Données personnelles

Analyse d'impact RGPD (AIPD) : méthodologie et exemples

L'analyse d'impact (AIPD) est obligatoire pour les traitements à risque élevé. Méthodologie CNIL PIA, contenu minimal Art. 35, exemples pratiques et consultation préalable.

TD
Dr. Thiébaut Devergranne
12 avril 20268 min read

L’analyse d’impact RGPD (AIPD ou DPIA en anglais) est l’une des obligations les plus structurantes du RGPD. L’Art. 35 impose au responsable de traitement de réaliser cette analyse avant tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. La CNIL a publié une liste de 14 types de traitements nécessitant systématiquement une AIPD et propose un outil gratuit (PIA) pour en faciliter la réalisation.

Points Clés

  • L’Art. 35 RGPD impose une analyse d’impact RGPD avant la mise en oeuvre de tout traitement présentant un risque élevé pour les droits et libertés des personnes.
  • La CNIL a publié une liste de 14 types de traitements pour lesquels une AIPD est obligatoire (délibération n°2018-327 du 11 octobre 2018).
  • Le contenu minimal de l’AIPD comprend : description du traitement, évaluation de la nécessité et de la proportionnalité, analyse des risques et mesures d’atténuation (Art. 35(7) RGPD).
  • La consultation préalable de l’autorité de contrôle (Art. 36 RGPD) est obligatoire si le risque résiduel reste élevé après les mesures d’atténuation.
  • L’absence d’AIPD lorsqu’elle est requise constitue un manquement sanctionnable : la CNIL a infligé des amendes significatives pour ce motif.

Quand une analyse d’impact RGPD est obligatoire

Critère général : Art. 35(1) RGPD

L’Art. 35(1) RGPD dispose :

« Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. »

Cas systématiquement visés : Art. 35(3) RGPD

Le RGPD identifie trois situations nécessitant systématiquement une AIPD :

a) Évaluation systématique et approfondie d’aspects personnels fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques ou similaires.

b) Traitement à grande échelle de catégories particulières de données (Art. 9 RGPD) ou de données relatives aux condamnations pénales (Art. 10 RGPD).

c) Surveillance systématique à grande échelle d’une zone accessible au public (vidéosurveillance, tracking Wi-Fi).

Liste CNIL des 14 traitements nécessitant une AIPD

La CNIL a adopté par délibération n°2018-327 du 11 octobre 2018 une liste de traitements pour lesquels l’AIPD est requise, en application de l’Art. 35(4) RGPD. Parmi les principaux :

  1. Traitements de données de santé mis en oeuvre par les établissements de santé pour la prise en charge des personnes
  2. Traitements portant sur des données génétiques de personnes dites « vulnérables »
  3. Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines
  4. Traitements de surveillance systématique des activités des employés
  5. Traitements de gestion des alertes et des signalements (lanceurs d’alerte)
  6. Traitements de données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre
  7. Traitements impliquant le profilage de personnes pouvant conduire à leur exclusion du bénéfice d’un contrat
  8. Traitements mutualisés de manquements contractuels
  9. Traitements de données biométriques aux fins de contrôle d’accès
  10. Instruction des demandes et gestion des logements sociaux

Critères du CEPD (Lignes directrices WP 248)

Le CEPD (ex-Groupe de travail Article 29) a établi 9 critères pour déterminer si un traitement est susceptible d’engendrer un risque élevé. Lorsque deux critères ou plus sont réunis, une AIPD est en principe nécessaire :

  1. Évaluation/scoring
  2. Prise de décision automatisée avec effet juridique
  3. Surveillance systématique
  4. Données sensibles ou à caractère hautement personnel
  5. Traitement à grande échelle
  6. Croisement de jeux de données
  7. Données relatives à des personnes vulnérables
  8. Usage innovant ou application de nouvelles solutions technologiques
  9. Transfert de données hors UE

Contenu minimal de l’AIPD : Art. 35(7) RGPD

L’Art. 35(7) RGPD fixe le contenu minimal obligatoire :

a) Description systématique du traitement et de ses finalités, y compris l’intérêt légitime poursuivi par le responsable de traitement.

b) Évaluation de la nécessité et de la proportionnalité du traitement au regard des finalités. Cela implique de démontrer que le traitement est indispensable pour atteindre l’objectif et qu’il n’existe pas de moyen moins intrusif.

c) Évaluation des risques pour les droits et libertés des personnes concernées, en termes de gravité et de probabilité.

d) Mesures envisagées pour faire face aux risques, y compris les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données personnelles et à apporter la preuve de la conformité au RGPD.

Méthodologie PIA de la CNIL

La CNIL a développé une méthodologie en quatre étapes et un outil logiciel gratuit (PIA) pour réaliser l’AIPD :

Étape 1 : Contexte du traitement

Décrire le traitement : nature, portée, contexte, finalités, données traitées, supports, flux de données, acteurs impliqués. Cette étape correspond à la cartographie complète du traitement.

Étape 2 : Principes fondamentaux

Évaluer la conformité aux principes du RGPD : finalité déterminée et légitime, base juridique, minimisation des données, exactitude, limitation de la conservation, information des personnes, exercice des droits, transferts internationaux.

Étape 3 : Risques

Identifier les sources de risques (humaines, techniques, matérielles), les événements redoutés (accès non autorisé, modification non souhaitée, disparition des données) et évaluer leur gravité et leur vraisemblance.

