Retour aux actualitésRGPD pratique

    AIPD (analyse d'impact RGPD) : quand est-elle obligatoire et comment la réaliser ?

    13 min de lecture

    L'Analyse d'Impact relative à la Protection des Données (AIPD), aussi appelée PIA (Privacy Impact Assessment) dans les textes anglophones, est une obligation RGPD méconnue. Pourtant, son absence lors d'un contrôle CNIL ou d'une violation de données peut alourdir significativement la sanction. Ce guide répond aux deux questions essentielles : quand l'AIPD est-elle obligatoire ? Comment la réaliser correctement ?

    Qu'est-ce qu'une AIPD ?

    L'AIPD est un processus documenté d'évaluation des risques pour les droits et libertés des personnes concernées par un traitement de données personnelles. Elle est requise par l'article 35 du RGPD. Concrètement, une AIPD permet de : identifier et évaluer les risques liés au traitement (accès non autorisé, modification des données, perte de disponibilité), définir des mesures pour réduire ces risques à un niveau acceptable, et documenter le raisonnement du responsable de traitement.

    L'AIPD n'est pas une simple formalité administrative : c'est un outil de gestion des risques qui doit conduire à des décisions concrètes sur la conception et l'implémentation du traitement. Si l'analyse conclut à un risque résiduel élevé et que des mesures suffisantes ne peuvent être mises en place, le responsable de traitement doit consulter la CNIL avant de démarrer le traitement.

    Quand l'AIPD est-elle obligatoire ?

    L'article 35 du RGPD impose l'AIPD pour les traitements "susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques". Trois catégories sont explicitement mentionnées :

    1. Évaluation systématique et approfondie d'aspects personnels

    Traitements qui évaluent, analysent ou prédisent des aspects de la personnalité, du comportement ou des caractéristiques d'une personne, notamment par le profilage. Exemples : scoring de crédit automatisé, profilage marketing comportemental, évaluation de la performance professionnelle, analyse prédictive en ressources humaines.

    2. Traitement à grande échelle de données sensibles

    Traitement à grande échelle de données des catégories particulières (données de santé, génétiques, biométriques, origine raciale ou ethnique, opinions politiques, convictions religieuses, appartenance syndicale, orientation sexuelle) ou de données relatives à des condamnations pénales. Exemples : dossiers médicaux hospitaliers, données de géolocalisation d'une flotte de salariés, traitement RH incluant données syndicales.

    3. Surveillance systématique à grande échelle

    Surveillance, observation ou contrôle systématique d'une zone accessible au public à grande échelle. Exemples : vidéosurveillance intelligente avec analyse comportementale, suivi de localisation d'employés en temps réel, monitoring des communications des salariés à grande échelle.

    La liste CNIL des traitements à risque élevé

    La CNIL a publié une liste de 11 types de traitements pour lesquels une AIPD est systématiquement requise. Si votre traitement figure dans cette liste, l'AIPD est obligatoire sans qu'il soit nécessaire d'évaluer davantage les risques :

    • Traitements de données biométriques aux fins de reconnaissance des personnes
    • Traitements de données génétiques à des fins de diagnostic médical de masse
    • Traitements impliquant le profilage géographique couplé à d'autres données
    • Traitements de données de santé mis en œuvre par les établissements de santé
    • Traitements ayant pour finalité de surveiller de manière constante l'activité des employés
    • Traitements de données relatives aux infractions, condamnations pénales ou mesures de sûreté
    • Traitements portant sur des données collectées lors d'opérations de renseignement économique
    • Traitements d'alertes professionnelles (whistleblowing)
    • Traitements comportant l'utilisation d'interconnexion ou de mise en relation de plusieurs bases de données
    • Traitements de données de personnes vulnérables (mineurs, patients, personnes âgées)
    • Applications mobiles impliquant la collecte massive de données de comportement

    La règle des deux critères : si votre traitement répond à au moins deux des neuf critères définis dans les lignes directrices du CEPD (Comité Européen de la Protection des Données), l'AIPD est obligatoire même s'il ne figure pas dans la liste CNIL.

    Quand l'AIPD n'est-elle PAS obligatoire ?

    L'AIPD n'est pas requise si le traitement est similaire à un traitement déjà évalué (vous pouvez réutiliser l'AIPD existante avec les adaptations nécessaires), si le traitement figure dans la liste des exceptions CNIL des traitements à faible risque, ou si le traitement ne répond à aucun critère de risque élevé. Attention : l'absence d'obligation ne dispense pas d'évaluer les risques — elle signifie simplement qu'une AIPD formelle n'est pas exigée.

    Comment réaliser une AIPD en 4 étapes

    Étape 1 : Décrire le traitement

    Documentez précisément le traitement : nature des données collectées, finalités, catégories de personnes concernées, destinataires, durées de conservation, transferts hors UE. Cette description est la base de l'analyse. Elle doit être suffisamment précise pour permettre l'évaluation des risques — une description vague produit une AIPD inutilisable.

    Étape 2 : Évaluer la nécessité et la proportionnalité

    Vérifiez que le traitement est nécessaire à la finalité poursuivie (minimisation des données), que la base légale est appropriée (consentement, contrat, intérêt légitime, obligation légale…), que les droits des personnes peuvent être exercés effectivement (accès, rectification, effacement), et que les durées de conservation sont proportionnées.

    Étape 3 : Identifier et évaluer les risques

    Pour chaque type de risque (accès illégitime, modification non désirée, disparition de données), évaluez la vraisemblance et la gravité selon une matrice 3×3 ou 4×4. Les menaces à considérer : sources de menaces (hackers, concurrents, employés malveillants), supports concernés (bases de données, sauvegardes, interfaces), impacts potentiels sur les personnes (atteinte à la vie privée, discrimination, préjudice financier, physique, moral).

    Étape 4 : Mesures et décision

    Listez les mesures techniques et organisationnelles en place ou à mettre en place pour réduire les risques. Réévaluez les risques résiduels après mesures. Si le risque résiduel reste élevé malgré des mesures appropriées, consultez la CNIL avant de lancer le traitement (consultation préalable, article 36 RGPD). Si le risque résiduel est acceptable, le traitement peut démarrer avec la documentation de l'AIPD signée par le DPO et le responsable du traitement.

    L'outil CNIL PIA : la solution recommandée

    La CNIL propose un logiciel open source gratuit, "PIA", qui guide pas à pas la réalisation d'une AIPD conforme aux recommandations du CEPD. Téléchargeable sur le site CNIL, il permet de structurer l'analyse, évaluer les risques avec une méthodologie standardisée, générer un rapport PDF utilisable comme preuve de conformité, et partager l'AIPD avec les parties prenantes (DPO, DSI, DPD). C'est l'outil recommandé pour les PME et ETI qui souhaitent réaliser des AIPD en interne.

    Conséquences d'une AIPD manquante

    L'absence d'AIPD pour un traitement qui l'exigeait peut entraîner : une amende pouvant atteindre 10 M€ ou 2 % du CA mondial (même régime que la violation de l'article 32), une injonction de cesser le traitement en attendant la réalisation de l'AIPD, une aggravation de la sanction en cas de violation de données survenant sur ce traitement. La CNIL contrôle de plus en plus la réalisation et la qualité des AIPD lors de ses missions de vérification.

    L'AIPD doit également être mise à jour : dès que le traitement évolue significativement (nouvelles données, nouvelles finalités, nouveau sous-traitant), et en cas d'incident de sécurité touchant ce traitement.

    Accompagnement AIPD et conformité RGPD

    CyberConform accompagne les responsables de traitement dans la réalisation de leurs AIPD : description du traitement, analyse des risques, identification des mesures techniques et consultation CNIL si nécessaire. À partir de 2 500 € HT par AIPD.

    Articles recommandés

    Besoin d'accompagnement ?

    Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.

    Demander un diagnostic gratuit