Guide RGPD

L'AIPD, expliquée
sans jargon.

Analyse d'impact relative à la protection des données : ce que dit le RGPD, quand elle devient obligatoire, et comment la mener étape par étape.

Définition

Qu'est-ce qu'une AIPD ?

L'analyse d'impact relative à la protection des données (AIPD, ou DPIA en anglais) est une démarche prévue par l'article 35 du RGPD. Elle consiste à documenter, avant de lancer un traitement de données personnelles, les risques qu'il fait peser sur les personnes concernées, et les mesures prises pour les réduire.

Ce n'est pas une formalité administrative de plus : c'est un outil de pilotage. Elle oblige à se poser les bonnes questions avant de développer un projet, plutôt que de corriger après coup un traitement mal cadré. Et en cas de contrôle CNIL, elle constitue une preuve de conformité — son absence, quand elle était requise, est elle-même une source de sanction.

La CNIL met à disposition une méthodologie et un outil de référence pour structurer cette analyse. Vous pouvez consulter notre page sur le registre des traitements : l'AIPD s'appuie directement sur les traitements que vous y avez déjà recensés.

La question à se poser en premier

Quand l'AIPD est-elle obligatoire ?

L'article 35 du RGPD impose une AIPD lorsqu'un traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». En pratique, c'est notamment le cas pour :

  • l'utilisation de nouvelles technologies dont les impacts sur les personnes ne sont pas encore bien connus ;
  • un profilage à grande échelle ou une évaluation systématique de personnes, notamment lorsqu'elle produit des effets juridiques ou les affecte de façon significative ;
  • un traitement à grande échelle de données sensibles (santé, biométrie, origine, opinions...) ou de données à caractère hautement personnel.

En dehors de ces situations à risque élevé, mener une AIPD n'est pas une obligation légale — mais reste une bonne pratique pour tout projet impliquant des données personnelles sensibles ou un volume important d'utilisateurs. Si vous vous demandez si l'IA que vous déployez déclenche d'autres obligations, notre page IA Act : suis-je concerné ? fait le point.

Méthodologie

Comment mener une AIPD en 4 étapes.

Une trame générale, à adapter à la nature et à l'ampleur de votre traitement.

1. Décrire le traitement

Finalités, données collectées, personnes concernées, destinataires et durées de conservation.

2. Évaluer la nécessité

Vérifier que le traitement est proportionné à sa finalité et que la base légale retenue est solide.

3. Identifier les risques

Évaluer les risques pour les personnes concernées : leur vraisemblance et leur gravité potentielle.

4. Définir les mesures

Lister les actions techniques et organisationnelles qui réduisent ces risques à un niveau acceptable.

Une AIPD à mener sur un projet en cours ?

Notre IA vous aide à structurer l'analyse ; vous pouvez à tout moment faire relire le résultat par un juriste de magistère, facturé au temps passé. Consultez aussi nos offres pour choisir le bon niveau d'accompagnement.

Faire le point avec nous

Contenu à visée informative, à jour au moment de sa rédaction. Il ne constitue pas un conseil juridique personnalisé au sens de la loi n°71-1130 du 31 décembre 1971 — chaque situation mérite une analyse dédiée.