Données personnelles

Modèle AIPD RGPD : template gratuit et méthodologie CNIL

Modèle AIPD prêt à l'emploi conforme méthodologie CNIL : description, nécessité, risques, mesures. Avec exemple complet pour traitement RH avec scoring.

TD
Dr. Thiébaut Devergranne
9 mai 20269 min read

En une phrase. Une AIPD (Analyse d’Impact relative à la Protection des Données) est obligatoire avant tout traitement présentant un risque élevé pour les droits et libertés des personnes (article 35 RGPD). La CNIL recommande la méthode PIA en quatre étapes : description du traitement, évaluation de la nécessité et proportionnalité, identification et évaluation des risques, mesures de mitigation. Le défaut d’AIPD pour un traitement éligible expose à une amende administrative jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial.

Ce guide fournit un modèle AIPD prêt à l’emploi aligné sur la méthodologie CNIL et les guidelines EDPB. Pour le cadre légal général, voir notre guide article 35 RGPD. Pour les traitements concernés, liste CNIL des traitements obligatoires.

Points clés

  • Modèle AIPD en 4 sections principales : description, nécessité/proportionnalité, risques, mesures.
  • La CNIL met à disposition un logiciel gratuit “PIA” — utilisable, mais beaucoup d’organisations préfèrent un format texte.
  • L’AIPD doit être proportionnée au risque : un traitement complexe nécessite plus de profondeur qu’un traitement standard.
  • Avis du DPO obligatoire (article 35 §2). Avis des personnes concernées recommandé pour les traitements à grande échelle.
  • Si risque résiduel élevé après mesures : consultation préalable de la CNIL obligatoire (article 36).

1. Quand utiliser ce modèle ?

Ce modèle s’applique aux traitements répondant aux critères de l’article 35 §3 RGPD ou figurant dans la liste CNIL des traitements obligeant l’AIPD (délibération 2018-327) :

  • Évaluation systématique d’aspects personnels
  • Traitements de données sensibles à grande échelle
  • Surveillance d’espaces accessibles au public à grande échelle
  • Profilage avec décisions automatisées
  • Etc.

Pour les traitements ne dépassant pas ces seuils, une simple analyse de risque informelle suffit.

2. Modèle AIPD — Section 1 : Description du traitement

1.1 Identification du traitement
- Nom du traitement : [ex. Système de scoring RH pour promotions]
- Date de mise en œuvre prévue : [date]
- Numéro d'inscription au registre : [ROPA-XXX]

1.2 Acteurs
- Responsable de traitement : [Société, adresse, SIRET]
- DPO ou conseiller protection des données : [nom, contact]
- Sous-traitants impliqués : [nom, périmètre]

1.3 Finalité(s) du traitement
- Finalité principale : [description précise]
- Finalités secondaires : [le cas échéant]

1.4 Nature et catégories de données
- Données d'identification : [oui/non, types]
- Données de contact : [oui/non, types]
- Données professionnelles : [oui/non, types]
- Données sensibles (article 9) : [oui/non, types - si oui justification]
- Données comportementales : [oui/non, types]

1.5 Catégories de personnes concernées
- [Salariés / candidats / clients / usagers / mineurs / etc.]
- Volume estimé : [nombre]
- Présence de personnes vulnérables : [oui/non]

1.6 Cycle de vie des données
- Collecte : [source, moyen, fréquence]
- Stockage : [système, localisation, durée]
- Utilisation : [accès, traitements automatisés]
- Transmission : [destinataires internes et externes]
- Suppression : [délai, procédure]

1.7 Cartographie des flux
[Diagramme ou description : sources → systèmes → destinataires]

1.8 Technologies utilisées
- Plateformes : [SaaS / on-premise / hybride]
- Technologies sensibles : [IA / biométrie / IoT / blockchain / etc.]
- Recours à un sous-traitant cloud : [oui/non, où]

3. Modèle AIPD — Section 2 : Nécessité et proportionnalité

2.1 Base légale (article 6 RGPD)
- Base invoquée : [consentement / contrat / obligation légale /
                  intérêt légitime / mission de service public /
                  intérêts vitaux]
- Justification : [pourquoi cette base et pas une autre]
- Si intérêt légitime : test de mise en balance documenté ?
  voir notre guide [test de mise en balance](
  https://www.legiscope.com/blog/gdpr-legitimate-interest.html)

2.2 Base spécifique pour données sensibles (article 9)
- [le cas échéant : consentement explicite / nécessité
   sociale / motifs d'intérêt public / etc.]

2.3 Principes RGPD
- Limitation des finalités : [le traitement reste dans la finalité
                              déclarée ?]
- Minimisation des données : [pourquoi chaque catégorie est
                              nécessaire ?]
- Exactitude : [comment maintenir les données à jour ?]
- Limitation de conservation : [durée justifiée ?]
- Sécurité : [mesures appropriées ?]

