L'Analyse d'Impact sur la Protection des Données (AIPD)
L’Analyse d’Impact sur la Protection des Données (AIPD) est une exigence du RGPD lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
Au-delà de l’obligation légale, l’AIPD est un outil stratégique : elle permet d’anticiper les risques, de sécuriser vos dispositifs et d’assurer la conformité de vos projets dès leur conception.
Quand une AIPD est-elle requise ?
Pour savoir si une AIPD est nécessaire, la CNIL met à disposition deux listes de référence :
- une liste « positive » des traitements pour lesquels la réalisation d’une AIPD est obligatoire
- une liste « négative » de traitements pour lesquels elle n’est pas requise
Ces listes, bien que non exhaustives, offrent un repère pratique pour les organisations afin de déterminer si elles doivent engager une analyse d’impact ou non.
Lorsqu’un traitement ne figure pas sur les listes publiées par la CNIL, il appartient au responsable du traitement d’évaluer, au cas par cas, si ce traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes concernées.
Dans ce cas, la réalisation d’une AIPD devient obligatoire dès lors que le traitement présente un niveau de risque jugé élevé, conformément aux exigences de l’article 35 du RGPD.
Les critères pour déterminer un traitement à « risque élevé »
Attention
Même un seul de ces critères peut suffire à imposer une AIPD si le risque est particulièrement significatif.
Le Comité Européen de la Protection des Données (CEPD) a listé 9 critères indicatifs permettant d’évaluer si un traitement est susceptible de présenter un risque élevé.
Si au moins deux de ces critères sont remplis, la réalisation d’une AIPD est requise :
Évaluation ou « scoring » (exemple : notation de crédit, évaluation des performances professionnelles, etc.)
Prise de décision automatisée avec effet juridique ou similaire (exemple : refus automatique de contrat, recrutement algorithmique, etc.)
Surveillance systématique (exemple : vidéosurveillance massive, surveillance des salariés, etc.)
Traitement de données sensibles ou à caractère hautement personnel (exemple : santé, orientation sexuelle, opinions politiques, etc.)
Traitement de données à grande échelle (par le volume, la durée ou le nombre de personnes concernées)
Croisement ou combinaison de données (notamment lorsqu’elles proviennent de sources différentes)
Données relatives à des personnes vulnérables (enfants, patients, personnes âgées, salariés, etc.)
Utilisation de nouvelles technologies ou solutions innovantes (exemple : IA, biométrie avancée, IoT, etc.)
Blocage d’un droit, d’un service ou d’un contrat (exemple : exclusion d’un service si la donnée n’est pas fournie)
La réalisation d'AIPD
Identification du traitement concerné et de ses finalités
Cartographie complète des données, acteurs, flux et durées de conservation
Évaluation des risques pour les personnes concernées (gravité, vraisemblance)
Analyse des mesures de sécurité existantes et évaluation de leur efficacité
Élaboration d’un plan d’actions pour réduire les risques résiduels
Documentation et formalisation de l’analyse pour le dossier d’accountability
Consultation préalable auprès de la CNIL (en cas de risque élevé persistant)
Sensibilisation des équipes projet pour intégrer la conformité dans la conception du traitement
Mise à jour et suivi périodique
Les bénéfices d’une AIPD bien conduite
Anticipation des risques juridiques, opérationnels ou réputationnels
Sécurisation du projet dès la phase de conception
Clarification des rôles, des responsabilités et des flux de données
Valorisation d’une approche éthique et responsable de la donnée
Renforcement de la transparence vis-à-vis des parties prenantes (clients, usagers, partenaires, etc.)
Réduction du risque de sanction en cas de contrôle
PRIVALORA vous accompagne dans la gestion des droits des personnes concernées
Vous souhaitez sécuriser un traitement en cours de déploiement ou mettre en conformité un traitement d’ores et déjà déployé ?
Nous vous aidons à évaluer vos projets et vous fournissons un accompagnement expert.
Questions fréquentes – L'Analyse d'Impact sur la Protection des Données (AIPD)
Comment savoir si mon traitement nécessite une AIPD ?
Une AIPD est obligatoire lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.
Pour l’évaluer, il faut :
- Se référer aux listes des traitements soumis et exemptés d’AIPD publiées par la CNIL,
- Procéder à une analyse fondée sur les critères du Comité Européen de la Protection des Données (CEPD)
Quels sont les critères du CEPD pour déterminer un traitement à risque élevé ?
Le CEPD identifie neuf critères, dont :
- Évaluation ou scoring (ex. profilage)
- Décisions automatisées ayant un effet juridique
- Surveillance systématique à grande échelle
- Traitement de données sensibles ou hautement personnelles
- Traitement de données à grande échelle
- Croisement ou combinaison de données issues de sources diverses
- Traitement de données relatives à des personnes vulnérables
- Utilisation de nouvelles technologies
- Transfert de données hors UE vers des pays à risque
En pratique, si un traitement remplit au moins deux critères, une AIPD est généralement requise.
Quelles étapes suivre pour réaliser une AIPD conforme au RGPD ?
- Identifier le traitement et ses finalités
- Cartographier les données, acteurs, flux et durées de conservation
- Évaluer les risques selon leur gravité et vraisemblance
- Déterminer les mesures de réduction ou d’élimination des risques
- Documenter l’analyse et conserver les preuves dans le dossier d’accountability
- Mettre à jour l’AIPD en cas de modification du traitement
Une AIPD est-elle obligatoire pour les traitements déjà en place ?
Oui, si un traitement existant répond aux critères de risque élevé ou figure sur la liste de la CNIL, une AIPD doit être réalisée.
Elle permet aussi de réévaluer les risques dans le temps, en particulier lors de l’ajout de nouvelles fonctionnalités.
Combien de temps faut-il pour réaliser une AIPD ?
La durée dépend de la complexité du traitement et du nombre d’acteurs impliqués.
Pour un traitement simple, quelques jours peuvent suffire. Pour un projet complexe (multi-pays, données sensibles, transferts internationaux), cela peut prendre plusieurs semaines.
Que faire si l’AIPD conclut à un risque résiduel élevé ?
Le responsable de traitement doit consulter la CNIL avant la mise en œuvre du traitement. Cette consultation préalable permet d’obtenir des recommandations ou des conditions supplémentaires de mise en conformité.
Quelles erreurs fréquentes compromettent la qualité d’une AIPD ?
Voici les principales erreurs à éviter pour assurer une AIPD efficace :
- Se limiter à une analyse technique, en oubliant les aspects juridiques et organisationnels
- Omettre des flux de données ou des acteurs dans la cartographie
- Mal évaluer la vraisemblance et la gravité des risques
- Ne pas documenter suffisamment les mesures de mitigation
- Ne pas mettre à jour l’AIPD en cas d’évolution du traitement