Pourquoi la coucher sur papier

Les règles implicites créent des «zones d'ambiguïté» où les comportements divergent selon les individus. Des règles explicites et partagées réduisent cette variance et créent une culture commune. En matière de LPD, une politique de sécurité documentée est aussi une preuve de votre diligence.

Structure recommandée pour une association suisse

1. Périmètre et objectifs — À qui s'applique la politique (comité, bénévoles actifs, prestataires) ?

2. Gestion des accès — Principe du moindre privilège (T42), 2FA obligatoire (T33), gestionnaire de mots de passe obligatoire (T32), procédure de révocation lors des départs.

3. Protection des données — Classification des données, règles de stockage et de transmission (T31), durées de conservation (T44).

4. Sécurité des appareils — Verrouillage automatique après 5 minutes, mises à jour automatiques activées, pas d'installation de logiciels non autorisés.

5. Sauvegardes — Règle 3-2-1 appliquée (T23), test de restauration annuel.

6. Utilisation de l'IA — Renvoi à la charte éthique IA (T40).

7. Réponse aux incidents — Renvoi au plan d'incidents (T43).

8. Conformité LPD — Référence au registre des traitements (T28) et procédure de notification (T27).

9. Sanctions — En accord avec vos statuts.

10. Révision — Annuelle ou après tout incident significatif.

Comment la faire vivre

Ce que vous ne devez pas faire

Copier-coller un modèle générique sans l'adapter. Une politique qui ne reflète pas vos pratiques réelles est pire qu'une absence de politique — elle crée une illusion de conformité qui peut aggraver votre responsabilité en cas d'incident.

Exercice pratique

À faire maintenant : rédigez la section «Gestion des accès» de votre politique en 30 minutes, à partir du T42. Une fois rédigée, faites-la valider par le comité lors de votre prochaine réunion.