2.4 Information des personnes (articles 13-14)
- Modalités : [politique de confidentialité, mention spécifique]
- Contenu : [conforme aux exigences des articles 13/14 ?]
- Accessibilité : [intelligible et facilement accessible ?]

2.5 Droits des personnes (articles 15-22)
- Droit d'accès : [procédure documentée]
- Droit de rectification : [procédure documentée]
- Droit d'effacement : [procédure et limites]
- Droit à la portabilité : [le cas échéant]
- Droit d'opposition : [procédure]
- Droit de ne pas faire l'objet d'une décision automatisée :
  [si applicable]

2.6 Recours à un sous-traitant
- Justification : [pourquoi un sous-traitant et pas en interne]
- Conformité du sous-traitant : [DPA signé, audit conduit]
- Voir : [modèle DPA Article 28](
  https://www.legiscope.com/blog/modele-dpa-rgpd-template.html)

4. Modèle AIPD — Section 3 : Risques

3.1 Identification des risques

Risque 1 : Accès illégitime aux données
- Sources possibles : [interne malveillant, externe, sous-traitant
                       défaillant, erreur humaine]
- Événements redoutés : [exfiltration, fuite publique]
- Impacts potentiels : [vie privée, fraude, discrimination,
                        atteinte à la réputation]

Risque 2 : Modification non désirée des données
- Sources : [erreur de saisie, manipulation, attaque cyber]
- Événements : [données erronées affectant des décisions]
- Impacts : [discrimination, perte financière]

Risque 3 : Perte ou indisponibilité des données
- Sources : [panne technique, ransomware, sabotage]
- Événements : [non-disponibilité, perte définitive]
- Impacts : [interruption des droits exercés par les personnes]

3.2 Évaluation de chaque risque

| Risque | Gravité | Vraisemblance | Niveau global |
|--------|---------|---------------|---------------|
| 1 - Accès illégitime | Important | Limitée | Important × Limitée |
| 2 - Modification | Important | Limitée | Important × Limitée |
| 3 - Indisponibilité | Limité | Limitée | Limité |

Échelle :
- Gravité : Négligeable / Limitée / Importante / Maximale
- Vraisemblance : Négligeable / Limitée / Importante / Maximale

Méthode de référence : EBIOS Risk Manager (recommandée par CNIL).

5. Modèle AIPD — Section 4 : Mesures de mitigation

4.1 Mesures techniques

Confidentialité :
- Chiffrement en transit (TLS 1.3)
- Chiffrement au repos (AES-256)
- Pseudonymisation [si applicable]
- Anonymisation des extractions analytiques

Intégrité :
- Journalisation des accès et modifications
- Sauvegardes journalières chiffrées
- Tests de restauration mensuels

Disponibilité :
- Architecture redondante
- RTO : [délai] / RPO : [délai]
- Plan de continuité d'activité testé annuellement

Authentification et accès :
- MFA obligatoire pour accès admin
- Principe du moindre privilège
- Revue trimestrielle des droits d'accès

4.2 Mesures organisationnelles

Gouvernance :
- Politique de sécurité validée par la direction
- DPO impliqué dans toutes les évolutions
- Comité de pilotage trimestriel

Formation :
- Formation initiale obligatoire à l'embauche
- Sensibilisation annuelle
- Traçabilité (e-learning ou feuilles de signature)

Gestion des sous-traitants :
- DPA signé avant tout traitement
- Audit annuel pour les sous-traitants critiques
  (voir [checklist Article 28](
   https://www.legiscope.com/blog/checklist-article-28-rgpd-audit-sous-traitants.html))

Gestion des incidents :
- Procédure de notification de violation documentée
- Délai 72h respecté (article 33 RGPD)
- Voir [article 33 RGPD](
  https://www.legiscope.com/blog/article-33-rgpd.html)

4.3 Risque résiduel après mesures

| Risque | Niveau initial | Niveau résiduel |
|--------|----------------|------------------|
| 1 - Accès illégitime | Important × Limitée | Important × Négligeable |
| 2 - Modification | Important × Limitée | Important × Négligeable |
| 3 - Indisponibilité | Limité | Négligeable |

Conclusion : risque résiduel acceptable. Pas de consultation
préalable CNIL nécessaire (article 36 non applicable).

