Aller au contenu principal
Conformité Guide pratique PME

Réaliser une analyse d'impact (AIPD) pour les traitements à risque

Disposez-vous d'une analyse d'impact (AIPD/PIA) pour vos traitements à risque élevé ?

En bref — ce que vous devez retenir

L'AIPD (Analyse d'Impact relative à la Protection des Données) est obligatoire pour tout traitement susceptible d'engendrer un risque élevé pour les personnes concernées. Elle documente les risques identifiés et les mesures mises en place pour les réduire.

Glossaire

AIPD

Analyse d'Impact relative à la Protection des Données

Étude obligatoire (imposée par le RGPD) à réaliser avant tout traitement de données personnelles à risque élevé. Elle identifie les risques pour la vie privée et les mesures pour les réduire.

? Nature du problème

L'article 35 du RGPD impose une AIPD avant tout traitement à "risque élevé". Les critères : traitement à grande échelle de données sensibles (santé, opinions politiques, données biométriques), surveillance systématique d'espaces publics, décisions automatisées ayant des effets significatifs.

Une AIPD bien réalisée protège l'entreprise : elle démontre à la CNIL que vous avez évalué les risques et mis en place des mesures proportionnées. En cas de contrôle ou d'incident, c'est une preuve de diligence qui peut réduire les sanctions.

Comment corriger — étape par étape

  1. Identifiez les traitements potentiellement soumis à AIPD : utilisez la liste noire CNIL (traitements qui nécessitent obligatoirement une AIPD)
  2. Si votre traitement est sur la liste ou répond à au moins 2 des 9 critères CEPD, réalisez une AIPD
  3. Utilisez l'outil PIA de la CNIL (logiciel gratuit téléchargeable) qui guide la démarche
  4. L'AIPD documente : description du traitement, évaluation de la nécessité et proportionnalité, identification des risques, mesures d'atténuation
  5. Consultez le DPO ou un conseiller juridique pour les traitements complexes
  6. Conservez l'AIPD dans votre documentation RGPD et mettez-la à jour si le traitement évolue

! Incidents réels

Application santé — Paris, 2022

Application mobile collectant des données de santé sans AIPD réalisée. Contrôle CNIL suite à une plainte. Amende de 250 000 € dont une partie explicitement due à l'absence d'AIPD préalable pour un traitement à haut risque.

DPO — assurance mutuelle, Lyon, 2023

"On a réalisé une AIPD pour notre nouveau système de scoring client. L'analyse a révélé que l'algorithme pouvait être discriminatoire. On a revu la conception avant le déploiement. Sans AIPD, on aurait mis en production un système illégal."

Votre entreprise est-elle vraiment protégée ?

Obtenez votre score cybersécurité en 25 minutes et un plan d'action concret.

Démarrer mon diagnostic →