AIPD : guide complet analyse d'impact RGPD (2026)

L’AIPD est probablement l’obligation du RGPD qui génère le plus de confusion en pratique. En plus de vingt ans de conseil en protection des données, j’ai accompagné des dizaines d’organisations dans la réalisation de leurs analyses d’impact — et le constat est toujours le même : entre le texte du règlement et la réalité opérationnelle, le fossé est considérable. La CNIL a d’ailleurs sanctionné des organismes spécifiquement pour l’absence ou l’insuffisance de leur AIPD, ce qui confirme qu’il ne s’agit pas d’une formalité accessoire.

Ce guide vous donne une méthodologie complète pour réaliser une AIPD conforme, de l’identification des cas obligatoires jusqu’à la documentation finale, en passant par l’évaluation concrète des risques.

Qu’est-ce qu’une AIPD ?

L’AIPD — Analyse d’Impact relative à la Protection des Données — est un processus structuré d’évaluation des risques qu’un traitement de données personnelles fait peser sur les droits et libertés des personnes concernées. En anglais, on parle de DPIA (Data Protection Impact Assessment) ou de PIA (Privacy Impact Assessment). Les trois termes désignent exactement la même chose.

Base légale et finalité

L’AIPD est imposée par l’Art. 35(1) du RGPD. Le texte est limpide :

Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

Deux points essentiels ressortent de cette disposition :

• Le déclencheur est le risque élevé pour les droits et libertés, pas la nature des données en tant que telle.
• L’AIPD doit être réalisée avant le lancement du traitement. C’est une exigence temporelle absolue — une AIPD rétrospective ne satisfait pas l’Art. 35(1).

Les considérants 84 et 89 à 93 du RGPD éclairent la philosophie de l’AIPD : remplacer l’ancien système de déclarations préalables (les fameuses déclarations CNIL) par un mécanisme ciblé sur les traitements réellement à risque. C’est une manifestation directe du principe d’accountability (responsabilisation) qui irrigue l’ensemble du règlement.

AIPD vs simple évaluation des risques

Il ne faut pas confondre l’AIPD avec une analyse de risques classique de type sécurité informatique. L’analyse de risques EBIOS ou ISO se concentre sur les menaces pesant sur le système d’information. L’AIPD, elle, évalue les risques pour les personnes concernées — atteinte à la vie privée, discrimination, perte financière, atteinte à la réputation, perte de contrôle sur ses données. La perspective est radicalement différente.

En pratique, les deux démarches se complètent : l’analyse de risques SSI alimente la partie « mesures de sécurité » de l’AIPD, mais l’AIPD va bien au-delà en intégrant la nécessité, la proportionnalité et les droits des personnes.

Quand l’AIPD est-elle obligatoire ?

C’est la question que se posent tous les responsables de traitement. La réponse s’articule autour d’un critère général, de cas spécifiques définis par le RGPD, et de listes publiées par la CNIL.

Le critère général : le risque élevé

L’Art. 35(1) pose le principe : l’AIPD est obligatoire dès qu’un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». Ce risque s’apprécie au regard de quatre facteurs : la nature, la portée, le contexte et les finalités du traitement.

Le recours à de nouvelles technologies est un facteur aggravant explicitement mentionné par le texte — ce qui explique pourquoi les projets d’intelligence artificielle, de reconnaissance faciale ou d’objets connectés déclenchent quasi systématiquement une obligation d’AIPD.

Les trois cas toujours obligatoires (Art. 35(3))

Le RGPD identifie trois situations dans lesquelles l’AIPD est automatiquement requise, sans qu’il soit nécessaire d’évaluer le niveau de risque :

1. Profilage avec effets juridiques (Art. 35(3)(a)) — L’évaluation systématique et approfondie d’aspects personnels fondée sur un traitement automatisé, y compris le profilage, lorsque des décisions produisant des effets juridiques ou affectant significativement les personnes en découlent. Exemple : un scoring bancaire déterminant l’octroi d’un crédit.

2. Traitement à grande échelle de données sensibles ou pénales (Art. 35(3)(b)) — Le traitement à grande échelle de données sensibles au sens de l’Art. 9 (santé, biométrie, opinions politiques, orientation sexuelle, etc.) ou de données relatives aux condamnations pénales (Art. 10). Exemple : un hôpital traitant les dossiers médicaux de l’ensemble de ses patients.

3. Surveillance systématique à grande échelle d’une zone publique (Art. 35(3)©) — Exemple : un réseau de vidéosurveillance couvrant un centre-ville.

La notion de « grande échelle » exclut les traitements par des praticiens individuels (médecin, avocat) — le considérant 91 le précise expressément.

Les 9 critères du CEPD (lignes directrices WP248)

Le Comité européen de la protection des données (CEPD, ex-G29) a défini neuf critères dans ses lignes directrices WP248. La règle pratique : si votre traitement coche deux critères ou plus, une AIPD est requise.

1. Scoring ou profilage — Évaluation ou notation de personnes (solvabilité, comportement, performances).
2. Décision automatisée avec effet juridique — Traitement aboutissant à des décisions excluant ou affectant significativement des personnes.
3. Surveillance systématique — Observation, suivi ou contrôle des personnes concernées, y compris la collecte de données via des réseaux.
4. Données sensibles ou hautement personnelles — Données de l’Art. 9, données pénales (Art. 10), données de localisation, données financières, communications électroniques.
5. Grande échelle — Volume de données ou nombre de personnes concernées important, étendue géographique large, durée ou permanence du traitement.
6. Croisement de données — Combinaison de jeux de données issus de sources distinctes, au-delà des attentes raisonnables des personnes.
7. Personnes vulnérables — Employés, enfants, personnes âgées, patients, demandeurs d’asile — toute personne en situation de déséquilibre de pouvoir vis-à-vis du responsable de traitement.
8. Usage innovant — Utilisation de nouvelles technologies ou application innovante de technologies existantes (IA, IoT, reconnaissance faciale).
9. Blocage d’un droit ou d’un accès — Traitement empêchant les personnes d’exercer un droit ou d’accéder à un service ou un contrat.

La liste des 14 traitements imposant une AIPD selon la CNIL

La CNIL a publié, par délibération n° 2018-327 du 11 octobre 2018, une liste de 14 types de traitements pour lesquels une AIPD est systématiquement requise :

1. Traitements de données de santé mis en œuvre par les établissements de santé ou médico-sociaux pour la prise en charge des personnes
2. Traitements portant sur des données génétiques de personnes vulnérables (patients, employés, enfants)
3. Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines
4. Traitements ayant pour finalité de surveiller de manière constante l’activité des employés
5. Traitements ayant pour finalité la gestion des alertes et signalements en matière sociale et sanitaire
6. Traitements ayant pour finalité la gestion des alertes et signalements en matière professionnelle
7. Traitements de données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre
8. Traitements impliquant le profilage pouvant aboutir à l’exclusion du bénéfice d’un contrat ou à sa suspension/rupture
9. Traitements mutualisés de manquements contractuels susceptibles d’aboutir à une exclusion ou suspension
10. Traitements de profilage faisant appel à des données provenant de sources externes
11. Traitements de données biométriques aux fins d’identification parmi des personnes vulnérables
12. Instruction des demandes et gestion des logements sociaux
13. Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes
14. Traitements de données de localisation à large échelle

Dans le domaine de la santé, l’AIPD est donc quasiment systématique. Les traitements RH impliquant du profilage (évaluation des performances, surveillance de l’activité) sont également concernés — un point souvent sous-estimé par les entreprises.

Quand l’AIPD n’est pas requise

La CNIL a également publié, par délibération n° 2019-118 du 12 septembre 2019, une liste de traitements pour lesquels une AIPD n’est pas nécessaire. Sont notamment exemptés :

• Les traitements de gestion courante du personnel (paie, gestion administrative) sans profilage ni surveillance
• Les traitements mis en œuvre par un médecin ou un avocat exerçant à titre individuel (considérant 91)
• Les traitements strictement nécessaires à la comptabilité
• Les traitements de gestion des fournisseurs et des contrats
• Les traitements existants qui n’ont pas évolué depuis leur mise en conformité initiale

En pratique, il est recommandé de documenter systématiquement votre raisonnement dans le registre des traitements, même lorsque vous concluez qu’une AIPD n’est pas nécessaire. Cette documentation démontre votre démarche de conformité en cas de contrôle.

Comment réaliser une AIPD : méthodologie étape par étape

Venons-en au cœur du sujet. J’ai accompagné de nombreuses organisations dans la réalisation de leurs AIPD, et la méthodologie que je présente ici reprend les exigences de l’Art. 35(7) tout en les rendant opérationnelles.

