Analyse d'Impact AIPD RGPD — Modèle Gratuit France | forms-legal.com

L'Analyse d'Impact AIPD RGPD est, en droit français, une analyse d'impact AIPD. Il est régi par RGPD art. 35 (Règlement UE 2016/679).

L'Analyse d'Impact Relative à la Protection des Données en France est également connue sous son acronyme anglais PIA (Privacy Impact Assessment). Elle repose sur la méthodologie publiée par la CNIL dans son guide AIPD (version 3.0, disponible sur cnil.fr) et sur la norme internationale ISO/IEC 29134:2017 (Ingénierie des systèmes et du logiciel — Gestion des risques pour la vie privée — Lignes directrices pour la réalisation de l'évaluation de l'impact sur la vie privée). La CNIL a mis à disposition un logiciel open source gratuit (PIA Software, disponible sur la plateforme GitHub de la CNIL) permettant de réaliser et de documenter les AIPD conformément à sa méthodologie.

L'AIPD en France se distingue de la simple entrée dans le Registre des Traitements (RGPD art. 30) par sa profondeur analytique : là où le registre recense et décrit les traitements, l'AIPD évalue spécifiquement les risques pour les droits fondamentaux des personnes et documente les mesures d'atténuation. La délibération CNIL n°2018-326 du 11 octobre 2018 liste les types de traitements pour lesquels une AIPD est systématiquement requise en France : traitements de données biométriques à des fins de contrôle d'accès, traitements de données de santé par des assureurs ou des mutuelles à des fins de sélection du risque, géolocalisation systématique des véhicules des salariés ou clients, scoring de solvabilité ou analyse des comportements des clients bancaires, systèmes de profilage et de segmentation à grande échelle, monitoring systématique des employés, traitements de données sensibles couplés à de l'IA ou à une nouvelle technologie.

La Cour de Justice de l'Union Européenne (CJUE) a confirmé dans l'arrêt C-311/18 (Schrems II, 16 juillet 2020) que l'AIPD est un outil indispensable pour évaluer les risques liés aux transferts de données hors UE. Les entreprises qui utilisent des services cloud américains (AWS, Google Cloud, Microsoft Azure) sans avoir conduit d'AIPD sur ces traitements s'exposent à des sanctions CNIL pour violation des obligations de l'art. 35 RGPD.

L'Analyse d'Impact Relative à la Protection des Données (AIPD) en France est obligatoire dans les situations suivantes, listées par le RGPD art. 35 et précisées par la délibération CNIL n°2018-326.

Pour les traitements utilisant des nouvelles technologies ou impliquant des décisions automatisées ayant un effet significatif sur les personnes, notamment le profilage comportemental, le scoring de crédit ou d'assurance, les systèmes de recommandation basés sur l'IA, et les algorithmes de sélection des candidats à l'embauche. L'AI Act UE 2024/1689, applicable progressivement depuis août 2024, renforce cette obligation pour les systèmes d'IA à haut risque (Annexe III : recrutement, éducation, crédit, assurance, services publics, sécurité).

Pour les traitements à grande échelle de données sensibles au sens de l'art. 9 RGPD : données de santé (dossiers médicaux, diagnostics, médicaments), données biométriques (empreintes digitales, reconnaissance faciale, analyse de l'iris), données génétiques, données révélant l'origine ethnique ou raciale, les opinions politiques ou syndicales, les convictions religieuses ou philosophiques, les données sur la vie ou l'orientation sexuelle.

Pour la surveillance systématique à grande échelle d'une zone accessible au public : systèmes de vidéosurveillance intelligente dans les gares, aéroports, centres commerciaux ; systèmes de reconnaissance faciale dans les espaces publics (pratiques de surveillance listées par l'AI Act art. 5 pour celles qui sont interdites, et à l'Annexe III pour celles qui sont à haut risque).

