Quand l'AIPD est-elle obligatoire ?

L'article 22 LPD impose une AIPD lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits fondamentaux des personnes. Concrètement :

Une association sportive qui gère des dossiers médicaux de ses athlètes est concernée. Un club culturel qui installe une caméra à l'entrée de ses locaux aussi.

La méthode en cinq étapes

1. Décrire le traitement : quelles données, pourquoi, par qui, avec quels outils ?

2. Évaluer la nécessité et la proportionnalité : pouvez-vous atteindre le même objectif avec moins de données ? La réponse est souvent oui.

3. Identifier les risques : accès non autorisé, divulgation, modification, perte définitive. Évaluez la probabilité et la gravité de chaque risque.

4. Définir les mesures : chiffrement, accès restreint, durée de conservation limitée, anonymisation.

5. Documenter et, si nécessaire, consulter le PFPDT : si les mesures ne suffisent pas à réduire le risque à un niveau acceptable, la consultation du PFPDT est obligatoire.

Le biais d'optimisme

Les individus — et les organisations — sous-estiment systématiquement leur propre vulnérabilité aux risques (biais d'optimisme, Weinstein, 1980). C'est pourquoi les AIPD ne sont pas réalisées : «Ça n'arrivera pas chez nous.» L'AIPD force une évaluation réaliste.

Ressources pratiques

Le PFPDT met à disposition un modèle d'AIPD gratuit sur edoeb.admin.ch. Le guide de la CNIL (autorité française) est techniquement plus détaillé et s'adapte bien au contexte suisse. Conservez l'AIPD avec votre registre des traitements — les deux forment le cœur de votre conformité LPD.

Exercice pratique

À faire maintenant : listez les traitements de votre association qui impliquent des données sensibles ou une surveillance. Pour chacun, posez-vous la question : «Si ces données étaient rendues publiques, quel serait l'impact sur les personnes concernées ?» Si la réponse est «significatif», une AIPD s'impose.