← Protection des données personnelles
Qu'est-ce qu'une AIPD ?
Une analyse d'impact relative à la protection des données (AIPD, ou PIA en anglais pour Privacy Impact Assessment) est une procédure définie à l'article 35 du RGPD. Son objectif est d'évaluer, avant le lancement d'un traitement, les risques que ce traitement fait peser sur les droits et libertés des personnes concernées, et de définir les mesures permettant de les réduire à un niveau acceptable.
L'AIPD n'est pas un document figé : c'est un processus itératif qui accompagne la conception et l'évolution du traitement. Elle doit être réalisée avant la mise en œuvre du traitement et mise à jour dès que celui-ci évolue de manière significative.
Quand l'AIPD est-elle obligatoire ?
L'article 35, paragraphe 1 du RGPD pose le principe général : une AIPD est obligatoire lorsqu'un type de traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Le paragraphe 3 précise trois situations dans lesquelles une AIPD est en tout état de cause requise.
Article 35(3), RGPD · Cas nécessitant une AIPD
Une analyse d'impact est notamment requise en cas d'évaluation systématique et approfondie d'aspects personnels (profilage), de traitement à grande échelle de données sensibles, et de surveillance systématique à grande échelle d'une zone accessible au public.
La CNIL a par ailleurs publié une liste de types de traitements pour lesquels une AIPD est obligatoire. Elle couvre notamment : les traitements de données de santé par les établissements de soins, les systèmes de surveillance biométrique, les traitements de données de localisation à grande échelle, les systèmes d'évaluation ou de notation des personnes, les traitements permettant de croiser des bases de données de grande ampleur.
Le critère du "risque élevé"
En dehors des cas listés, la règle générale repose sur l'appréciation du risque. La CNIL et le Comité européen de la protection des données ont identifié neuf critères qui, lorsqu'au moins deux d'entre eux sont réunis, font présumer un risque élevé nécessitant une AIPD : évaluation ou notation des personnes, décision automatisée avec effet juridique, surveillance systématique, données sensibles, données traitées à grande échelle, croisement de données, personnes vulnérables, usage innovant, transfert hors UE.
💡 Règle pratique : si votre traitement réunit au moins deux de ces critères, une AIPD est très probablement nécessaire. En cas de doute, la réaliser est toujours préférable à l'omettre — son absence peut être relevée comme manquement par la CNIL lors d'un contrôle.
Comment réaliser une AIPD ?
Le RGPD (article 35, paragraphe 7) impose que l'AIPD contienne au moins trois éléments : une description systématique des traitements envisagés et de leurs finalités, une évaluation de la nécessité et de la proportionnalité des traitements au regard des finalités, et une évaluation des risques pour les droits et libertés des personnes concernées ainsi que les mesures envisagées pour y faire face.
La CNIL met à disposition un outil logiciel gratuit, PIA, qui guide les organisations dans la réalisation de leurs analyses d'impact et en assure la documentation.
L'AIPD est l'une des missions centrales du délégué à la protection des données. Sa réalisation peut être accompagnée par un DPO externe qui apporte à la fois la méthode et le recul nécessaire pour une évaluation rigoureuse.
Vous devez réaliser une AIPD ?
Je peux vous accompagner dans sa réalisation.