Pour les traitements listés par la CNIL dans sa délibération n°2018-326 : contrôle d'accès biométrique des salariés sur leur lieu de travail (délibération n°2018-326 + délibération CNIL n°2014-050 sur la biométrie) ; géolocalisation systématique des véhicules ; traitement de données de santé par des assureurs à des fins de sélection du risque ; systèmes de notation ou d'évaluation des salariés basés sur la surveillance continue de leur activité.

En cas de changement significatif d'un traitement existant — nouvelle finalité, nouvelle technologie, nouveau transfert hors UE, augmentation du volume ou de la sensibilité des données — une AIPD doit être conduite ou mise à jour même si le traitement initial n'en nécessitait pas une.

L'Analyse d'Impact Relative à la Protection des Données (AIPD) en France doit contenir les éléments structurels imposés par le RGPD art. 35 §7 et les lignes directrices du Comité Européen de la Protection des Données (CEPD, ex-G29).

**1. Description détaillée du traitement envisagé.** L'AIPD doit décrire le traitement avec précision : nature des données, catégories de personnes concernées, technologies utilisées (IA, biométrie, IoT, cloud), acteurs impliqués (responsable du traitement, co-responsables, sous-traitants, destinataires), fonctionnement du traitement (flux de données, étapes de traitement, interfaces), et contexte opérationnel (secteur, volume, fréquence).

**2. Évaluation de la nécessité et de la proportionnalité.** Démontrer que le traitement est nécessaire (pas d'alternative moins intrusive pour atteindre la même finalité), proportionné (données limitées au strict minimum — principe de minimisation, RGPD art. 5 §1 c), fondé sur une base légale valide, et respectueux des droits des personnes (transparence, accès, rectification, effacement, opposition, portabilité).

**3. Identification et évaluation des risques.** Pour chaque risque identifié (accès illégitime aux données, modification non désirée, disparition des données, discrimination algorithmique, surveillance abusive), évaluer la vraisemblance (probabilité que le risque se matérialise) et la gravité (impact sur les droits et libertés des personnes). La méthodologie CNIL propose une grille d'évaluation à deux axes (vraisemblance × gravité) aboutissant à un niveau de risque (négligeable, limité, important, maximal).

**4. Mesures d'atténuation des risques.** Pour chaque risque, décrire les mesures techniques et organisationnelles déployées pour l'atténuer (RGPD art. 25 et 32) : chiffrement, pseudonymisation, contrôles d'accès RBAC, authentification forte (MFA), journalisation des accès, segmentation des réseaux, formation des utilisateurs, procédures de gestion des incidents, contrats DPA avec les sous-traitants.

**5. Risque résiduel et décision de mise en œuvre.** Après application des mesures d'atténuation, évaluer le risque résiduel. Si le risque résiduel reste élevé malgré les mesures, le responsable du traitement est obligé de consulter la CNIL avant la mise en œuvre (RGPD art. 36). La CNIL dispose de 8 semaines pour rendre son avis (prorogeable de 6 semaines pour les cas complexes). Elle peut approuver le traitement, demander des mesures supplémentaires ou s'y opposer.

**6. Consultation du DPO.** Lorsqu'un DPO a été désigné, il doit être consulté lors de la réalisation de l'AIPD (RGPD art. 35 §2). Son avis, ses recommandations et leur prise en compte (ou les raisons de leur non-prise en compte) doivent être documentés dans l'AIPD.

**7. Processus de réexamen.** L'AIPD doit prévoir un processus de réexamen périodique (au minimum tous les 3 ans, ou en cas de modification significative du traitement). Le RGPD art. 35 §11 impose de vérifier que le traitement réel est conforme à l'AIPD initiale.

forms-legal.com propose un modèle d'AIPD pré-structuré conforme à la méthodologie CNIL et au RGPD art. 35, téléchargeable gratuitement.

L'Analyse d'Impact Relative à la Protection des Données (AIPD) en France se conduit selon une méthodologie structurée en plusieurs étapes, en impliquant les parties prenantes clés de l'organisation.

**Étape 1 — Déterminer si une AIPD est obligatoire.** Vérifier si le traitement envisagé figure sur la liste CNIL des traitements nécessitant une AIPD (délibération n°2018-326) ou remplit l'un des critères généraux du RGPD art. 35 §3 (évaluation systématique, données sensibles à grande échelle, surveillance systématique). En cas de doute, le responsable du traitement peut consulter le DPO ou appliquer les critères de la liste des 9 facteurs publiée par le CEPD (Guidelines n°4/2019 : traitement de données sur des personnes vulnérables ; transferts à grande échelle ; croisement ou combinaison de données ; utilisation de données dans des contextes inattendus).

**Étape 2 — Constituer l'équipe AIPD.** L'AIPD est un exercice pluridisciplinaire impliquant au minimum : le responsable métier du traitement (qui connaît les finalités et le fonctionnement opérationnel) ; le DSI ou RSSI (qui évalue les aspects techniques et de sécurité) ; le DPO (qui coordonne la démarche RGPD) ; si pertinent, le responsable juridique, le DRH, le responsable achats. La consultation des personnes concernées ou de leurs représentants (CSE pour les traitements RH) est recommandée.

**Étape 3 — Décrire le traitement en détail.** Renseigner le nom et la description détaillée du traitement, les finalités précises, les données traitées (avec identification des données sensibles), les acteurs (responsable, co-responsables, sous-traitants), les technologies utilisées, les flux de données (schéma des flux recommandé), et le contexte opérationnel.

**Étape 4 — Évaluer la nécessité et la proportionnalité.** Démontrer que chaque catégorie de données est strictement nécessaire à la finalité poursuivie (test de proportionnalité), que la base légale est valide et appropriée, et que des mesures assurant l'exercice effectif des droits des personnes (information, accès, rectification, effacement, opposition) sont en place.

**Étape 5 — Identifier et évaluer les risques.** Pour chaque menace identifiée (violation de données par attaque externe, erreur interne, défaillance sous-traitant, utilisation détournée), évaluer la vraisemblance et la gravité selon la grille CNIL. Utiliser les scénarios de risques proposés dans la méthode AIPD de la CNIL : accès illégitime (ex. : piratage, transmission non autorisée) ; modification non désirée (ex. : erreur de saisie, altération de données) ; disparition (ex. : suppression accidentelle, panne matérielle).

**Étape 6 — Définir les mesures d'atténuation.** Pour chaque risque significatif, définir les mesures techniques (chiffrement, authentification forte, pare-feu, DLP) et organisationnelles (formation, procédures, contrôles) permettant de le réduire à un niveau acceptable.

**Étape 7 — Décision et consultation CNIL si nécessaire.** Si le risque résiduel est acceptable, documenter la décision de mise en œuvre et les conditions de réexamen. Si le risque résiduel reste élevé, saisir la CNIL (formulaire disponible sur cnil.fr, référence art. 36 RGPD) avant toute mise en œuvre.

L'Analyse d'Impact Relative à la Protection des Données (AIPD) en France s'inscrit dans un cadre légal et méthodologique précis.

**RGPD art. 35 — Obligation d'AIPD.** L'article 35 du RGPD impose la réalisation d'une AIPD avant la mise en œuvre de tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. L'absence d'AIPD lorsqu'elle est requise constitue une violation du RGPD sanctionnable par la CNIL : jusqu'à 10 000 000 EUR ou 2% du CA mondial annuel (RGPD art. 83 §4).

**Délibération CNIL n°2018-326 du 11 octobre 2018.** Cette délibération liste les traitements pour lesquels une AIPD est systématiquement requise en France (liste 'must do'). Elle complète les critères généraux du RGPD art. 35 §3 en précisant les types de traitements considérés comme à risque élevé dans le contexte national français. La CNIL a également publié une liste de traitements exemptés d'AIPD (liste 'whitelist', délibération n°2018-327).

**Lignes directrices CEPD et G29.** Le Comité Européen de la Protection des Données (CEPD, ex-G29) a publié des lignes directrices sur les AIPD (Guidelines 4/2019 et WP248 rev.01) qui font autorité pour l'interprétation du RGPD art. 35. Elles définissent notamment les 9 critères à appliquer pour déterminer si une AIPD est requise lorsque le traitement ne figure pas sur les listes de la CNIL.

