Données personnelles

Article 35 RGPD : quand et comment réaliser une AIPD

Article 35 RGPD : quand et comment réaliser une analyse d'impact (AIPD), méthodologie étape par étape, cas pratiques et liste CNIL des traitements à risque.

TD
Dr. Thiébaut Devergranne
2 mai 20268 min read

L’article 35 du RGPD impose la réalisation d’une Analyse d’Impact relative à la Protection des Données (AIPD) — souvent appelée DPIA — dès lors qu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Loin d’être une formalité administrative, l’AIPD est un outil de gouvernance qui structure la décision : faut-il lancer ce traitement, sous quelles conditions, avec quelles garanties ?

Cet article décompose l’article 35 en quatre questions opérationnelles : quand l’AIPD est-elle obligatoire, quelle méthodologie suivre, comment documenter le résultat, et quand consulter la CNIL. Il s’appuie sur la liste officielle CNIL des traitements pour lesquels une AIPD est requise (délibération 2018-327, mise à jour 2024) et sur la pratique d’enquête de l’autorité française.

Pour le cadre général de l’article 5 RGPD, voir notre guide article 5 RGPD. Pour le rôle du DPO dans l’AIPD, guide complet du DPO.

Points clés

  • L’AIPD est obligatoire avant tout traitement présentant un risque élevé pour les droits et libertés des personnes (article 35 §1 RGPD).
  • La CNIL publie une liste de neuf catégories de traitements pour lesquels l’AIPD est systématiquement requise (délibération 2018-327).
  • L’AIPD doit identifier les risques, évaluer leur probabilité et leur gravité, et documenter les mesures de mitigation.
  • Si le risque résiduel reste élevé après mesures de mitigation, le responsable doit consulter la CNIL avant de démarrer le traitement (article 36 RGPD).
  • Le défaut d’AIPD pour un traitement éligible expose à une amende administrative jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (article 83 §4).

1. Quand l’AIPD est-elle obligatoire ?

Le critère général de l’article 35 §1

L’article 35 §1 RGPD impose une AIPD lorsqu’un traitement, en particulier par le recours à de nouvelles technologies, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Trois facteurs cumulatifs déclenchent généralement l’obligation : la nature du traitement, son ampleur, et le contexte.

Les trois critères de l’article 35 §3

L’article 35 §3 liste trois cas où l’AIPD est explicitement obligatoire :

  1. Évaluation systématique et approfondie d’aspects personnels fondée sur un traitement automatisé, y compris le profilage, sur laquelle se fondent des décisions produisant des effets juridiques (par exemple : scoring de crédit, recrutement automatisé).
  2. Traitement à grande échelle de catégories particulières de données (santé, opinions politiques, données biométriques, etc.) ou de données relatives aux condamnations pénales.
  3. Surveillance systématique à grande échelle d’une zone accessible au public (vidéosurveillance étendue, par exemple).

La liste CNIL des neuf cas obligatoires

La CNIL a précisé ces critères dans sa délibération 2018-327. AIPD obligatoire pour :

  1. Traitements de données de santé mis en œuvre par les établissements de santé ou médico-sociaux.
  2. Traitements de données génétiques de personnes vulnérables.
  3. Traitements établissant des profils de personnes physiques à des fins de gestion RH.
  4. Traitements ayant pour finalité la surveillance constante de l’activité des employés.
  5. Traitements de gestion des alertes et signalements en matière sociale et sanitaire.
  6. Traitements de gestion des alertes professionnelles.
  7. Traitements ayant pour finalité le profilage permettant des décisions ayant des effets juridiques.
  8. Traitements mutualisés ayant pour finalité la détection de la fraude.
  9. Traitements de localisation à grande échelle (géolocalisation des employés, des véhicules d’entreprise, etc.).

Les exceptions (liste CNIL délibération 2019-118)

La CNIL publie également une liste des cas où l’AIPD n’est pas requise : traitements pour la gestion de la paie, traitements internes de gestion des fournisseurs et clients sans profilage, etc. Voir le site CNIL pour la liste complète.

2. Méthodologie de l’AIPD : six étapes

Étape 1 — Décrire le traitement

Documenter de manière factuelle :

  • Finalité du traitement
  • Catégories de données traitées
  • Catégories de personnes concernées
  • Destinataires des données (internes, sous-traitants, autorités)
  • Durée de conservation
  • Flux de données (cartographie)
  • Technologies utilisées

Étape 2 — Évaluer la nécessité et la proportionnalité

Pour chaque traitement, vérifier :

  • Base légale valable (article 6 RGPD) — voir notre guide base juridique RGPD.
  • Finalité déterminée, explicite et légitime.
  • Minimisation : seules les données nécessaires sont collectées.
  • Durée de conservation justifiée.
  • Information des personnes (articles 13-14).
  • Droits des personnes garantis (accès, rectification, effacement, opposition).

Étape 3 — Identifier les risques

Pour chaque catégorie de risque (accès illégitime, modification non désirée, disparition de données), évaluer :

  • Les sources du risque (humaines, techniques, organisationnelles)
  • Les événements redoutés (fuite, altération, perte)
  • Les impacts potentiels sur les personnes (atteinte à la vie privée, discrimination, fraude, perte financière)

La CNIL recommande la méthode EBIOS Risk Manager — voir notre guide EBIOS.

Étape 4 — Évaluer la gravité et la vraisemblance

Pour chaque risque identifié, scorer :

  • Gravité (négligeable, limitée, importante, maximale)
  • Vraisemblance (négligeable, limitée, importante, maximale)

Le risque résultant est la combinaison des deux. Un risque “important × important” ou “maximale × *” relève du risque élevé exigeant des mesures fortes.

Étape 5 — Identifier les mesures de mitigation

Mesures techniques typiques :

  • Chiffrement (en transit + au repos)
  • Pseudonymisation
  • Contrôle d’accès strict
  • Journalisation
  • Minimisation des données

Mesures organisationnelles :

  • Formation du personnel
  • Charte d’usage
  • Procédure de gestion des incidents
  • Contrats sous-traitants conformes à l’article 28 RGPD

Étape 6 — Documenter et valider

Le rapport AIPD doit être :

  • Approuvé par le responsable de traitement
  • Avis du DPO documenté
  • Avis des personnes concernées ou de leurs représentants recueilli (lorsque c’est approprié)
  • Conservé pendant toute la durée du traitement et 5 ans après

3. Quand consulter la CNIL ? (article 36)

L’article 36 RGPD impose la consultation préalable de la CNIL si après mesures de mitigation le risque résiduel reste élevé. Cas typiques :

  • Traitement de données sensibles à grande échelle sans pseudonymisation possible
  • Surveillance étendue de zones publiques
  • Profilage avec décisions automatisées sans intervention humaine

La CNIL dispose d’un délai de 8 semaines (prorogeable de 6 semaines) pour rendre son avis. Tant que cet avis n’est pas rendu, le traitement ne peut pas démarrer.

4. Cas pratique : AIPD pour un système de gestion RH avec scoring

Une entreprise de 800 salariés déploie un nouveau SIRH intégrant un module d’évaluation automatisée des performances et de scoring pour les promotions internes.

Étape 1 — Description : traitement RH classique + scoring algorithmique des employés. Étape 2 — Nécessité : base légale = exécution du contrat de travail + intérêt légitime ; minimisation OK. Étape 3 — Risques : discrimination indirecte par l’algorithme, biais d’apprentissage, opacité des décisions. Étape 4 — Évaluation : risque “important × important” sur la discrimination = risque élevé. Étape 5 — Mitigation : audit annuel des biais algorithmiques, intervention humaine systématique sur toute décision défavorable, droit de contestation transparent, formation des managers. Étape 6 — Documentation : rapport approuvé par le DRH, avis du DPO favorable sous réserve des mesures, dossier conservé.

Risque résiduel après mitigation : modéré. Pas de consultation CNIL nécessaire. Mais surveillance continue obligatoire, avec revue annuelle de l’AIPD.

5. Sanctions en cas d’AIPD manquante

Le défaut d’AIPD pour un traitement éligible expose à une amende administrative jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (article 83 §4 RGPD). Plusieurs sanctions notables :

  • Spartoo (CNIL 2020) : 250 000 € pour notamment l’absence d’AIPD sur l’enregistrement des appels téléphoniques.
  • Hydraroma (Garante italien 2021) : 750 000 € pour vidéosurveillance étendue sans AIPD.
  • Clearview AI (CNIL 2022) : 20 millions € pour traitement biométrique massif sans AIPD ni base légale.

6. Outillage : automatiser l’AIPD

Legiscope génère des AIPD assistées par IA à partir du registre des activités de traitement : pré-identification des risques, suggestion de mesures de mitigation alignées sur les guidances EDPB et CNIL, suivi des avis DPO, alerte de revue annuelle. Pour une PME traitant 10 à 30 traitements à risque, l’automatisation réduit chaque AIPD de 8-12 heures à 1-2 heures.

Pour aller plus loin : guide complet du DPO, registre des traitements RGPD, article 33 RGPD : notification de violation, base juridique RGPD.

Conclusion

L’article 35 RGPD n’impose pas une AIPD pour chaque traitement, mais pour ceux qui présentent un risque élevé. La méthodologie en six étapes — décrire, évaluer la nécessité, identifier les risques, scorer, mitiger, documenter — structure une décision qui serait sinon arbitraire. La CNIL contrôle régulièrement la qualité des AIPD lors de ses inspections : un dossier solide protège l’organisation, un dossier formel sans substance l’expose.

FAQ

Quand une AIPD est-elle obligatoire ?

L’article 35 §1 RGPD impose une AIPD pour tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. La CNIL publie une liste de neuf cas où l’AIPD est systématiquement requise (délibération 2018-327) : santé, profilage RH, surveillance d’employés, alertes professionnelles, etc.

Qui doit réaliser l’AIPD ?

Le responsable de traitement est responsable de la réalisation de l’AIPD. Il doit obtenir l’avis du DPO (article 35 §2) et, lorsque c’est approprié, recueillir l’avis des personnes concernées ou de leurs représentants. Les sous-traitants assistent le responsable mais ne peuvent pas réaliser l’AIPD à sa place.

Combien de temps prend une AIPD ?

Pour un traitement standard documenté : 8 à 16 heures de travail réparties sur 2-4 semaines. Pour un traitement complexe (IA, biométrie, surveillance étendue) : 30 à 80 heures sur 6-12 semaines, généralement avec l’appui d’un cabinet externe.

Faut-il refaire l’AIPD si le traitement évolue ?

Oui. L’AIPD doit être révisée si la nature, la portée, le contexte ou les finalités du traitement évoluent. La CNIL recommande une revue annuelle systématique pour les traitements à risque élevé.

Que risque-t-on en l’absence d’AIPD ?

L’article 83 §4 RGPD prévoit une amende administrative jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. La CNIL a sanctionné plusieurs entreprises sur ce fondement entre 2020 et 2025, avec un montant moyen autour de 100 000 à 500 000 € pour les manquements isolés.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →