modifications ont été identifiées comme susceptibles de présenter un risque élevé?
Description de l’étendue du traitement:
Combien de données sont traitées et à quelle fréquence?
Combien de temps les données sont-elles conservées?
Combien de personnes sont concernées par l’activité de traitement?
Des données personnelles provenant d’autres juridictions sont-elles également traitées (p. ex., de l’UE) et si oui, quels pays sont concernés?
Décrivez le contexte de la modification:
Quelle est la nature de la relation entre la Société et les personnes concernées ? Quel contrôle les personnes concernées ont-elles sur le traitement des données ?
Quelles sont les attentes raisonnables des personnes concernées ? Les personnes concernées doiventelles raisonnablement s'attendre à ce que ce type de traitement de données soit effectué ?
Les données personnelles d’enfants ou d’autres personnes vulnérables sont-elles traitées?
Y a-t-il déjà eu des inquiétudes concernant ce type de traitement ou existe-t-il des inquiétudes concernant d’éventuelles failles de sécurité?
L’activité de traitement est-elle nouvelle d’une manière ou d’une autre?
Quel est l’état actuel de la technique dans ce domaine?
La Société (ou les éventuels sous-traitants) a-t-elle adhéré à un code de conduite approuvé ou à un système de certification (dès lors qu'un tel système a été approuvé par les autorités de protection des données) ?
Y a-t-il des questions d'actualité d'intérêt public en rapport avec le traitement de données envisagé qui devraient être prises en compte ?
Décrivez la finalité du traitement:
Quel est le but du traitement?
Quel effet potentiel le traitement peut-il avoir sur une personne concernée?
Quels sont les avantages du traitement?
4. Évaluation de la nécessité et de la proportionnalité
Décrivez, en particulier, les mesures permettant de se conformer au règlement et d’assurer la proportionnalité du traitement:
Comment le respect des principes de traitement des données est-il assuré (licéité du traitement des données, bonne foi dans le traitement des données, principe de finalité, principe de proportionnalité, exactitude des données, sécurité des données) ?
LPD : si les principes de traitement des données ne sont pas respectés : Quel est le motif justificatif applicable selon l'article 31 de la LPD ?
RGPD : Quel est la base légale au sens de l'article 6 du RGPD (consentement, loi, intérêt légitime, exécution d'une obligation contractuelle) qui s'applique au traitement des données ?
Le traitement atteint-il réellement son objectif?
Existe-t-il un autre moyen d’obtenir le même résultat?
Comment éviter ou contrôler les "function creeps", c'est-à-dire les extensions de fonctionnalités insidieuses des logiciels/applications ?
Comment la qualité et la minimisation des données sont-elles assurées?
Quelles informations sont fournies aux personnes concernées?
Comment s’assure-t-on que les personnes concernées peuvent exercer leurs droits (par exemple le droit à l’information)?
Quelles mesures techniques et organisationnelles sont mises en œuvre pour protéger les données personnelles?
Quelles sont les mesures mises en œuvre pour s’assurer que les sous-traitants employés respectent les règles de protection des données?
Quelles sont les garanties utilisées pour s’assurer que les données personnelles divulguées à l’étranger bénéficient d’un niveau adéquat de protection des données?
5. Identification et évaluation des risques
Description des risques et impact sur les personnes concernées
Si nécessaire, les risques pour la conformité (compliance) et les risques propres à la Société peuvent être inclus dans l’analyse.
Probabilité de survenance d’un dommage Gravité des dommages
6. Mesures d’atténuation du risque
Mesures supplémentaires pouvant être mises en œuvre pour réduire ou éliminer les risques classés comme moyens ou élevés au point 5
Risque
Mesures techniques ou organisationnelles visant à réduire ou éliminer les risques existants
Impact sur le risque Risque résiduel Action approuvée
7. Approbation et documentation des résultats de la AIPD
Nom/fonction/date
Mesures approuvées par:
Risques résiduels approuvés par:
Personne responsable au sein du service responsable de la protection des données:
Remarque
Intégrer ces mesures dans le plan de projet.
Si, malgré les mesures mises en œuvre, il existe un risque résiduel élevé, les autorités de surveillance doivent être consultées avant la mise en œuvre de l’activité de traitement.
Le service de coordination de la protection des données contribue au respect des règlements et à la mise en œuvre des mesures visées au point 6 et formule une recommandation pour la mise en œuvre de l’activité de traitement.
Résumé des recommandations du service responsable de la protection des données:
Recommandation du service responsable de la protection des données acceptée ou rejetée par:
Commentaires:
Les réponses issues de la consultation des autorités de protection des données compétentes ont été vérifiées par:
Commentaires:
Si les recommandations sont rejetées, la décision doit être motivée
Cette AIPD est examinée en continu par:
Annexe 2
Exemples
Le service de coordination de la protection des données doit également vérifier la conformité continue avec la AIPD
La liste figurant dans la présente annexe est une compilation d'exemples tirés de différents guides, sans aucune prétention d'exhaustivité. Dans tous les cas, il convient de vérifier au cas par cas si les autorités compétentes pour le traitement concret des données ont publié leur propre liste. L'ajout d'exemples pour déterminer si une AIPD doit être effectuée ou non doit être documenté sous le point 2 de l'annexe 1.
Exemple
AIPD requise
Décisions concernant l’accès d’une personne concernée à un produit ou à un service qui sont basées dans une quelconque mesure sur une décision individuelle automatisée (y compris le profilage) ou impliquent le traitement de données sensibles. Oui
Utilisation de technologies innovantes telles que l’IA, les systèmes de transport intelligents, les technologies intelligentes (montres intelligentes ou portables) ou les études de marché utilisant des neuro-mesures telles que l’analyse des réponses émotionnelles.
Utilisation d’un système de caméras pour surveiller le comportement des clients dans les magasins grâce à un système d’analyse vidéo intelligent afin de reconnaître les clients et de leur proposer des services personnalisés en fonction du profil existant.
Surveillance systématique des activités des employés, y compris la surveillance du lieu de travail, de l’activité sur Internet, etc.
Oui
Oui
Oui
Collecte de données publiques sur les réseaux sociaux pour créer des profils. Oui
Un site Web de commerce électronique affiche des publicités pour des produits ou services spécifiques qui permettent de créer un profil basé sur les articles consultés ou achetés sur le même site Web.
Magazine en ligne utilisant une liste de diffusion pour envoyer quotidiennement un message général à ses abonnés.
Non
Non