Étape 1 : Décrire le traitement

L’Art. 35(7)(a) exige « une description systématique des opérations de traitement envisagées et des finalités du traitement ». En pratique, cela signifie documenter :

• Les finalités du traitement — pourquoi collectez-vous ces données ? Quel objectif précis ?
• Les catégories de données traitées — en identifiant spécifiquement les données sensibles éventuelles
• Les catégories de personnes concernées — clients, employés, patients, mineurs, etc.
• Les destinataires des données, y compris les sous-traitants
• Les durées de conservation prévues
• Les flux de données — où vont les données, y compris les transferts hors UE
• La base légale retenue (Art. 6(1)) et, le cas échéant, l’intérêt légitime poursuivi

Cette description doit être suffisamment détaillée pour qu’un tiers puisse comprendre exactement ce que fait le traitement. C’est le socle sur lequel repose toute l’analyse.

Étape 2 : Évaluer la nécessité et la proportionnalité

L’Art. 35(7)(b) impose « une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ». Concrètement, il s’agit de vérifier :

• La base légale est-elle solide ? Un consentement correctement recueilli ? Un intérêt légitime documenté avec balance des intérêts ?
• Le principe de minimisation est-il respecté ? Ne collectez-vous que les données strictement nécessaires à la finalité ?
• Les droits des personnes sont-ils garantis ? Information, accès, rectification, effacement, portabilité, opposition — les procédures sont-elles en place ?
• Les durées de conservation sont-elles justifiées ? Pas de conservation illimitée « au cas où ».

Cette étape est souvent bâclée. Or, c’est elle qui distingue une AIPD sérieuse d’un exercice de façade. Si le traitement n’est pas nécessaire ou proportionné, aucune mesure de sécurité ne compensera ce défaut fondamental.

Étape 3 : Identifier et évaluer les risques

C’est le cœur technique de l’AIPD (Art. 35(7)©). L’évaluation porte sur les risques pour les personnes concernées, pas pour l’organisation. La CNIL recommande de structurer l’analyse autour de trois types d’événements redoutés :

• Accès illégitime aux données — un tiers non autorisé accède aux données personnelles
• Modification non désirée des données — altération accidentelle ou malveillante
• Disparition des données — perte de disponibilité, destruction

Pour chaque événement redouté, évaluez :

• La vraisemblance — quelle est la probabilité que cet événement se produise, compte tenu des menaces et des vulnérabilités existantes ?
• La gravité — quel serait l’impact sur les personnes concernées ? Atteinte à la vie privée, discrimination, perte financière, atteinte physique ?

La combinaison vraisemblance/gravité produit une matrice de risques qui permet de hiérarchiser les mesures à prendre. Un risque de gravité maximale mais de vraisemblance faible reste un risque élevé qui exige des mesures spécifiques.

Étape 4 : Définir les mesures pour traiter les risques

L’Art. 35(7)(d) demande de documenter « les mesures envisagées pour faire face aux risques ». Ces mesures relèvent de la sécurité des données au sens large :

Mesures techniques :

• Chiffrement des données au repos et en transit
• Pseudonymisation ou anonymisation lorsque c’est possible
• Contrôles d’accès stricts (principe du moindre privilège)
• Journalisation et détection d’intrusion
• Sauvegardes et plan de reprise

Mesures organisationnelles :

• Politiques de sécurité formalisées
• Formation du personnel aux risques liés aux données personnelles
• Procédures de gestion des incidents et de notification de violations
• Clauses contractuelles avec les sous-traitants (Art. 28)
• Limitation des accès aux personnes qui en ont strictement besoin

L’objectif est de ramener le risque résiduel à un niveau acceptable. Chaque mesure doit être reliée au risque qu’elle traite — pas de mesure générique déconnectée de l’analyse.

Étape 5 : Documenter et valider

L’AIPD doit être formalisée dans un document structuré et conservé comme preuve de conformité. Deux consultations sont imposées par le RGPD :

• Consultation du DPO (Art. 35(2)) — Le responsable de traitement doit demander l’avis du délégué à la protection des données lorsqu’un DPO a été désigné. Son avis doit être documenté, qu’il soit favorable ou non.
• Consultation des personnes concernées (Art. 35(9)) — Le cas échéant, le responsable demande l’avis des personnes concernées ou de leurs représentants. En pratique, cette consultation est rare mais peut être pertinente pour les traitements ayant un impact social significatif.

Le document final doit être accessible pour un éventuel contrôle de la CNIL et intégré au dossier de conformité global de l’organisation.

