Se connecter
  1. 1 - Quand une AIPD est-elle obligatoire ?
    1. 2 - Les 9 critères définis par la CNIL et les autorités européennes
      1. 3 - Comment décider si une AIPD est requise ?
        1. 4 - Exceptions : quand une AIPD n'est-elle pas requise ?
          1. 5 - Qui réalise l'AIPD ?
            1. 6 - Que doit contenir une AIPD ?
              1. 7 - AIPD : un outil de gouvernance de la conformité

                Faut-il faire une AIPD ? La check-list RGPD à connaître absolument

                RGPDJuly 29, 2025

                L’Analyse d’Impact sur la Protection des Données (AIPD) est un outil clé du RGPD prévu par l'article 35.

                Elle vise à évaluer les risques que certains traitements de données personnelles peuvent faire peser sur les droits et libertés des personnes concernées. L'AIPD permet d'anticiper les effets négatifs potentiels d'un traitement de données, et de définir les mesures techniques et organisationnelles pour garantir un niveau de protection des données adapté.

                Quand une AIPD est-elle obligatoire ?

                La réalisation d'une AIPD est obligatoire dès lors qu'un traitement de données est susceptible de générer un risque élevé pour les personnes concernées. Plusieurs situations types sont identifiées dans le RGPD comme le profilage, le traitement de données à grande échelle ou encore l'usage de technologies innovantes.

                Les 9 critères définis par la CNIL et les autorités européennes

                Pour aider les entreprises à déterminer si une AIPD est requise, la CNIL s’appuie sur une liste de 9 critères. Si un traitement répond à au moins deux critères, une AIPD est considérée comme obligatoire.

                1. Evaluation/scoring : C’est le cas par exemple d’une évaluation de la capacité de paiement d’un prospect ou client ;

                2. Décision automatique avec effet légal ou similaire : octroi/refus de prestations, tarification dynamique ;

                3. Surveillance systématique : collecte continue de données dans des espaces accessibles (vidéosurveillance, métadonnées) ;

                4. Données sensibles ou hautement personnelles : données de santé, de localisation, les données biométriques...;

                5. Traitement à grande échelle : grand volume de données ou portée géographique étendue ;

                6. Croisement ou combinaison de données : l’utilisation de plusieurs jeux de données et l’établissement de recoupements entre eux augmente les risques d’exposer les informations contenues dans l’ensemble des jeux de données utilisés ;

                7. Traitement de personnes vulnérables : enfants, patients, personnes sous tutelle, salariés, etc.;

                8. Usage innovant : recours à une technologie nouvelle ou expérimentale ;

                9. Exclusion d'un droit ou d'un contrat : refus d'accès à un service ou déclassement d'un droit sur la base du traitement.

                Comment décider si une AIPD est requise ?

                Trois cas de figure :

                • Moins de 2 critères remplis : une AIPD n’est pas obligatoire, mais il est préférable de documenter l’analyse.

                • 2 critères ou plus : l’AIPD est obligatoire.

                • 1 seul critère rempli : le DPO doit évaluer le niveau de risque et peut choisir de réaliser l’AIPD si le traitement met en jeu la vie privée de façon significative.

                Dans tous les cas, la documentation du processus de décision est essentielle pour démontrer la conformité RGPD.

                Exceptions : quand une AIPD n'est-elle pas requise ?

                Une AIPD n'est pas nécessaire si :

                • Le traitement a déjà fait l'objet d'une AIPD précédente et que les conditions n'ont pas changé.

                • Le traitement est inscrit sur une liste d'exemption publiée par la CNIL.

                • Une autorité a validé le traitement préalablement.

                Exemples de traitements généralement exemptés :

                • Gestion RH courante dans les entreprises de moins de 250 salariés (paye, remboursement, congés...).

                • Traitements liés aux relations fournisseurs : contrats, commandes, paiements.

                • Gestion des accès et temps de travail sans données biométriques.

                Il est cependant essentiel de toujours revenir aux critères avant de conclure qu'une AIPD est inutile.

                Qui réalise l'AIPD ?

                La réalisation de l'AIPD est de la responsabilité du responsable du traitement. Toutefois, dans les faits, elle est souvent coordonnée par le Délégué à la Protection des Données (DPO), qui apporte son expertise pour :

                • Identifier les traitements concernés,

                • Evaluer les risques pour les personnes concernées,

                • Proposer les mesures de réduction des risques,

                • Documenter l'ensemble de la procédure.

                Les différents services concernés (IT, juridique, métier) doivent être associés à l'analyse pour garantir une approche transversale.

                Que doit contenir une AIPD ?

                Une AIPD conforme au RGPD doit inclure plusieurs éléments clés :

                1. Description du traitement : finalités, base légale, nature des données, durée de conservation.

                2. Analyse de la nécessité et de la proportionnalité : justification du traitement au regard de ses objectifs.

                3. Évaluation des risques : identification des risques potentiels pour les droits et libertés des personnes concernées.

                4. Mesures envisagées : techniques et organisationnelles pour réduire les risques à un niveau acceptable.

                5. Avis du DPO (lorsqu'il existe).

                6. Plan d'action ou suivi : pour les risques rémanents.

                Cette analyse doit être réalisée avant la mise en œuvre du traitement concerné.

                Pour découvrir plus en détail comment mener a bien une analyse d'impact rendez vous sur cet article : Les 7 clés pour réussir une analyse d’impact AIPD

                AIPD : un outil de gouvernance de la conformité

                Au-delà de son caractère obligatoire dans certains cas, l’analyse d’impact constitue un outil puissant de pilotage de la conformité dans l'entreprise. Elle contribue à faire le lien entre les enjeux techniques, juridiques et humains de chaque traitement, et permet de renforcer la protection de la vie privée dès la conception.

                Des logiciels RGPD comme Witik proposent une automatisation du processus d’AIPD : aide à l’évaluation des risques, suggestion de mesures correctives, génération automatique de la documentation exigée par la CNIL.

                L’AIPD est un mécanisme essentiel du RGPD pour garantir que les traitements de données personnelles ne portent pas atteinte aux droits fondamentaux. Chaque entreprise doit être en mesure d’identifier les traitements à risque, d’évaluer leur impact, et de déployer des mesures de protection adaptées. Même lorsque l’analyse d’impact n’est pas obligatoire, elle constitue une bonne pratique de gestion des risques et de maîtrise de la conformité.

                Benjamin BarattaWitik - Expert RGPD & CSM
                  Inscrivez-vous à notre newsletter pour ne rien louper de l'actualité.

                  Nous (Witik) collectons et traitons vos données conformément à notre Politique de protection des données.

                  • All rights reserved ©Witik 2025