• Association Suisse des
  • Institutions de Prévoyance
  • pour une prévoyance
  • professionnelle solide
  • Processus de traitement des données automatisé
Question
Quels processus de traitement de données sont con-sidérés comme automatisés dans le domaine des caisses de pension?
Mise en œuvre

Par «automatisation», il faut entendre des «décisions individuelles automatisées». La machine prend une décision sur la base d’une évaluation des données personnelles dont elle dispose et qu’elle a apprises, ou que ce processus d’évaluation a été programmé par un être humain.

En ce qui concerne la sécurité des données (art. 8 nLPD), il convient de prendre des mesures visant à garantir une sécurité appropriée qui permette de protéger la confidentialité des données (aucun accès non autorisé), leur intégrité (exactitude et fiabilité) ainsi que leur disponibilité (accès aux données). Désormais, des paramètres de protection des données dès la conception et par défaut (privacy by design and default 2) sont requis (art. 7 al. 3 nLPD).

Dans la perspective d’un profilage, voire d’un profilage à haut risque, l’IP doit déterminer quels processus de données sont considérés comme automatisés dans le domaine des caisses de pension, car la protection des données doit être également assurée sur le plan technique.

Il s’agit, p. ex., des possibilités suivantes d’automatisation des processus (allègement de la tâche des collaboratrices ou collaborateurs lors du traitement de données: Robotic Process Automation [RPA]): 1) processus de réception des paiements, 2) processus d’entrée, 3) modification du salaire / du taux d’activité, 4) demande de rachat.

Lors de l’élaboration de certificats de prévoyance, il est conseillé de respecter le devoir d’informer selon l’art. 21

al. 4 nLPD et d’ajouter, p. ex., la mention «*Ce document a été généré automatiquement*» (circulaires de l’ASIP n° 130, p. 4, et n° 131, p. 9).

[1] La protection des données dès la conception (privacy by design) inclut l’obligation de concevoir les processus et les projets de manière à ce que le respect de la protection des données soit pris en compte dès le début. Protéger les données par défaut (privacy by default) consiste à garantir, au moyen de paramètres par défaut appropriés que le traitement des données personnelles se limitera au minimum nécessaire pour l’utilisation prévue, pour autant que la personne concernée n’en décide autrement.

Retour à la page d'accueil