Étape 6 : Consulter la CNIL si le risque résiduel reste élevé

L’Art. 36 impose une consultation préalable de la CNIL lorsque l’AIPD révèle que le traitement présenterait un risque résiduel élevé en l’absence de mesures prises par le responsable de traitement, ou lorsque les mesures identifiées ne suffisent pas à ramener le risque à un niveau acceptable.

En pratique, cette consultation préalable est rare. Elle signifie que malgré toutes les mesures envisagées, le risque reste élevé — ce qui devrait amener à questionner l’opportunité même du traitement. La CNIL dispose d’un délai de 8 semaines (extensible à 14) pour rendre son avis.

Étape 7 : Réviser périodiquement

L’Art. 35(11) impose de réexaminer l’AIPD « au moins quand il se produit une modification du risque présenté par les opérations de traitement ». En pratique, il est recommandé de réviser l’AIPD :

• Lors de toute modification substantielle du traitement (nouvelles catégories de données, nouveaux destinataires, changement de technologie)
• Après un incident de sécurité impliquant le traitement
• Lors d’évolutions réglementaires significatives
• A minima tous les 3 ans, même sans changement apparent

La révision doit être documentée et le résultat intégré au registre des traitements.

Les outils pour réaliser une AIPD

L’outil PIA de la CNIL

La CNIL met à disposition un outil gratuit et open source : le logiciel PIA. Il guide l’utilisateur à travers les différentes étapes de l’analyse d’impact et produit un rapport structuré. C’est un bon point de départ, particulièrement adapté pour une première AIPD ou pour des organisations aux ressources limitées.

Avantages : gratuit, conforme à la méthodologie CNIL, open source. Limites : interface datée, pas de gestion multi-AIPD fluide, pas d’intégration avec un registre des traitements, nécessite une expertise préalable pour renseigner correctement les champs.

Logiciels de conformité intégrés

Les plateformes de conformité RGPD comme Legiscope intègrent l’AIPD dans un workflow global : le registre des traitements alimente automatiquement la description du traitement, les mesures de sécurité sont centralisées, et la révision périodique est automatisée. C’est ce type d’intégration qui fait gagner un temps considérable lorsque l’organisation gère plusieurs AIPD simultanément.

Templates Excel et documents Word

L’approche « artisanale » reste possible, surtout pour une AIPD isolée. La CNIL publie des guides méthodologiques et des exemples. Le risque principal est le manque de structuration et la difficulté à maintenir les AIPD dans le temps. Dans mon expérience, les organisations qui commencent avec Excel finissent par migrer vers un outil dédié dès qu’elles doivent gérer plus de deux ou trois AIPD.

AIPD et intelligence artificielle

L’essor de l’intelligence artificielle a rendu la question de l’AIPD plus critique que jamais. Les systèmes d’IA impliquent presque toujours un traitement de données à grande échelle, du profilage ou des décisions automatisées — autant de critères qui déclenchent l’obligation d’AIPD.

Le Règlement sur l’Intelligence Artificielle (Règlement 2024/1689, dit AI Act) impose par ailleurs ses propres évaluations de conformité pour les systèmes d’IA à haut risque. Ces deux obligations — AIPD RGPD et évaluation de conformité AI Act — ne se substituent pas l’une à l’autre. Elles sont complémentaires et doivent être menées conjointement pour les systèmes d’IA traitant des données personnelles.

La CNIL a publié des recommandations spécifiques sur l’articulation entre IA et protection des données, notamment sur les questions de base légale pour l’entraînement des modèles et l’évaluation des risques pour les personnes concernées.

Pour une analyse approfondie de ce sujet, consultez notre article dédié sur l’AIPD et l’intelligence artificielle.

Erreurs fréquentes et sanctions

Les erreurs les plus courantes

Dans mon expérience de conseil, les mêmes erreurs reviennent systématiquement :

1. AIPD réalisée après le lancement du traitement — C’est la violation la plus fréquente. L’Art. 35(1) exige que l’AIPD soit réalisée « avant le traitement ». Une AIPD rétrospective, même bien faite, constitue un manquement.

2. AIPD trop superficielle — Un document de deux pages qui se contente de décrire le traitement sans évaluer réellement les risques ne constitue pas une AIPD conforme. L’analyse doit être substantielle et proportionnée à la complexité du traitement.

