EuroComply
Créer un compte
Back to blog
RGPD 12 min read

AIPD étape par étape : quand en avez-vous besoin et comment la rédiger

What you need to know: AIPD étape par étape : quand en avez-vous besoin et comment la rédiger

Une analyse d'impact relative à la protection des données (AIPD) est obligatoire en vertu de l'article 35 du RGPD pour les traitements à haut risque. Ce guide vous accompagne étape par étape pour savoir quand elle est requise, ce qu'elle doit contenir et comment la mener efficacement.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Une analyse d'impact relative à la protection des données (AIPD) est un processus structuré permettant d'identifier et d'atténuer les risques en matière de protection de la vie privée avant de débuter une activité de traitement. En vertu de l'article 35 du RGPD, elle est obligatoire — et non facultative — pour certaines catégories de traitements à haut risque. Une mauvaise évaluation conduit soit à réaliser des traitements à haut risque sans analyse appropriée, soit à investir du temps dans des évaluations qui n'étaient pas nécessaires.

Ce guide explique quand une AIPD est requise, ce qu'elle doit contenir et comment la mener efficacement.

Qu'est-ce qu'une AIPD

L'article 35, paragraphe 7, définit ce que doit contenir une AIPD. Elle repose fondamentalement sur quatre éléments :

  1. Une description systématique du traitement : ce que vous faites, pourquoi et comment.
  2. Une évaluation de la nécessité et de la proportionnalité : ce traitement est-il nécessaire à la finalité poursuivie ? L'atteinte à la vie privée est-elle proportionnée au bénéfice attendu ?
  3. Une évaluation des risques pour les personnes concernées : que peut-il arriver aux personnes dont vous traitez les données, et quelle est la probabilité et la gravité de ces conséquences ?
  4. Les mesures que vous prendrez pour faire face à ces risques : contrôles techniques, procédures organisationnelles, garanties.

Une AIPD n'est pas un simple exercice de conformité formelle. Elle vise à faire apparaître des risques que vous pourriez autrement négliger et à intégrer des mesures d'atténuation avant le début du traitement — et non après une violation de données.

Quand une AIPD est obligatoire

L'article 35, paragraphe 1, impose une AIPD lorsque le traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». L'article 35, paragraphe 3, précise trois catégories pour lesquelles une AIPD est toujours requise :

1. L'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, fondée sur un traitement automatisé — y compris le profilage — et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard de personnes physiques ou les affectant de manière significative de façon similaire. Cela inclut le scoring de crédit, les modèles de risque assurantiel, la présélection automatisée de candidatures et les systèmes de détection de fraude entraînant des conséquences significatives.

2. Le traitement à grande échelle de catégories particulières de données (article 9) ou de données à caractère personnel relatives à des condamnations pénales et à des infractions (article 10). Les catégories particulières comprennent les données de santé, les données biométriques utilisées à des fins d'identification, les données génétiques, l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l'appartenance syndicale et l'orientation sexuelle.

3. La surveillance systématique à grande échelle d'une zone accessible au public. La vidéosurveillance d'un vaste espace public en est l'exemple le plus évident, mais cela couvre également le suivi des déplacements ou des comportements dans des espaces publics via des données mobiles ou des capteurs IoT.

Au-delà de ces trois catégories, les autorités nationales de protection des données (APD) publient des listes de types de traitements nécessitant une AIPD dans leur ressort. Consultez la liste de votre APD nationale — la CNIL en France publie et actualise régulièrement cette liste. Lorsque la liste de votre APD et l'article 35, paragraphe 3, se recoupent, l'une ou l'autre source suffit à déclencher l'obligation.

Deux critères ou plus parmi les suivants indiquent également un risque élevé (d'après les lignes directrices du G29) : évaluation ou notation de personnes ; prise de décision automatisée avec effets juridiques ou effets significatifs similaires ; surveillance systématique ; données sensibles ou données de nature particulière ; traitement à grande échelle ; croisement ou combinaison de données ; données concernant des personnes vulnérables ; utilisation innovante de la technologie ; transfert en dehors de l'UE ; traitements susceptibles d'empêcher les personnes concernées d'exercer leurs droits.

Quand une AIPD n'est pas requise

Une AIPD n'est pas requise lorsque le traitement n'est pas susceptible d'engendrer un risque élevé. Les indicateurs d'un risque moindre comprennent : un traitement à petite échelle de données non sensibles ; un traitement sans prise de décision automatisée ; un traitement que les personnes concernées s'attendraient raisonnablement à subir ; et un traitement couvert par une AIPD existante et actualisée portant sur le même type d'activité.

