Radar de risques selon l'annexe A du PFPDT : évaluer systématiquement les risques de protection des données

« Avons-nous besoin d'une analyse d'impact ? » Cette question est l'une des plus fréquentes — et la réponse est généralement : « Probablement pas, mais l'annexe A du guide PFPDT aide à le vérifier systématiquement. » L'annexe A est l'outil pratique qui ne joue pas un grand rôle dans la LPD elle-même, mais qui vaut de l'or au quotidien.

Ce qu'apporte l'annexe A

Le PFPDT a publié dans son guide sur l'analyse d'impact (AIPD) une annexe A décrivant une méthodologie structurée pour évaluer les risques de protection des données. La méthode combine quatre dimensions en un score global, fournissant une base objective pour la décision « AIPD oui ou non ».

Important : l'annexe A n'est pas obligatoire mais une recommandation. Qui l'utilise a un processus d'évaluation des risques défendable. Qui applique ses propres méthodes doit pouvoir les documenter de manière similairement structurée.

Les quatre dimensions de risque

1. Gravité de l'atteinte

À quel point le dommage pour une personne concernée serait-il grave si quelque chose tournait mal ? Échelle typique :

• Faible — effort mineur de restauration (par ex. spam newsletter)
• Moyenne — atteinte sensible (par ex. publicité non désirée)
• Élevée — atteinte substantielle (par ex. décision de crédit injuste)
• Très élevée — irréparable (par ex. divulgation publique de données de santé sensibles)

2. Probabilité

À quel point le dommage est-il probable ? Échelle :

• Très improbable — par ex. avec mesures de sécurité très fortes
• Improbable — sécurité standard, peu de surface d'attaque
• Possible — risque moyen
• Probable — vulnérabilités connues, atténuation incertaine
• Très probable — pas de mesures de protection, grande surface d'attaque

3. Nombre de personnes concernées

Combien de personnes seraient affectées ? Échelle :

• Peu (< 100)
• Moyen (100-10 000)
• Beaucoup (> 10 000)

4. Vulnérabilité particulière

Des personnes particulièrement vulnérables sont-elles concernées ? (par ex. enfants, patients, employés avec asymétrie envers l'entité de traitement)

• Non — utilisateurs adultes habituels
• Oui — enfants, patients, employés ou personnes en situation vulnérable

Calcul du score de risque

Le score est typiquement formé comme multiplication ou agrégation des quatre dimensions. Un modèle simple :

Risque = Gravité × Probabilité × Facteur-Nombre × Facteur-Vulnérabilité

Avec :

• Gravité : 1-4
• Probabilité : 1-5
• Nombre : 1 (peu), 2 (moyen), 3 (beaucoup)
• Vulnérabilité : 1 (non), 2 (oui)

Seuils :

• Score 1-12 : Risque faible, pas d'AIPD nécessaire
• Score 13-30 : Risque moyen, AIPD recommandée
• Score 31-120 : Risque élevé, AIPD obligatoire

Exemple : boutique PME avec marketing standard

Setup : boutique suisse, env. 5 000 visiteurs mensuels, Google Analytics, Meta Pixel, newsletter via Brevo.

Gravité : 1 (faible) — en cas de fuite de données de tracking cookie, l'atteinte individuelle serait faible.

Probabilité : 2 (improbable) — les outils sont des fournisseurs établis avec bonne sécurité.

Nombre : 1 (peu) — par mois seule une fraction est activement trackée.

Vulnérabilité : 1 (non) — utilisateurs standard.

Score : 1 × 2 × 1 × 1 = 2 → Risque faible, pas d'AIPD nécessaire.

Exemple : plateforme en ligne avec profilage

Setup : plateforme SaaS, calcul tarifaire automatique basé sur comportement utilisateur et données démographiques, 50 000 utilisateurs.

Gravité : 3 (élevée) — détermination tarifaire fausse peut apporter des désavantages financiers.

Probabilité : 3 (possible) — les algorithmes peuvent contenir un biais, n'a pas été testé.

Nombre : 3 (beaucoup) — plus de 10 000 personnes.

Vulnérabilité : 1 (non) — clients commerciaux.

Score : 3 × 3 × 3 × 1 = 27 → Risque moyen, AIPD recommandée. À probabilité supérieure : obligatoire.

Quand le PFPDT doit être consulté

Si l'AIPD montre que le risque ne peut être suffisamment réduit, le PFPDT doit être consulté préalablement (art. 23 LPD). En pratique c'est rarement le cas — généralement on trouve des mesures d'atténuation qui amortissent suffisamment le risque.

Mesures d'atténuation possibles :

• Minimisation des données — collecter moins de données
• Anonymisation/pseudonymisation — traiter les données pour qu'aucune identification ne soit possible
• Consentement — accord explicite comme légitimation supplémentaire
• Transparence — informer les personnes concernées et donner un choix
• Mesures de sécurité — chiffrement, contrôles d'accès, logs

Aiara et le radar de risques

Dans la phase 3 d'Aiara (prévue pour 2026), le radar de risques sera disponible comme fonction intégrée. Les PME suisses pourront alors procéder à une évaluation rapide par domaine et par outil utilisé — basée sur les quatre dimensions, avec recommandations automatiques de mesures d'atténuation. Qui utilise le radar régulièrement documente son évaluation des risques systématiquement et, lors d'un contrôle aléatoire du PFPDT, peut immédiatement présenter une appréciation justifiée.

D'ici là : prenez l'annexe A au sérieux, faites une évaluation écrite par opération de traitement pertinente et documentez le résultat avec date et responsables. Cela se fait en une demi-heure même sans outil.