Conformité Phases : P3 · P5 · P8 Compétences : C4 · E3
DPIA / Évaluation impact LPD
Définition
La DPIA (Data Protection Impact Assessment) est une évaluation structurée de l’impact d’un traitement de données personnelles sur la vie privée et les droits des personnes concernées. Elle est obligatoire en cas de traitement présentant un risque élevé (article 22 nLPD suisse, article 35 RGPD européen). Elle documente le traitement, évalue la nécessité et la proportionnalité, identifie les risques et les mesures d’atténuation, conclut sur le niveau de risque résiduel.
Pour l’AIBS, la DPIA constitue un volet structurant de la phase P5 lors de l’évaluation de faisabilité juridique. Elle alimente la compétence obligatoire C4 (vérifier la faisabilité d’une solution basée sur l’IA), évaluée à l’examen partie 1. La conduite de la DPIA elle-même incombe au DPO ; l’AIBS contribue par sa connaissance approfondie du projet (finalités, données, parties prenantes).
L’enjeu temporel est critique. Une DPIA conduite tardivement (en phase de déploiement) identifie des contraintes structurantes avec un coût d’adaptation très élevé. Une DPIA conduite en P5 permet d’intégrer ces contraintes dans la conception même de la solution.
Quand l’utiliser
À déclencher en phase P5 dès qu’un traitement présentant un risque élevé pour les personnes concernées est identifié. À actualiser à chaque évolution majeure du traitement (nouvelle source de données, nouvelle finalité, nouveau public).
Exemple visuel
Structure type d’une DPIA
1. Description du traitement
Finalités, parties prenantes, données traitées, durée, transferts, base légale
2. Évaluation de la nécessité et de la proportionnalité
La finalité justifie-t-elle le traitement ? Des alternatives moins intrusives existent-elles ?
3. Identification des risques pour les personnes concernées
Atteinte à la vie privée, discrimination, perte de contrôle, atteinte à la réputation
4. Mesures de réduction des risques
Mesures techniques (chiffrement, anonymisation, pseudonymisation) et organisationnelles (formation, gouvernance)
5. Conclusion et avis
Niveau de risque résiduel, recommandation de mise en œuvre, conditions
6. Consultation préalable
Si le risque résiduel reste élevé : consultation de l’autorité de protection des données
Exemple concret rempli
Exemple appliqué — DPIA pour un projet bancaire de scoring crédit
Une banque retail conduit une DPIA pour un projet de scoring automatisé d’aide à la décision sur les demandes de crédit hypothécaire. La DPIA est pilotée par le DPO avec contribution forte de l’AIBS et du juriste. Durée : 5 semaines.
Section 1 — Description du traitement Finalité : assister les chargés de crédit dans l’évaluation des demandes hypothécaires (montant > CHF 200k). Le système ne décide pas, il propose un score et une recommandation argumentée. Décision finale du chargé de crédit obligatoire. Données traitées : revenus déclarés, charges, patrimoine, historique de remboursement, données du bien immobilier, données démographiques (âge, état civil, profession). Personnes concernées : demandeurs de crédit hypothécaire, environ 4 200 par an. Durée de conservation : 10 ans après fin du contrat (exigence FINMA). Transferts : aucun transfert hors Suisse. Hébergement Switzerland Cloud. Base légale : exécution du contrat de crédit (article 31 nLPD).
Section 2 — Évaluation de la nécessité et de la proportionnalité Le scoring automatisé répond à un besoin opérationnel documenté (homogénéiser les évaluations, réduire les délais, libérer les chargés de crédit pour le conseil). Les alternatives évaluées : maintien de l’évaluation manuelle (jugée non viable à terme face aux volumes), externalisation (refusée pour souveraineté des données). La proportionnalité est jugée respectée : seules les données nécessaires sont traitées, pas de profilage psychologique ou comportemental hors champ.
Section 3 — Identification des risques Risque 1 — Discrimination involontaire : le modèle pourrait reproduire des biais historiques (par exemple sur les indépendants, les expatriés, certaines régions). Niveau : élevé. Risque 2 — Perte de contrôle pour le demandeur : compréhension limitée des critères de scoring. Niveau : modéré. Risque 3 — Données utilisées pour des finalités non prévues : risque de réutilisation interne. Niveau : modéré. Risque 4 — Compromission des données par cyber-attaque : sensibilité élevée des données financières. Niveau : élevé. Risque 5 — Erreurs de scoring affectant injustement un demandeur : niveau modéré (la décision reste humaine).
Section 4 — Mesures de réduction des risques Risque 1 (discrimination) : - Audit annuel des décisions par sous-populations (genre, âge, région, type d’activité) - Mécanisme de réclamation accessible et publié - Engagement de transparence : le demandeur est informé de l’usage d’un système d’aide à la décision - Documentation détaillée des choix techniques de modélisation
Risque 2 (perte de contrôle) : - Information claire au demandeur sur l’utilisation d’une aide à la décision - Droit d’obtenir une explication des facteurs principaux ayant contribué à la recommandation - Droit à l’intervention humaine garanti (la décision est humaine) - Droit à la portabilité et à la rectification respectés
Risque 3 (réutilisation) : - Cloisonnement strict des accès à la base de scoring - Audit logs sur tous les accès - Procédure de contrôle interne sur l’usage
Risque 4 (cyber) : - Chiffrement au repos et en transit - Authentification forte multi-facteurs - Tests d’intrusion semestriels - Plan de réponse à incident formalisé
Risque 5 (erreurs) : - Formation obligatoire des chargés de crédit sur les limites du système - Procédure de remontée des cas problématiques - Revue trimestrielle des écarts entre recommandation système et décision finale
Section 5 — Conclusion et avis Le DPO conclut à un niveau de risque résiduel acceptable sous condition de mise en œuvre intégrale des mesures décrites. Recommandation : mise en œuvre du projet avec audit de conformité à 6 mois après mise en production.
Section 6 — Consultation préalable Le risque résiduel étant maîtrisé par les mesures, la consultation préalable du Préposé fédéral à la protection des données n’est pas requise. Information préalable au comité de conformité interne et au comité de direction.
La DPIA finale (32 pages) est annexée au rapport de faisabilité et alimente le business case en phase P6.
Variantes
DPIA simplifiée pour traitements à risque modéré (10-15 pages). DPIA approfondie avec consultation préalable de l’autorité pour traitements à risque élevé non maîtrisé. DPIA sectorielle (santé, finance) avec adaptations spécifiques.
⚠ Piège classique
DPIA conduite tardivement, après la conception complète. Elle doit s’inscrire dans la phase P5 pour identifier les contraintes structurantes ; les ajustements de conception sont coûteux ultérieurement. Une DPIA en P7 ou P8 ne se substitue pas à une DPIA en P5 : elle vérifie la conformité d’une conception déjà figée, sans pouvoir l’orienter.
Clé de succès : Conduire AVEC le DPO, pas en autonomie.
Boussole AIBS — Manuel méthodologique non officiel pour le brevet fédéral d’AI Business Specialist.
Sources : Profil de qualification AIBS v15.04.2025 · Annexe directives FAAIB v1.01 · Document modules FAAIB v2.0 · Règlement examen v3.0 (mars 2026)