Si vous avez déjà réalisé une AIPD pour le même type de traitement et que le profil de risque n'a pas évolué, vous pouvez vous référer à l'AIPD existante plutôt que de recommencer à zéro.

Les 7 éléments obligatoires d'une AIPD valide

L'article 35, paragraphe 7, énumère les éléments requis :

| # | Élément | Ce que cela signifie | |---|---------|----------------------| | 1 | Description systématique | Quelles données, quel traitement, quelle finalité, quels systèmes | | 2 | Évaluation de la nécessité et de la proportionnalité | Pourquoi ce traitement est nécessaire ; alternatives moins intrusives examinées | | 3 | Évaluation des risques pour les personnes concernées | Probabilité × gravité pour chaque risque identifié | | 4 | Mesures pour faire face aux risques | Mesures techniques et organisationnelles d'atténuation | | 5 | Consultation du DPD | Si vous avez un délégué à la protection des données, il doit être consulté | | 6 | Avis des personnes concernées | Comment vous avez pris en compte ou sollicité les avis des personnes concernées (ou pourquoi non) | | 7 | Base légale et respect des principes | Confirmation que le traitement est conforme aux principes du RGPD (article 5) |

Démarche étape par étape

Étape 1 : Décrire le traitement Répondez aux questions suivantes : Quelles données à caractère personnel collectez-vous ? Auprès de qui ? Par quels moyens ? À quelle fin ? Qui y a accès ? Où sont-elles stockées ? Pendant combien de temps sont-elles conservées ? Quels sous-traitants sont impliqués ? Cette section doit être suffisamment détaillée pour qu'une personne non familière avec le projet puisse comprendre ce qui est mis en œuvre.

Étape 2 : Évaluer la nécessité et la proportionnalité Répondez aux questions suivantes : Ce traitement est-il nécessaire à la finalité déclarée ? La finalité pourrait-elle être atteinte avec moins de données ou un traitement moins intrusif ? Quelle est la base légale ? Pendant combien de temps les données seront-elles conservées, et cela est-il proportionné ? Quels droits les personnes concernées détiennent-elles, et comment leur permettrez-vous de les exercer ?

Étape 3 : Identifier les risques pour les personnes concernées Pour chaque risque identifié, évaluez : Quelle est la menace ? Quelle est sa probabilité (faible/moyenne/élevée) ? Quelle est la gravité du préjudice s'il se matérialise ? Les risques typiques comprennent : l'accès non autorisé, la violation de données, le détournement de finalité (données utilisées à des fins imprévues), l'inexactitude et ses conséquences, l'exclusion ou la discrimination résultant de décisions automatisées, la perte de contrôle par les personnes concernées.

Étape 4 : Définir les mesures d'atténuation Pour chaque risque, définissez la mesure qui y répondra. Associez chaque mesure à un risque spécifique. Après application des mesures, réévaluez le risque résiduel.

Étape 5 : Consulter votre DPD Si votre organisation a nommé un délégué à la protection des données (DPD), celui-ci doit être consulté. Consignez sa contribution et indiquez si elle a été intégrée.

Étape 6 : Documenter les avis des personnes concernées Expliquez comment vous avez pris en compte les intérêts et les attentes raisonnables des personnes concernées. Cela n'implique pas toujours une enquête — pour de nombreuses activités de traitement, vous pouvez documenter votre appréciation de ce que les personnes concernées attendraient raisonnablement, et expliquer pourquoi ce traitement s'inscrit ou non dans ces attentes.

Étape 7 : Valider et consigner L'AIPD doit être approuvée par le responsable opérationnel compétent. Consignez la date d'achèvement et les éventuelles conditions attachées à l'approbation.

Quand consulter votre autorité de contrôle

L'article 36 impose une consultation préalable de l'autorité de contrôle nationale compétente lorsque le risque résiduel demeure élevé après l'application des mesures d'atténuation. Il s'agit d'un seuil élevé — il n'est pas déclenché à chaque fois qu'une AIPD est finalisée, mais uniquement lorsque vous ne pouvez pas ramener le risque à un niveau acceptable par vos propres moyens.

Si une consultation préalable est requise, transmettez votre AIPD à l'autorité de contrôle avant de commencer le traitement. L'autorité de contrôle dispose de huit semaines pour répondre (prorogeables de six semaines supplémentaires pour les cas complexes).

