Navigation

Analyse d’impact relative à la protection des données personnelles

Analyse d’impact relative à la protection des données personnelles

Les responsables du traitement des données, qu'ils soient privés ou publics, doivent effectuer une analyse d’impact relative à la protection des données personnelles (AIPD) lorsque le traitement de données personnelles est susceptible d’entraîner un risque potentiellement élevé pour la personnalité ou les droits fondamentaux des personnes concernées.

L'AIPD est un instrument qui permet aux responsables du traitement des données d'identifier, d'évaluer et de traiter les risques liés à la protection des données. La réglementation relative à l‘AIPD dans la nouvelle loi fédérale sur la protection des données totalement révisée est l'expression de l'approche basée sur les risques dans le droit de la protection des données, qui a également pour conséquence que l'obligation d'établir une AIPD n'existe qu'en cas de risque potentiellement élevé.

L'AIPD décrit le traitement de données envisagé, évalue les risques pour la personnalité ou les droits fondamentaux des personnes concernées et indique les mesures à prendre pour les protéger. Dans le cas d'un traitement de données déjà existant, le responsable examine et indique dans l‘AIPD les différences essentielles par rapport au traitement de données prévu. 

Un risque élevé peut résulter de l'utilisation de nouvelles technologies, de la nature, de l'étendue, des circonstances et de la finalité du traitement. La loi cite par exemple le traitement à grande échelle de données personnelles sensibles et la surveillance systématique de grandes parties du domaine public (cf. art. 22 LPD). Lors de l'évaluation et de la prise en compte des risques, il convient de faire la distinction entre ceux qui peuvent être influencés par des mesures de réduction des risques et ceux qui ne peuvent pas ou guère être influencés par des mesures. 

S'il résulte de l'AIPD que le traitement de données prévu présente un risque résiduel élevé pour la personnalité ou les droits fondamentaux des personnes concernées malgré les mesures prévues par le responsable du traitement, un avis du PFPDT doit être demandé. Une exception est faite pour les responsables privés s'ils ont consulté leur conseiller ou conseillère à la protection des données. 

L'établissement d'une AIPD ne dispense toutefois pas de l'obligation de respecter toutes les dispositions applicables en matière de protection des données (y compris au sens large, comme le secret de fonction).

Aide-mémoire concernant l’analyse d’impact relative à la protection des données personnelles visée aux art. 22 et 23 LPD (août 2023) (PDF, 254 kB, 04.09.2023)

Plus d'informations sur le site de l'Office fédéral de la justice (OFJ)n finden Sie auf der Website des Bundesamtes für Justiz (BJ)

Informations détaillées sur l'AIPD

Devoir d’informer

Le devoir d’informer garantit la transparence des traitements et contribue à renforcer les droits de la personne concernée.

Droit d’accès

Conformément à la loi fédérale sur la protection des données, toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.

Conseiller à la protection des données

Notification de conseillères et conseillers à la protection des données au PFPDT conformément à l'art. 10, al. 3 LPD pour les particuliers et à l'art. 10, al. 4 LPD pour les organes fédéraux.

Dispositions pénales

Aspects pénaux attachés aux violations des obligations instaurées par la LPD.

Webmaster
Dernière modification 01.09.2023

Début de la page