L'analyse d'impact relative à la protection des données (AIPD), aussi appelée DPIA en anglais (Data Protection Impact Assessment), est un outil clé du RGPD. Prévue par l'article 35, elle permet d'identifier et de réduire les risques liés aux traitements de données personnelles.
L'AIPD est une étude systématique prévue par l'article 35 du RGPD qui vise à évaluer la nécessité, la proportionnalité et les risques d'un traitement de données personnelles pour les droits et libertés des personnes concernées.
Concrètement, l'AIPD est un processus documenté qui oblige le responsable de traitement à se poser les bonnes questions avant de mettre en œuvre un traitement potentiellement risqué. Elle ne se limite pas à un simple formulaire : c'est une démarche d'analyse approfondie qui mobilise le DPO, les équipes métier et les responsables techniques.
En anglais, on parle de DPIA (Data Protection Impact Assessment). Les deux termes désignent exactement la même obligation légale. La CNIL utilise l'acronyme AIPD (ou PIA dans son logiciel open source), tandis que le texte du RGPD en anglais utilise DPIA.
L'objectif principal de l'AIPD est double : protéger les personnes dont les données sont traitées en identifiant les risques en amont, et démontrer la conformité du responsable de traitement au principe d'accountability (responsabilisation) inscrit dans le RGPD.
L'article 35 du RGPD impose l'AIPD lorsqu'un traitement est « susceptible d'engendrer un risque élevé » pour les droits et libertés des personnes. Trois cas sont explicitement cités, complétés par les 9 critères du CEPD repris par la CNIL.
Tout traitement impliquant une évaluation systématique et approfondie d'aspects personnels, fondée sur un traitement automatisé (y compris le profilage), et sur la base de laquelle sont prises des décisions produisant des effets juridiques ou affectant significativement la personne concernée.
Tout traitement à grande échelle de catégories particulières de données (santé, biométrie, opinions politiques, religion, orientation sexuelle, données génétiques) ou de données relatives aux condamnations pénales et infractions.
La surveillance systématique à grande échelle d'une zone accessible au public. Cela couvre notamment la vidéoprotection dans les lieux publics, les centres commerciaux ou les transports en commun.
Le Comité européen de la protection des données (CEPD) a défini 9 critères permettant de déterminer si un traitement nécessite une AIPD. Dès que votre traitement remplit au moins 2 de ces critères, l'AIPD est en principe obligatoire :
La CNIL publie également une liste de traitements pour lesquels l'AIPD est obligatoire (délibération n° 2018-327) et une liste de traitements pour lesquels elle n'est pas nécessaire. Consultez ces listes pour lever toute ambiguïté sur vos obligations RGPD.
La méthodologie recommandée par la CNIL et le CEPD structure l'AIPD en quatre phases successives. Chacune est indispensable pour obtenir une analyse complète et exploitable.
Décrivez de manière détaillée le traitement envisagé : nature des données collectées, finalités poursuivies, catégories de personnes concernées, destinataires, durées de conservation, flux de données et périmètre géographique. Cette description doit être suffisamment précise pour permettre l'évaluation des risques. Incluez également les moyens techniques utilisés (logiciels, hébergement, interconnexions).
Vérifiez que le traitement est nécessaire au regard de la finalité poursuivie et que les données collectées sont proportionnées. Identifiez la base légale (consentement, contrat, intérêt légitime...), assurez-vous que les durées de conservation sont justifiées, et confirmez que les personnes sont correctement informées et peuvent exercer leurs droits.
Identifiez les risques pour les droits et libertés des personnes concernées. Pour chaque risque, évaluez sa gravité (impact sur la personne) et sa vraisemblance (probabilité de survenance). Les risques classiques incluent : accès non autorisé aux données, modification illégitime, disparition des données, réidentification de données pseudonymisées, discrimination, atteinte à la réputation.
Définissez les mesures techniques et organisationnelles destinées à réduire les risques identifiés à un niveau acceptable : chiffrement, pseudonymisation, contrôle d'accès, journalisation, minimisation des données, formation du personnel, clauses contractuelles avec les sous-traitants. Après application de ces mesures, évaluez le risque résiduel. Si celui-ci reste élevé, une consultation de la CNIL est nécessaire.
L'article 35(7) du RGPD définit le contenu minimal de toute AIPD. Voici les éléments qui doivent impérativement y figurer.
Nature des données, catégories de personnes concernées, opérations de traitement envisagées, actifs support (matériels, logiciels, réseaux) et flux de données.
Les objectifs précis du traitement, la base légale retenue (article 6 du RGPD), et la justification de la nécessité du traitement au regard de ces finalités.
Démonstration que les données collectées sont adéquates, pertinentes et limitées à ce qui est nécessaire. Justification des durées de conservation et des transferts éventuels.
Cartographie des risques pour les droits et libertés des personnes, avec pour chacun la gravité et la vraisemblance estimées, ainsi que les sources de risques (humaines, techniques, extérieures).
Les mesures techniques (chiffrement, contrôle d'accès, sauvegardes, pseudonymisation) et organisationnelles (politique de sécurité, formation, gestion des habilitations) mises en place.
L'avis du Délégué à la Protection des Données doit être recueilli et documenté. Si vous n'avez pas de DPO, documentez qui a réalisé l'analyse et avec quelle expertise.
L'article 36 du RGPD prévoit une obligation de consultation préalable de l'autorité de contrôle (la CNIL en France) lorsque l'AIPD révèle un risque résiduel élevé que le responsable de traitement ne parvient pas à atténuer par des mesures appropriées.
Concrètement, si après avoir appliqué toutes les mesures de sécurité identifiées dans votre AIPD, le risque pour les personnes concernées reste élevé, vous devez soumettre votre AIPD à la CNIL avant de démarrer le traitement. La CNIL dispose d'un délai de 8 semaines (renouvelable une fois) pour rendre son avis.
La CNIL peut recommander des mesures supplémentaires, demander des modifications du traitement, voire interdire celui-ci si les risques sont jugés disproportionnés. Cette procédure est distincte de la plainte : il s'agit d'une démarche proactive du responsable de traitement.
« La consultation préalable n'est pas un aveu de faiblesse. C'est une preuve de maturité et de responsabilisation face aux risques inhérents à certains traitements. »
En pratique, les consultations préalables restent rares. La plupart des AIPD aboutissent à un risque résiduel acceptable grâce aux mesures d'atténuation. Mais il est essentiel de connaître cette obligation pour les cas limites. Un logiciel RGPD comme Dativo vous aide à structurer votre AIPD et à évaluer objectivement le niveau de risque résiduel.
L'AIPD (Analyse d'Impact relative à la Protection des Données) est une étude prévue par l'article 35 du RGPD. Elle est obligatoire lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, notamment en cas de profilage systématique, de traitement à grande échelle de données sensibles ou de vidéosurveillance à grande échelle. La CNIL recommande de la réaliser dès que 2 des 9 critères du CEPD sont remplis.
L'AIPD est réalisée sous la responsabilité du responsable de traitement, avec l'appui du DPO lorsqu'il en a été désigné un. Le DPO doit être consulté et son avis documenté. Les équipes métier concernées et la DSI sont également impliquées dans la démarche pour apporter leur expertise opérationnelle et technique.
Les 9 critères du CEPD sont : évaluation ou scoring, décision automatisée avec effet juridique, surveillance systématique, données sensibles ou hautement personnelles, traitement à grande échelle, croisement de données, personnes vulnérables, usage innovant de technologies, et exclusion d'un droit ou d'un contrat. Si au moins 2 critères sont remplis, l'AIPD est en principe obligatoire.
Uniquement si le risque résiduel reste élevé après application des mesures d'atténuation. Dans ce cas, l'article 36 du RGPD impose de consulter la CNIL avant de mettre en œuvre le traitement. La CNIL dispose de 8 semaines pour rendre son avis. En pratique, la majorité des AIPD aboutissent à un risque acceptable sans nécessiter cette consultation.
L'AIPD doit être révisée dès qu'un changement significatif intervient dans le traitement : nouvelle finalité, nouvelles données collectées, nouveau sous-traitant, évolution technologique. Le CEPD recommande une revue au moins tous les 3 ans, même en l'absence de changement, pour s'assurer que l'analyse reste pertinente face à l'évolution des menaces.
Dativo vous guide pas à pas dans la réalisation de vos analyses d'impact : description du traitement, évaluation des risques, mesures d'atténuation et documentation conforme aux exigences de la CNIL.
Essayer Dativo gratuitement