EuroComply
Sign up
Back to blog
RGPD 9 min read

RGPD AIPD : quand elle est obligatoire et comment la réaliser

What you need to know: RGPD AIPD : quand elle est obligatoire et comment la réaliser

Une analyse d'impact relative à la protection des données est obligatoire avant tout traitement à risque élevé en vertu de l'article 35 du RGPD. Ce guide explique les déclencheurs, la méthodologie et la documentation.

Source: EuroComply Editorial (2025-02-01)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Une analyse d'impact relative à la protection des données (AIPD) est un processus structuré permettant d'identifier et de réduire les risques en matière de vie privée avant le lancement d'une nouvelle activité de traitement. En vertu du RGPD, la réalisation d'une AIPD n'est pas facultative — l'article 35 en fait une obligation légale pour certaines catégories de traitement, et les autorités de contrôle dans toute l'UE considèrent l'absence ou l'insuffisance d'une AIPD comme un manquement grave à la conformité.

Ce guide explique quand une AIPD est requise, comment la conduire, ce qu'il faut documenter, et quand vous devez consulter votre autorité de contrôle.

Quand une AIPD est-elle requise ?

L'article 35, paragraphe 1, établit le déclencheur principal : une AIPD est obligatoire lorsque le traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». L'obligation s'applique aux nouveaux traitements ainsi qu'aux traitements existants dont la nature, la portée, le contexte ou les finalités ont sensiblement changé.

L'article 35, paragraphe 3, identifie trois types de traitement qui requièrent toujours une AIPD :

  1. Le profilage systématique et approfondi produisant des effets juridiques ou des effets similaires significatifs — prise de décision automatisée concernant la solvabilité, les performances, la fiabilité ou le comportement des personnes.
  2. Le traitement à grande échelle de catégories particulières de données visées à l'article 9 (données de santé, données biométriques, origine raciale ou ethnique, opinions politiques, convictions religieuses, orientation sexuelle) ou de données relatives aux condamnations pénales visées à l'article 10.
  3. La surveillance systématique à grande échelle d'une zone accessible au public — vidéosurveillance, systèmes de suivi dans les espaces publics.

Par ailleurs, chaque autorité de contrôle publie une liste des opérations de traitement soumises à AIPD dans son ressort. Le Comité européen de la protection des données (CEPD) a publié des lignes directrices consolidant les critères communs issus des listes nationales.

Les 8 critères : deux critères ou plus déclenchent une AIPD

Le Comité européen de la protection des données (CEPD) a identifié huit critères tirés de l'article 35, paragraphe 3, et du considérant 91. Si votre traitement satisfait deux de ces critères ou plus, une AIPD est requise :

  1. Évaluation ou notation des personnes (profilage, prédiction du comportement)
  2. Prise de décision automatisée ayant des effets juridiques ou des effets similaires significatifs
  3. Surveillance systématique
  4. Traitement de données sensibles (article 9 ou article 10)
  5. Traitement à grande échelle
  6. Croisement ou combinaison de données provenant de sources différentes
  7. Traitement de données concernant des personnes vulnérables (enfants, salariés, patients)
  8. Recours à des technologies innovantes ou application novatrice de technologies existantes

Un seul critère peut toutefois suffire à déclencher une AIPD lorsque le risque qui en résulte est particulièrement élevé. L'appréciation du respect de deux critères exige une évaluation honnête — il s'agit d'identifier de véritables risques pour la vie privée, et non de construire une qualification permettant d'éluder l'obligation.

La méthodologie de l'AIPD

Une AIPD bien structurée suit quatre étapes :

Étape 1 : Décrire le traitement

Documentez intégralement l'activité de traitement : quelles données sont collectées, auprès de qui, à quelle fin, sur quelle base juridique, pendant combien de temps elles sont conservées, avec qui elles sont partagées, et si des données quittent l'EEE. C'est le fondement de toute la démarche — vous ne pouvez pas évaluer des risques que vous n'avez pas compris et décrits.

Étape 2 : Évaluer la nécessité et la proportionnalité

Appréciez si le traitement est nécessaire pour atteindre la finalité déclarée et si la même finalité pourrait être atteinte avec un impact moindre sur la vie privée. Cette étape examine la base juridique au regard de l'article 6, le principe de minimisation des données au regard de l'article 5, paragraphe 1, point c), et le principe de limitation des finalités au regard de l'article 5, paragraphe 1, point b). Documentez pourquoi les alternatives moins intrusives sont insuffisantes.

Étape 3 : Identifier et évaluer les risques

Identifiez les risques concrets pour les personnes concernées — accès non autorisé, données inexactes conduisant à des décisions erronées, ré-identification de données pseudonymisées, discrimination, préjudice financier, atteinte à la réputation. Pour chaque risque, évaluez sa vraisemblance et sa gravité. Il s'agit d'une évaluation qualitative, et non purement technique : considérez ce qui arriverait concrètement à une personne si le risque se matérialisait.

Étape 4 : Évaluer les mesures et le risque résiduel

Pour chaque risque identifié, documentez les mesures techniques et organisationnelles que vous mettrez en œuvre pour l'atténuer. Évaluez ensuite le risque résiduel après application de ces mesures. Si le risque résiduel demeure élevé — même après l'application de mesures — vous devez consulter l'autorité de contrôle avant de procéder au traitement (article 36).