6. Modèle AIPD — Section 5 : Approbation et suivi

5.1 Avis du DPO (article 35 §2 RGPD)
- Avis : [favorable / favorable sous réserve / défavorable]
- Réserves éventuelles : [détailler]
- Nom et date : [DPO, date]

5.2 Avis des personnes concernées (le cas échéant)
- Modalités de consultation : [enquête, comité d'entreprise,
                              représentation, etc.]
- Synthèse des retours :

5.3 Approbation
- Approbé par : [responsable de traitement]
- Date :
- Signature :

5.4 Suivi
- Date de revue planifiée : [annuelle]
- Conditions déclenchant une revue anticipée :
  - Modification du traitement
  - Nouveau sous-traitant
  - Nouvelle technologie
  - Incident de sécurité
  - Mise à jour réglementaire pertinente

7. Exemple complet : AIPD pour SIRH avec scoring

1. DESCRIPTION
- Traitement : Système d'évaluation automatisée pour promotions internes
- RT : Acme SAS (800 salariés)
- DPO : dpo@acme.com
- Finalité : Identifier les profils éligibles aux promotions selon
  critères performance, ancienneté, formation
- Données : identité, fonction, évaluations annuelles, formations,
  ancienneté, salaire actuel
- Volume : 800 salariés actifs

2. NÉCESSITÉ ET PROPORTIONNALITÉ
- Base légale : article 6(1)(b) (exécution du contrat de travail) +
  article 6(1)(f) (intérêt légitime) avec test de mise en balance
- Pas de données sensibles
- Information : politique RH interne mise à jour, communication
  spécifique sur le traitement
- Droits : portail employé pour accès, rectification, opposition

3. RISQUES
- Discrimination algorithmique : Important × Importante
- Opacité des décisions : Important × Importante
- Accès illégitime aux scores : Important × Limitée

4. MESURES
- Audit annuel des biais algorithmiques par cabinet externe
- Intervention humaine systématique sur toute décision défavorable
- Droit de contestation transparent avec recours hiérarchique
- Formation des managers sur l'usage de l'outil
- Pseudonymisation des données dans les analyses agrégées
- Journalisation complète des décisions automatiques

Risque résiduel après mesures : modéré. Pas de consultation CNIL.

5. APPROBATION
- Avis DPO : favorable sous réserve d'audit annuel des biais
- Approuvé par : DRH, Directeur Général
- Revue : annuelle, prochaine en mai 2027

8. Outils CNIL et alternatives

Logiciel PIA de la CNIL

Gratuit, téléchargeable depuis le site CNIL. Avantages : conforme méthodologie CNIL par construction, exports PDF. Inconvénients : interface vieillissante, exports peu modifiables, pas de versionning multi-utilisateurs.

Solutions intégrées

Legiscope génère des AIPD assistées par IA à partir du registre des traitements : pré-identification des risques selon catégorie de traitement, suggestion de mesures de mitigation alignées sur EDPB et CNIL, suivi des avis DPO, alerte de revue annuelle. Pour une PME avec 10-30 traitements à risque, l’automatisation réduit chaque AIPD de 8-12 heures à 1-2 heures.

Pour aller plus loin : article 35 RGPD complet, registre des traitements RGPD, guide complet du DPO, base juridique RGPD.

Conclusion

Une AIPD bien conduite n’est pas un document de plus dans le classeur conformité — c’est l’outil qui transforme une décision opérationnelle (lancer un traitement) en un arbitrage informé. Le modèle ci-dessus fournit la structure ; le contenu de chaque section dépend de la nature et de l’ampleur du traitement. Pour un traitement standard, 8-16 heures de travail. Pour un traitement complexe (IA, biométrie), 30-80 heures avec appui externe.

FAQ

L’AIPD est-elle obligatoire pour tous les traitements ?

Non. Elle est obligatoire pour les traitements présentant un risque élevé pour les droits et libertés des personnes (article 35 §1 RGPD) ou figurant dans la liste CNIL des cas où l’AIPD est requise (délibération 2018-327).

Qui doit réaliser l’AIPD ?

Le responsable de traitement, avec l’appui du DPO. L’avis du DPO est obligatoire (article 35 §2). Pour les traitements complexes, le recours à un cabinet externe spécialisé est fréquent.

Quelle méthodologie utiliser ?

La CNIL recommande sa méthode “PIA” (4 étapes : description, nécessité/proportionnalité, risques, mesures) ainsi que la méthode EBIOS Risk Manager pour l’analyse de risque. L’EDPB a aussi publié des guidelines compatibles. Le choix dépend de la culture de l’organisation.

Combien de temps prend une AIPD ?

Pour un traitement standard documenté : 8 à 16 heures sur 2-4 semaines. Pour un traitement complexe (IA, biométrie, surveillance étendue) : 30 à 80 heures sur 6-12 semaines.

Quand consulter la CNIL avant le démarrage ?

Si l’AIPD montre que le risque résiduel reste élevé malgré les mesures de mitigation (article 36 RGPD). La CNIL dispose de 8 semaines pour rendre son avis. Tant que cet avis n’est pas rendu, le traitement ne peut pas démarrer.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →