AIPD RGPD : quand une analyse d'impact relative à la protection des données est-elle requise ? (2026)

Une AIPD (analyse d'impact relative à la protection des données) est requise au titre de l'article 35 du règlement (UE) 2016/679 chaque fois qu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Les responsables du traitement doivent réaliser cette analyse avant le début du traitement, et non après.
Pour une présentation générale du règlement, voir qu'est-ce que le RGPD. Si vous élaborez un programme de mise en conformité, la liste de contrôle de conformité RGPD couvre l'ensemble plus large des obligations, et les exigences relatives au DPO au titre du RGPD explique quand vous devez désigner un délégué à la protection des données pour vous conseiller sur l'AIPD.
Qu'est-ce qu'une AIPD au titre du RGPD ?
Une analyse d'impact relative à la protection des données est un processus structuré et documenté par lequel un responsable du traitement identifie et évalue les risques pour la vie privée créés par une opération de traitement envisagée, et détermine les mesures permettant de ramener ces risques à un niveau acceptable. L'article 35, paragraphe 1, du règlement (UE) 2016/679 définit cette obligation : « Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel. »
L'AIPD remplace le régime de notification préalable de la directive 95/46/CE. Le considérant 89 explique ce changement : le RGPD supprime « l'obligation générale de notification » car l'enregistrement généralisé créait des charges administratives sans améliorer la protection de manière fiable. Le règlement concentre au contraire l'attention réglementaire sur le sous-ensemble d'opérations qui présentent véritablement un risque élevé.
L'obligation incombe au responsable du traitement. Les sous-traitants peuvent y contribuer, et l'article 28, paragraphe 3, point f), impose spécifiquement au sous-traitant d'« aider le responsable du traitement à garantir le respect des obligations découlant des articles 32 à 36 », mais l'obligation légale appartient uniquement au responsable du traitement.
Une AIPD n'est pas un exercice ponctuel. L'article 35, paragraphe 11, impose aux responsables du traitement de réexaminer l'analyse « à tout le moins lorsqu'il y a une modification du risque présenté par les opérations de traitement ». Un traitement évalué comme présentant un faible risque à sa conception peut devenir à haut risque si la technologie, l'échelle, les catégories de données, ou le contexte d'utilisation évoluent.
Quand une AIPD est-elle obligatoire ? Le seuil du risque élevé
La condition déclenchant l'obligation est qu'un traitement soit « susceptible d'engendrer un risque élevé » pour les personnes, un critère prospectif et prédictif. Le responsable du traitement doit évaluer la probabilité d'un tel risque, sans attendre qu'un préjudice se matérialise. Les nouvelles technologies font l'objet d'une mention particulière à l'article 35, paragraphe 1, car elles tendent à créer des risques qui n'ont pas encore été évalués ni encadrés par une pratique établie.
L'article 35, paragraphe 3, fournit trois catégories explicites qui imposent intrinsèquement une AIPD. Il s'agit d'un seuil minimal, et non d'un plafond : d'autres types de traitement non énumérés à l'article 35, paragraphe 3, peuvent également nécessiter une AIPD si le critère général de risque élevé de l'article 35, paragraphe 1, est rempli.
Article 35, paragraphe 3, point a) : profilage automatisé systématique produisant des effets juridiques ou similaires significatifs
L'article 35, paragraphe 3, point a), impose une AIPD pour « une évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire ». Trois éléments doivent être réunis ensemble : l'évaluation est systématique et approfondie ; le traitement est automatisé ; et les décisions qui en résultent produisent des effets juridiques (modification de droits ou de statut juridique) ou des effets similaires significatifs (refus d'emploi, exclusion d'une prestation, dégradation matérielle des conditions financières).
Le considérant 71 donne des exemples concrets : les demandes de crédit en ligne, la présélection automatisée de recrutement, et les modèles de tarification d'assurance. Cette catégorie couvre également le scoring algorithmique en matière de police prédictive, la détection automatisée de fraude bloquant le compte d'un client sans intervention humaine, et les filières de publicité comportementale où la différenciation est significative.
Le principe limitatif tient aux « effets juridiques ou effets similaires significatifs ». Une personnalisation qui modifie la couleur d'une page web, ou une recommandation de playlist sans conséquence, n'atteint pas ce seuil.
Article 35, paragraphe 3, point b) : traitement à grande échelle de données sensibles ou relatives à des infractions pénales
L'article 35, paragraphe 3, point b), impose une AIPD pour « le traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10 ». Les catégories particulières incluent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques traitées à des fins d'identification unique, les données de santé, et les données concernant la vie sexuelle ou l'orientation sexuelle.
Le critère de grande échelle est important. Le considérant 91 précise qu'un professionnel de la santé individuel traitant les données de ses propres patients ne se livre pas à un traitement à grande échelle. Le WP248 recommande de tenir compte de quatre facteurs : le nombre de personnes concernées ; le volume ou l'étendue des données traitées ; la durée de l'activité ; et l'étendue géographique. Un réseau hospitalier traitant les dossiers de centaines de milliers de patients à l'échelle d'une région atteint clairement ce seuil ; un cabinet individuel desservant quelques centaines de patients ne l'atteint pas.
Article 35, paragraphe 3, point c) : surveillance systématique à grande échelle de zones accessibles au public
L'article 35, paragraphe 3, point c), impose une AIPD pour « une surveillance systématique à grande échelle d'une zone accessible au public ». Le considérant 91 donne comme exemple « la surveillance à grande échelle de zones accessibles au public, notamment lorsqu'elle est effectuée à l'aide de dispositifs optoélectroniques ». Les systèmes de vidéosurveillance dans les espaces publics constituent le cas paradigmatique. Ce critère s'applique aussi bien aux entités privées qu'aux autorités publiques. Les technologies modernes d'analyse vidéo utilisant la reconnaissance faciale ou la reconnaissance de la démarche relèvent pleinement de cette catégorie et déclenchent une considération supplémentaire au titre de l'article 35, paragraphe 3, point a). Une caméra unique dans un petit commerce, surveillée manuellement pendant les heures d'ouverture, n'est probablement ni à grande échelle ni systématique. Un réseau de centaines de caméras dans un centre-ville, avec des analyses automatisées et une conservation de plusieurs semaines, l'est manifestement.
Les neuf critères du CEPD relatifs au risque élevé
Les lignes directrices WP248 du CEPD (adoptées en octobre 2017, approuvées par le CEPD en mai 2018) identifient neuf critères indicateurs d'un risque élevé probable au sens de l'article 35, paragraphe 1. