AIPD : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

L'AIPD, sigle français de l'analyse d'impact relative à la protection des données (équivalent du Privacy Impact Assessment ou PIA dans la terminologie anglo-saxonne), constitue l'outil méthodologique imposé par l'article 35 du Règlement (UE) 2016/679 (RGPD) pour évaluer les risques d'un traitement sur les droits et libertés des personnes concernées et déterminer les mesures destinées à les atténuer.

L'AIPD, sigle français de l'analyse d'impact relative à la protection des données (équivalent du Privacy Impact Assessment ou PIA dans la terminologie anglo-saxonne), constitue l'outil méthodologique imposé par l'article 35 du Règlement (UE) 2016/679 (RGPD) pour évaluer les risques d'un traitement sur les droits et libertés des personnes concernées et déterminer les mesures destinées à les atténuer.

L'article 35 paragraphe 1 du RGPD pose le principe : lorsqu'un type de traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable de traitement doit effectuer, avant le traitement, une analyse de l'impact des opérations envisagées sur la protection des données. Cette antériorité de l'analyse par rapport au déploiement du traitement constitue une obligation à part entière, dont la méconnaissance peut être sanctionnée même en l'absence de toute violation effective des droits des personnes.

L'enjeu pratique de l'AIPD dépasse la simple conformité documentaire. Bien menée, elle permet d'identifier en amont les vulnérabilités techniques et organisationnelles d'un traitement, de calibrer les mesures de sécurité proportionnées au risque, et de constituer la preuve de la diligence du responsable de traitement face à l'autorité de contrôle.

Vous souhaitez réaliser une AIPD sur un projet sensible ? Le Cabinet Aurore Bonavia conduit les analyses d'impact requises et vous accompagne dans la consultation préalable de la CNIL le cas échéant. → Voir l'accompagnement en droit du numérique

Les cas dans lesquels l'AIPD est obligatoire

L'article 35 paragraphe 3 du RGPD énumère trois hypothèses dans lesquelles l'AIPD s'impose en raison du risque élevé inhérent au traitement :

  • l'évaluation systématique et approfondie des aspects personnels concernant des personnes physiques, fondée sur un traitement automatisé y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques ou affectant de manière significative les personnes ;
  • le traitement à grande échelle de catégories particulières de données visées à l'article 9 paragraphe 1 (origine raciale, opinions politiques, données de santé, données génétiques, etc.) ou de données relatives à des condamnations pénales et infractions ;
  • la surveillance systématique à grande échelle d'une zone accessible au public.

Au-delà de ces trois cas légaux, la CNIL a publié en application de l'article 35 paragraphe 4 du RGPD une liste de traitements rendant obligatoire la réalisation d'une AIPD (délibération n° 2018-327 du 11 octobre 2018), parmi lesquels les traitements de profilage massif, les dispositifs biométriques d'identification, les traitements de données médicales à grande échelle ou les traitements de localisation à grande échelle.

À l'inverse, la CNIL a publié une liste de traitements pour lesquels une AIPD n'est pas requise (délibération n° 2019-118 du 12 septembre 2019), incluant la gestion des paies des employés ou la tenue d'un registre client classique en l'absence de profilage.

La méthodologie de l'AIPD

L'article 35 paragraphe 7 du RGPD fixe le contenu minimal d'une AIPD. Elle doit comporter au moins :

  • une description systématique des opérations de traitement envisagées et des finalités poursuivies, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable de traitement ;
  • une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
  • une évaluation des risques pour les droits et libertés des personnes concernées ;
  • les mesures envisagées pour faire face aux risques, y compris les garanties, les mesures et mécanismes de sécurité visant à assurer la protection des données.

Le logiciel PIA mis à disposition gratuitement par la CNIL constitue l'outil de référence pratique pour conduire une AIPD selon la méthodologie recommandée par le régulateur français. Il structure l'analyse autour de quatre étapes : description du traitement, étude de la nécessité et de la proportionnalité, étude des risques sur la sécurité des données et la vie privée, validation de l'analyse.

L'AIPD est un document vivant qui doit être actualisé à chaque évolution substantielle du traitement (changement de finalité, ajout de catégories de données, nouveau prestataire, modification du périmètre des personnes concernées, évolution des mesures de sécurité).