**Consultation préalable CNIL (art. 36).** Lorsque l'AIPD conclut à un risque résiduel élevé que le responsable du traitement ne peut pas réduire par des mesures appropriées, celui-ci est obligé de consulter la CNIL avant la mise en œuvre (art. 36 §1). La CNIL peut approuver la mise en œuvre avec ou sans conditions, la refuser, ou enjoindre de modifier le traitement. En cas d'absence de consultation obligatoire ou de non-respect de l'avis de la CNIL, les sanctions peuvent atteindre 20 000 000 EUR ou 4% du CA mondial.

**AI Act et AIPD renforcée.** Le Règlement UE 2024/1689 (AI Act), entré en vigueur le 1er août 2024, impose aux fournisseurs de systèmes d'IA à haut risque (Annexe III) une évaluation de conformité distincte (art. 43) qui doit être conduite avant la mise sur le marché. Pour les traitements de données personnelles par des systèmes d'IA à haut risque, une AIPD renforcée est requise combinant les exigences du RGPD art. 35 et de l'AI Act art. 9. La CNIL et les autorités de surveillance de l'AI Act (à désigner en France) devront coordonner leurs contrôles sur ces traitements.

L'Analyse d'Impact Relative à la Protection des Données (AIPD) en France est souvent mal conduite. Voici les erreurs les plus fréquentes.

**Erreur n°1 — Confondre AIPD et Registre des Traitements.** L'AIPD est distincte du registre RGPD art. 30. Le registre est un inventaire de tous les traitements ; l'AIPD est une analyse approfondie des risques pour les traitements à risque élevé. Certaines entreprises ajoutent une colonne 'AIPD requise' dans leur registre sans réaliser les AIPD correspondantes. Ce n'est pas conforme.

**Erreur n°2 — AIPD réalisée après la mise en œuvre.** L'AIPD doit être conduite avant la mise en œuvre du traitement (RGPD art. 35 §1 : 'préalablement au traitement'). Une AIPD réalisée a posteriori pour un système déjà en production ne peut pas influencer la conception du traitement (privacy by design, art. 25) et constitue une violation formelle du RGPD, même si l'analyse conclut à des risques acceptables.

**Erreur n°3 — Sous-estimer la gravité des risques.** Certaines organisations minimisent systématiquement l'évaluation des risques pour éviter d'avoir à consulter la CNIL. La CNIL est en mesure de vérifier lors d'un contrôle si l'évaluation des risques dans l'AIPD est crédible et proportionnée à la nature du traitement. Une évaluation manifestement sous-estimée peut être considérée comme une fausse déclaration.

**Erreur n°4 — Absence de consultation du DPO.** Lorsqu'un DPO a été désigné, sa consultation est obligatoire (RGPD art. 35 §2). Son avis doit être documenté. L'omettre est une violation formelle du RGPD, même si le responsable du traitement décide de ne pas suivre ses recommandations (auquel cas il doit documenter les raisons de ce choix).

**Erreur n°5 — AIPD non mise à jour lors des évolutions du traitement.** Une AIPD réalisée pour la version initiale d'un traitement devient obsolète si le traitement évolue (nouvelle finalité, nouvelles données, nouveau sous-traitant, migration vers un nouveau cloud). Le RGPD art. 35 §11 impose un réexamen de l'AIPD lorsque le risque est susceptible d'avoir changé. Les modifications significatives doivent déclencher une mise à jour de l'AIPD.

**Erreur n°6 — Ignorer les risques liés aux sous-traitants.** L'AIPD doit couvrir l'ensemble des risques liés au traitement, y compris ceux introduits par les sous-traitants (fournisseurs cloud, prestataires SaaS). La défaillance d'un sous-traitant (violation de données, insolvabilité, inaccessibilité des données) est un risque qui doit figurer dans l'AIPD avec les mesures d'atténuation correspondantes (contrats DPA robustes, plans de sortie, vérification des certifications ISO 27001).