Depuis l’application du RGPD en mai 2018, l’analyse d’impact relative à la protection des données (AIPD) est devenue une étape incontournable pour les entreprises traitant des données personnelles à un niveau potentiellement risqué. Obligatoire dans certains cas précis, elle vise à prévenir les atteintes aux droits et libertés des personnes. Pourtant, beaucoup d’organisations peinent encore à identifier avec fiabilité les situations nécessitant une AIPD. Comprendre les déclencheurs de cette obligation permet de renforcer sa conformité et d’éviter des sanctions, parfois lourdes.
| 🚨 Quand devez-vous déclencher une AIPD ? | 🔍 Informations clés |
|---|---|
| Risque élevé pour les droits des personnes | Analyse d’impact obligatoire (article 35 RGPD) |
| 2 critères CNIL sur 9 cumulés (profilage, surveillance, etc.) | AIPD fortement recommandée, voire exigée |
| Traitements listés par la CNIL (biométrie, géolocalisation…) | AIPD automatiquement requise ✅ |
| Exemples sans risque élevé (paie, frais…) | AIPD non obligatoire (vérifier la liste blanche) |
| Responsabilités | DPO = conseil + traçabilité / Responsable = pilote / Sous-traitant = support |
| Sanctions en cas d’oubli | Jusqu’à 10 M€ ou 2% du CA 🌩️ |
Identifier les traitements à risque élevé pour déclencher une AIPD au bon moment
Le RGPD impose une AIPD lorsque les traitements de données présentent un risque élevé pour les droits et libertés des personnes concernées. Cette notion de « risque élevé » doit être évaluée avec précision, car c’est elle qui détermine le caractère obligatoire de l’analyse.
Pour guider les responsables de traitement, la CNIL propose une grille d’analyse basée sur 9 critères concrets. Lorsque au moins deux de ces critères sont cochés, l’entreprise doit sérieusement envisager une AIPD, voire la réaliser sans délai.
À ce stade, s’équiper d’un outil structurant comme le logiciel PIA permet de formaliser, documenter et fiabiliser le processus d’analyse. La traçabilité est primordiale en cas de contrôle ou de contentieux.
Avec Witik, vous transformez la complexité RGPD en simplicité opérationnelle. Parce que votre temps est précieux. Parce que les erreurs coûtent cher. Parce que la conformité doit être un atout, pas un fardeau. Fini les registres Excel obsolètes : Witik centralise, automatise et sécurise l’ensemble de votre conformité RGPD. Avec des tableaux de bord intuitifs, des alertes intelligentes et une méthode CNIL certifiée, vous gagnez jusqu’à 70% du temps consacré à la mise en conformité.
Que dit l’article 35 du RGPD ?
L’article 35 du RGPD fournit le socle juridique clair des obligations relatives aux AIPD. Il stipule que “lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, le responsable du traitement procède, avant le traitement, à une analyse d’impact relative à la protection des données.”
L’article 35 précise notamment : « Une AIPD est nécessaire notamment en cas de recours à des technologies nouvelles, compte tenu de la nature, de la portée, du contexte et des finalités du traitement. »
Le texte crée une obligation d’anticipation, ce qui suppose d’intégrer l’AIPD dans la gouvernance des projets, dès leur conception (privacy by design).
Les 9 critères de la CNIL : comprendre le seuil de « risque élevé »
Pour objectiver le caractère « à risque » d’un traitement, la CNIL décline 9 critères issus du G29 (ancêtre du CEPD) :
- Évaluation/scoring des personnes
- Prise de décision automatisée et profilage
- Surveillance systématique
- Collecte de données sensibles ou à caractère hautement personnel
- Traitements à grande échelle
- Regroupement ou croisement de données
- Personnes vulnérables concernées
- Utilisation innovante ou technologique nouvelle
- Entrave potentielle à l’exercice des droits
Le franchissement du seuil de risque repose donc sur un faisceau d’indices, souvent cumulables. Un scoring algorithmique à grande échelle sur des étudiants ou patients, par exemple, coche plusieurs cases.