3. Absence de consultation du DPO — L’Art. 35(2) est formel : lorsqu’un DPO est désigné, son avis doit être sollicité. L’absence de consultation est un manquement autonome, indépendant de la qualité de l’AIPD elle-même.

4. Pas de révision — Une AIPD n’est pas un document figé. L’Art. 35(11) impose un réexamen en cas de modification du risque. Une AIPD de 2018 jamais mise à jour ne protège plus l’organisation.

5. Confusion entre risques pour l’organisation et risques pour les personnes — L’AIPD évalue les risques pour les personnes concernées, pas les risques business. Un vol de données est un problème pour l’entreprise, mais l’AIPD doit évaluer l’impact sur les individus dont les données ont été compromises.

Le cadre des sanctions

L’Art. 83(4)(a) du RGPD prévoit des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour défaut de réalisation d’une AIPD, AIPD non conforme aux exigences de l’Art. 35, ou absence de consultation préalable au titre de l’Art. 36.

La CNIL a intégré la vérification de l’AIPD dans ses contrôles de conformité. Lors d’un audit RGPD, l’existence, la qualité et l’actualité des AIPD font partie des points systématiquement vérifiés. Les sanctions RGPD pour défaut d’AIPD sont distinctes de celles liées aux autres manquements — elles peuvent se cumuler avec des sanctions pour défaut de sécurité, d’information ou de base légale.

Ce qu’il faut retenir

• L’AIPD est obligatoire avant tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. Si votre traitement coche au moins 2 des 9 critères du CEPD, vous devez en réaliser une.
• La liste de la CNIL (délibération n° 2018-327) identifie 14 types de traitements pour lesquels l’AIPD est systématiquement requise, notamment en matière de santé, de profilage RH et de surveillance des employés.
• La méthodologie repose sur 7 étapes : description du traitement, évaluation de la nécessité et proportionnalité, identification des risques, définition des mesures, documentation avec consultation du DPO, consultation éventuelle de la CNIL, et révision périodique.
• Le défaut d’AIPD est sanctionné jusqu’à 10 millions d’euros ou 2 % du CA mondial (Art. 83(4)). L’erreur la plus courante est de réaliser l’AIPD après le lancement du traitement, alors que l’Art. 35(1) exige qu’elle soit menée en amont.
• L’intelligence artificielle renforce l’importance de l’AIPD : les systèmes d’IA déclenchent presque systématiquement les critères du risque élevé, et l’AI Act ajoute des exigences complémentaires d’évaluation de conformité.

Téléchargez notre checklist AIPD pour vérifier chaque étape de votre analyse d’impact.

FAQ

Quelle est la différence entre AIPD et PIA ?

Aucune. AIPD (Analyse d’Impact relative à la Protection des Données) est le terme français utilisé par le RGPD. PIA (Privacy Impact Assessment) est l’équivalent anglais. DPIA (Data Protection Impact Assessment) est la formulation exacte du RGPD dans sa version anglaise. Les trois termes désignent la même procédure imposée par l’Art. 35 du RGPD.

L’AIPD est-elle obligatoire pour toutes les entreprises ?

Non. L’AIPD n’est obligatoire que pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes. Une PME qui gère la paie de ses salariés et un fichier clients classique n’est pas tenue de réaliser une AIPD pour ces traitements. En revanche, si cette même PME met en place un système de vidéosurveillance de ses employés ou utilise un outil de scoring pour ses clients, l’AIPD devient obligatoire. Le critère déterminant est la nature du traitement, pas la taille de l’entreprise.

Qui doit réaliser l’AIPD ?

La responsabilité incombe au responsable de traitement (Art. 35(1)). En pratique, la réalisation peut être déléguée à un chef de projet, au DPO, ou à un consultant externe, mais la responsabilité juridique reste celle du responsable de traitement. L’Art. 35(2) impose que le DPO soit consulté lorsqu’il a été désigné — son avis doit être recueilli et documenté, même s’il n’est pas liant.

Combien de temps prend une AIPD ?

Cela dépend fortement de la complexité du traitement. Pour un traitement relativement simple (vidéosurveillance standard, par exemple), comptez quelques jours de travail. Pour un système d’IA traitant des données de santé à grande échelle, l’AIPD peut s’étendre sur plusieurs semaines, avec des allers-retours entre les équipes techniques, juridiques et métier. Le facteur le plus chronophage n’est généralement pas la rédaction elle-même, mais la collecte des informations nécessaires à la description du traitement et l’identification des mesures de sécurité existantes.