Durée de validité d'une AIPD

Il n'existe pas de durée de validité fixe pour une AIPD, mais l'article 35, paragraphe 11, impose un réexamen « lorsqu'il existe un changement du risque présenté par les opérations de traitement ». La bonne pratique consiste à réexaminer les AIPD portant sur des traitements à haut risque au moins une fois par an, et à déclencher un réexamen chaque fois qu'une modification substantielle du traitement intervient : nouvelles catégories de données, nouveaux sous-traitants, nouvelle logique de décision automatisée, nouvelles juridictions.

Combiner AIPD et analyse d'impact sur les droits fondamentaux au titre du règlement sur l'IA

Pour les systèmes d'IA à haut risque relevant du règlement européen sur l'IA (règlement IA), les déployeurs doivent réaliser une analyse d'impact sur les droits fondamentaux (AIDF) en vertu de l'article 27. L'AIDF couvre un périmètre similaire à celui d'une AIPD, mais met l'accent sur les droits fondamentaux au-delà de la protection des données.

Lorsque le traitement implique un système d'IA à haut risque, réalisez une AIPD + AIDF combinée. Utilisez la structure de l'article 35 du RGPD comme base ; ajoutez une section sur les impacts sur les droits fondamentaux autres que la protection des données (droit à un procès équitable, non-discrimination, liberté d'expression). Un document combiné unique satisfait aux deux obligations et évite de dupliquer les sections de description systématique et d'évaluation des risques.


Foire aux questions

Quand une AIPD est-elle obligatoire en vertu de l'article 35 du RGPD ?

Une AIPD est obligatoire en vertu de l'article 35, paragraphe 1, dès lors qu'un traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». L'article 35, paragraphe 3, identifie trois catégories pour lesquelles une AIPD est toujours requise : l'évaluation systématique et approfondie de personnes fondée sur un traitement automatisé produisant des effets juridiques ou des effets significatifs similaires (y compris le profilage pour le scoring de crédit, la présélection de candidatures et les risques d'assurance) ; le traitement à grande échelle de catégories particulières de données en vertu de l'article 9 ou de données relatives à des condamnations pénales en vertu de l'article 10 ; et la surveillance systématique à grande échelle de zones accessibles au public. Au-delà, les APD nationales publient des listes de types de traitements supplémentaires nécessitant une AIPD dans leur ressort, et les responsables du traitement doivent consulter la liste nationale applicable aux côtés des catégories de l'article 35, paragraphe 3.

Que doit contenir une AIPD au titre du RGPD ?

L'article 35, paragraphe 7, définit les éléments obligatoires : une description systématique du traitement (quelles données, quelle finalité, quels systèmes, quels sous-traitants) ; une évaluation de la nécessité et de la proportionnalité (si le traitement est nécessaire et si l'atteinte à la vie privée est proportionnée à l'objectif) ; une évaluation des risques pour les personnes concernées (probabilité et gravité des préjudices potentiels) ; et les mesures destinées à faire face à ces risques (mesures techniques et organisationnelles avec réévaluation du risque résiduel après atténuation). Lorsqu'un délégué à la protection des données a été désigné, sa consultation doit être consignée. L'appréciation quant à la façon dont les avis des personnes concernées ont été sollicités ou pris en compte, ainsi que la motivation, doivent également être documentées.

Faut-il consulter l'autorité de contrôle après avoir finalisé une AIPD ?

Seulement si le risque résiduel demeure élevé après l'application de toutes les mesures d'atténuation réalisables. L'article 36 impose une consultation préalable de l'APD nationale compétente avant de commencer le traitement, lorsque l'AIPD indique que le risque résiduel est élevé et que le responsable du traitement ne peut pas le réduire davantage par ses propres moyens. Il s'agit d'un seuil élevé — la simple finalisation d'une AIPD ne déclenche pas automatiquement la consultation de l'APD. Si une consultation est requise, l'APD doit recevoir la documentation complète de l'AIPD et dispose de huit semaines pour répondre, prorogeables de six semaines supplémentaires pour les cas complexes. Le traitement ne doit pas débuter pendant cette période de consultation.

Sources


Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un conseiller juridique qualifié avant de prendre des décisions en matière de conformité.

Key takeaways: AIPD étape par étape : quand en avez-vous besoin et comment la rédiger

This article covers: Qu'est-ce qu'une AIPD, Quand une AIPD est obligatoire, Quand une AIPD n'est pas requise.

  • Qu'est-ce qu'une AIPD
  • Quand une AIPD est obligatoire
  • Quand une AIPD n'est pas requise
  • Les 7 éléments obligatoires d'une AIPD valide
  • Démarche étape par étape
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.