Traitements automatiquement soumis à AIPD : la liste noire à connaître
Pour sécuriser l’interprétation des critères, la CNIL publie une liste de traitements imposant obligatoirement une AIPD. Elle concerne notamment :
- Les traitements biométriques destinés à l’authentification
- La vidéosurveillance systématique dans des lieux publics
- Les dispositifs de géolocalisation continue des salariés
- Les plateformes d’évaluation et notation sociale
- Les traitements impliquant des données de santé à large échelle
Ces cas ne laissent place à aucune interprétation : une AIPD est exigée avant de démarrer le traitement.
| Type de traitement | AIPD requise | Commentaires |
|---|---|---|
| Contrôle biométrique à l’entrée | Oui | Technologie intrusive – données sensibles |
| Tracking GPS des livreurs | Oui | Surveillance constante de salariés |
| Fichiers RH classiques | Non | Pas de risque élevé identifié |
Cas particuliers : exemptions et traitements ne nécessitant pas d’AIPD
Certains traitements, bien que sensibles, sont exclus du champ obligatoire de l’AIPD – par exemple s’ils figurent sur la liste blanche de la CNIL ou s’ils sont encadrés par une réglementation sectorielle stricte.
Le traitement de la paie ou des notes de frais, bien que touchant des données personnelles, n’implique pas par défaut un risque élevé. De même, les traitements déjà bien encadrés par une AIPD sectorielle peuvent ne pas poser de nouveau risque, s’ils sont simplement répliqués.
Méthodologie pas-à-pas pour déterminer l’obligation d’AIPD dans votre entreprise
Pour clarifier l’obligation, adoptez une méthode rigoureuse :
- Identifiez les finalités exactes du traitement
- Cartographiez les données traitées
- Vérifiez l’usage de technologies nouvelles
- Croisez votre cas avec les 9 critères de la CNIL
- Consultez la liste noire ou blanche
- Évaluez les impacts incidentaux (re-jeu, exfiltration…)
En cas de doute, mieux vaut opter pour une AIPD, documentée et archivée. Elle constituera un élément probant d’accountability en cas de contrôle.
Rôles et responsabilités : DPO, responsables de traitement, sous-traitants
La conduite d’une AIPD mobilise plusieurs acteurs. Chacun a une part active dans le processus :
- Le DPO (Délégué à la protection des données) conseille, émet un avis écrit, conserve une trace
- Le responsable du traitement pilote l’analyse, décide des mesures à mettre en œuvre
- Le sous-traitant collabore activement, notamment sur les aspects techniques
Ne pas solliciter le DPO ou écarter ses recommandations expose à des sanctions, même si l’analyse a été menée.
Conséquences légales et financières en cas de non-conformité
Omettre de réaliser une AIPD obligatoire constitue une violation du RGPD passible de sanctions administratives pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial.
« Le manquement à l’obligation d’AIPD a été retenu comme élément aggravant dans plusieurs décisions de sanction récentes, notamment lorsque le traitement était massif et non encadré. » — Source : synthèse CNIL 2023
Le défaut de documentation peut également être interprété comme un manque d’accountability. En cas de litige ou de fuite de données, la responsabilité civile de l’entreprise peut être engagée.
Bonnes pratiques pour anticiper et documenter une AIPD efficace
Voici quelques recommandations utiles pour gérer vos AIPD de façon opérationnelle :
- Intégrez la démarche AIPD dans les comités de validation projets
- Utilisez un modèle structuré validé par le DPO
- Gardez la trace des consultations en interne (DSI, juridique…)
- Évaluez les mesures techniques et organisationnelles de protection
- Réalisez des revues périodiques post-déploiement
Ressources pratiques : guides, modèles et logiciels pour mener votre AIPD
Des outils concrets permettent de structurer et d’accélérer l’élaboration des analyses d’impact :
- Le guide méthodologique AIPD de la CNIL
- Le cadre méthodologique du CEPD (ancien G29)
- Des outils assistés comme le logiciel PIA permettant une gestion centralisée et collaborative
Ces ressources facilitent la conformité tout en renforçant l’acculturation des métiers à la logique de protection des données.