La consultation préalable de la CNIL

L'article 36 du RGPD impose au responsable de traitement de consulter l'autorité de contrôle préalablement au lancement du traitement lorsque l'AIPD révèle un risque résiduel élevé que les mesures envisagées ne permettent pas d'atténuer suffisamment :

« 1. Le responsable du traitement consulte l'autorité de contrôle préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données effectuée au titre de l'article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque. »

La consultation prend la forme d'un courrier formalisé adressé à la CNIL accompagné de l'AIPD et des éléments justificatifs. La CNIL dispose d'un délai de huit semaines, prorogeable de six semaines en cas de complexité, pour formuler par écrit son avis. Pendant l'instruction, l'autorité peut interdire ou imposer des mesures complémentaires au traitement (article 58 paragraphe 2 du RGPD).

La consultation préalable constitue une obligation de procédure et non une autorisation administrative : la CNIL ne délivre pas un agrément, mais formule un avis dont le responsable de traitement doit tenir compte. Le passage outre un avis défavorable de la CNIL expose à des sanctions ultérieures aggravées en cas de manquement constaté.

Spécificité juridique sur les sanctions du défaut d'AIPD

L'article 83 paragraphe 4 a) du RGPD inscrit le défaut d'AIPD dans la première catégorie de sanctions administratives, dont le plafond est fixé à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Le défaut de consultation préalable lorsqu'elle est requise relève également de cette catégorie.

Plusieurs sanctions de la CNIL ont concerné directement le défaut d'AIPD ou la qualité insuffisante de l'analyse menée. La sanction prononcée le 17 décembre 2020 contre l'éditeur d'une plateforme de mise en relation a notamment retenu, parmi les manquements caractérisés, l'absence d'AIPD pour un traitement de profilage à grande échelle, en plus des manquements substantiels au principe de minimisation des données et aux obligations d'information.

Le contrôle de la qualité substantielle de l'AIPD a également été illustré par la décision de la CNIL relative à l'application StopCovid déployée par le ministère des Solidarités et de la Santé en 2020. La Commission a relevé que l'analyse d'impact transmise ne décrivait pas de manière complète l'ensemble des opérations de traitement effectuées par l'application, ni de manière suffisamment détaillée les mesures d'atténuation des risques au regard des exigences de l'article 35 du RGPD. La mise en demeure adressée a conduit le ministère à compléter et mettre à jour son AIPD avant la poursuite de l'exploitation.

L'AIPD ne se résume donc pas à un livrable formel : la CNIL contrôle la qualité substantielle de l'analyse menée, l'identification effective des risques et la pertinence des mesures d'atténuation proposées.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière d'AIPD

  • l'identification des traitements pour lesquels la réalisation d'une AIPD est obligatoire au regard du RGPD et des listes CNIL ;
  • la conduite méthodologique de l'AIPD selon la doctrine CNIL et le standard EDPB ;
  • l'utilisation du logiciel PIA de la CNIL et la rédaction du livrable d'analyse ;
  • l'identification des risques résiduels et la formalisation des mesures d'atténuation ;
  • la consultation préalable de la CNIL au titre de l'article 36 lorsque le risque résiduel demeure élevé ;
  • la mise à jour des AIPD à chaque évolution substantielle des traitements concernés ;
  • la défense face aux contrôles CNIL portant sur la qualité de l'AIPD ;
  • la formation de vos équipes à la méthodologie AIPD et à son intégration dans les projets.

En savoir plus sur l'accompagnement du cabinet : avocat CNIL.

Sources : Règlement (UE) 2016/679 (RGPD) art. 35, art. 36, art. 58, art. 83, EDPB Lignes directrices WP 248 sur les AIPD, CNIL délibérations n° 2018-327 et n° 2019-118 (listes des traitements avec ou sans obligation d'AIPD), CNIL mise en demeure StopCovid (2020), logiciel PIA CNIL, jurisprudence CJUE C-184/20 (Vyriausioji tarnybinės etikos komisija) sur la portée des AIPD. Fiche mise à jour le 4 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.