La CNIL utilise une matrice de risque croisant gravité (négligeable, limitée, importante, maximale) et vraisemblance (négligeable, limitée, importante, maximale) pour obtenir un niveau de risque global.

Étape 4 : Validation

Formuler les mesures correctrices pour ramener chaque risque à un niveau acceptable. Documenter les risques résiduels. Si le risque résiduel reste élevé, la consultation préalable de la CNIL est obligatoire (Art. 36 RGPD).

Legiscope intègre la méthodologie PIA et génère automatiquement la structure de l’AIPD à partir des informations du registre des traitements, avec un scoring de risque assisté par IA.

Consultation préalable : Art. 36 RGPD

L’Art. 36(1) RGPD impose au responsable de traitement de consulter l’autorité de contrôle avant de procéder au traitement lorsque l’AIPD indique que le traitement présenterait un risque élevé si le responsable ne prenait pas de mesures pour atténuer le risque.

En pratique, la consultation préalable est le mécanisme de dernier recours : elle intervient lorsque le responsable de traitement a pris toutes les mesures possibles mais que le risque résiduel demeure élevé.

La CNIL dispose d’un délai de huit semaines pour répondre (prolongeable de six semaines en cas de complexité). Elle peut autoriser le traitement, le conditionner ou l’interdire.

Sanctions pour absence d’AIPD

CNIL, Délibération n°SAN-2021-003 du 12 janvier 2021 : la société Clearview AI a été mise en demeure de cesser la collecte de photographies sans avoir réalisé d’AIPD, avant d’être sanctionnée de 20 millions d’euros en 2022.

AEPD (Espagne), 2020 : La Liga a reçu une amende de 250 000 euros pour avoir déployé une fonctionnalité de détection de fraude audiovisuelle (utilisant le microphone et le GPS des smartphones) sans réaliser d’AIPD.

APD (Belgique), 2021 : Brussels Airlines a été sanctionnée de 100 000 euros pour l’absence d’AIPD sur un traitement de données de passagers à des fins de sûreté.

Le montant maximal des sanctions pour manquement à l’Art. 35 RGPD atteint 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (Art. 83(4)(a) RGPD).

Erreurs fréquentes à éviter

Réaliser l’AIPD après le déploiement : l’Art. 35 est explicite – l’AIPD doit être réalisée avant le traitement. Une AIPD rétroactive ne satisfait pas l’obligation, même si elle identifie et corrige les risques.

Se limiter à la sécurité informatique : l’AIPD ne se réduit pas à un audit de sécurité. Elle couvre l’ensemble des risques pour les droits et libertés : discrimination, perte de contrôle des données, atteinte à la réputation, préjudice financier.

Ne pas mettre à jour l’AIPD : l’Art. 35(11) RGPD impose un réexamen lorsque le niveau de risque évolue, notamment en cas de modification du traitement, de changement technologique ou de nouvelle menace identifiée.

Omettre la consultation des parties prenantes : l’Art. 35(9) RGPD prévoit que l’avis des personnes concernées ou de leurs représentants doit être recueilli « le cas échéant ». Ne pas documenter cette consultation (ou l’impossibilité de la réaliser) est une lacune fréquente.

FAQ

L’AIPD est-elle obligatoire pour tous les traitements ?

Non. L’AIPD n’est requise que pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés. En pratique, la CNIL a publié une liste positive (14 types de traitements nécessitant une AIPD) et une liste négative (traitements dispensés). En cas de doute, le CEPD recommande de réaliser l’AIPD par précaution.

Peut-on utiliser l’outil PIA de la CNIL pour une organisation hors France ?

Oui. L’outil PIA est gratuit et open source. Il implémente la méthodologie du CEPD (Lignes directrices WP 248), qui est applicable dans toute l’Union européenne. Les organisations dans d’autres États membres peuvent l’utiliser et l’adapter à leur contexte national.

Faut-il publier l’AIPD ?

L’Art. 35 RGPD n’impose pas la publication de l’AIPD. Cependant, le CEPD recommande de publier au moins un résumé, en particulier lorsque le traitement concerne un nombre important de personnes (services publics, applications grand public). La CNIL encourage cette transparence comme bonne pratique.

Quelle différence entre AIPD et audit de sécurité ?

L’audit de sécurité évalue les mesures techniques de protection des systèmes d’information. L’AIPD va plus loin : elle analyse la nécessité et la proportionnalité du traitement, évalue les risques pour les droits et libertés des personnes (pas uniquement les risques informatiques) et propose des mesures couvrant les aspects juridiques, organisationnels et techniques. Un audit de sécurité peut alimenter l’étape 3 de l’AIPD, mais ne la remplace pas.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

Continue reading

Articles connexes

Article 28 of the GDPR: Obligations Imposed on Processors
Personal Data

Article 28 of the GDPR: Obligations Imposed on Processors

Best GDPR Compliance Software for SMEs (2026)
Data Privacy

Best GDPR Compliance Software for SMEs (2026)

Consent Management Platforms Compared (2026)
Data Privacy

Consent Management Platforms Compared (2026)

Cookie Audit: How to Map Your Website's Cookies
Data Privacy

Cookie Audit: How to Map Your Website's Cookies

Cookie Banner Compliance: What Actually Meets the Law
Data Privacy

Cookie Banner Compliance: What Actually Meets the Law

Cookie Consent Under GDPR and ePrivacy: Complete Guide
Data Privacy

Cookie Consent Under GDPR and ePrivacy: Complete Guide