Par «automatisation», il faut entendre des «décisions individuelles automatisées». La machine prend une décision sur la base d’une évaluation des données personnelles dont elle dispose et qu’elle a apprises, ou que ce processus d’évaluation a été programmé par un être humain.

En ce qui concerne la sécurité des données (art. 8 nLPD), il convient de prendre des mesures visant à garantir une sécurité appropriée qui permette de protéger la confidentialité des données (aucun accès non autorisé), leur intégrité (exactitude et fiabilité) ainsi que leur disponibilité (accès aux données). Désormais, des paramètres de protection des données dès la conception et par défaut (privacy by design and default 2) sont requis (art. 7 al. 3 nLPD).

Dans la perspective d’un profilage, voire d’un profilage à haut risque, l’IP doit déterminer quels processus de données sont considérés comme automatisés dans le domaine des caisses de pension, car la protection des données doit être également assurée sur le plan technique.

Il s’agit, p. ex., des possibilités suivantes d’automatisation des processus (allègement de la tâche des collaboratrices ou collaborateurs lors du traitement de données: Robotic Process Automation [RPA]): 1) processus de réception des paiements, 2) processus d’entrée, 3) modification du salaire / du taux d’activité, 4) demande de rachat.

Lors de l’élaboration de certificats de prévoyance, il est conseillé de respecter le devoir d’informer selon l’art. 21

al. 4 nLPD et d’ajouter, p. ex., la mention «*Ce document a été généré automatiquement*» (circulaires de l’ASIP n° 130, p. 4, et n° 131, p. 9).