Ce qui doit être documenté

L'article 35, paragraphe 7, précise ce qu'une AIPD doit contenir :

  • Une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement
  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
  • Une évaluation des risques pour les droits et libertés des personnes concernées
  • Les mesures envisagées pour faire face aux risques, y compris les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel

Documentez également : qui a réalisé l'AIPD, l'avis du délégué à la protection des données (DPD) (l'article 35, paragraphe 2, impose de solliciter l'avis du DPD lorsqu'un tel délégué a été désigné), la date de l'évaluation et le calendrier de révision.

Quand consulter l'autorité de contrôle ?

L'article 36, paragraphe 1, impose une consultation préalable de l'autorité de contrôle lorsqu'une AIPD indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer ce risque. Il ne s'agit pas d'une formalité — c'est une condition impérative avant de débuter le traitement.

La consultation implique de fournir à l'autorité de contrôle la documentation complète de l'AIPD, une description des responsabilités respectives du responsable du traitement et des éventuels sous-traitants, les coordonnées du DPD et un résumé du traitement envisagé. L'autorité de contrôle dispose de huit semaines pour répondre (prorogeables de six semaines pour les cas complexes). En l'absence de réponse dans ce délai, vous pouvez procéder.

Erreurs fréquentes

Les manquements les plus fréquemment constatés dans les lignes directrices et les décisions de sanction des autorités de contrôle sont les suivants : traiter l'AIPD comme un exercice rétrospectif, alors que le traitement a déjà commencé (l'article 35 exige une évaluation avant le début du traitement) ; réaliser une évaluation des risques superficielle qui liste les risques sans en apprécier la vraisemblance ni la gravité ; ne pas associer le DPD ; omettre l'évaluation de la nécessité et de la proportionnalité ; documenter des mesures sans apprécier si le risque résiduel reste élevé. Une AIPD qui ressemble à un simple exercice de cases à cocher plutôt qu'à une véritable analyse des risques ne protégera pas un organisme dans le cadre d'une procédure de contrôle.


Dernière mise à jour : mai 2026. Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un conseiller juridique qualifié avant de prendre des décisions en matière de conformité.

Questions fréquentes

Quelles activités de traitement requièrent le plus souvent une AIPD en pratique ?

Les déclencheurs les plus fréquents d'AIPD dans les organisations commerciales sont : les systèmes de surveillance des salariés (y compris les logiciels de productivité qui enregistrent les frappes au clavier, l'activité à l'écran ou la localisation) ; la souscription automatisée de crédits ou d'assurances ; le traitement de données de santé ou de bien-être, notamment via des applications et des objets connectés ; le profilage à grande échelle des clients à des fins de marketing ; et toute utilisation de données biométriques à des fins d'identification ou de contrôle d'accès. La combinaison de catégories particulières de données avec une prise de décision automatisée est particulièrement susceptible de requérir une AIPD au titre de l'article 35, paragraphe 3, et selon l'approche des huit critères du CEPD.

Une AIPD doit-elle être mise à jour après son achèvement ?

Oui. L'article 35 impose la révision d'une AIPD « si nécessaire » et, plus précisément, en cas de changement du risque présenté par les opérations de traitement. La bonne pratique consiste à définir un cycle de révision planifié — généralement annuel — et à déclencher une révision immédiate dès lors que la finalité du traitement, les types de données, les destinataires, la technologie ou le profil de risque changent de manière significative. Le document AIPD doit comporter un historique des versions et indiquer qui a approuvé chaque version. Une AIPD périmée portant sur un traitement qui a évolué est considérée par les autorités de contrôle comme équivalente à l'absence d'AIPD pour l'activité de traitement actuelle.

Que se passe-t-il si une AIPD requise n'est pas réalisée ?

L'omission de réaliser une AIPD lorsqu'elle est requise constitue en elle-même une violation de l'article 35 du RGPD, indépendamment de toute violation sous-jacente de la protection des données. En vertu de l'article 83, paragraphe 4, les manquements à l'article 35 sont passibles d'amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Plusieurs autorités de contrôle — dont l'APD belge et le Datatilsynet danois — ont prononcé des avertissements et des amendes spécifiquement pour défaut de réalisation d'AIPD avant le début du traitement, indépendamment de tout préjudice subi par les personnes concernées.

Sources

  • EUR-Lex, Règlement (UE) 2016/679 (RGPD), articles 35 et 36 : https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
  • Comité européen de la protection des données, Lignes directrices sur l'analyse d'impact relative à la protection des données (WP248 rév.01) : https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-wp248_en
  • Comité européen de la protection des données, Lignes directrices sur la prise de décision individuelle automatisée et le profilage (WP251 rév.01) : https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-wp251_en
  • ICO (Royaume-Uni), Guide et modèle d'AIPD : https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/data-protection-impact-assessments-dpias/

Key takeaways: RGPD AIPD : quand elle est obligatoire et comment la réaliser

This article covers: Quand une AIPD est-elle requise ?, Les 8 critères : deux critères ou plus déclenchent une AIPD, La méthodologie de l'AIPD.

  • Quand une AIPD est-elle requise ?
  • Les 8 critères : deux critères ou plus déclenchent une AIPD
  • La méthodologie de l'AIPD
  • Ce qui doit être documenté
  • Quand consulter l'autorité de contrôle ?
Source: EuroComply Editorial (2025-02-01)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.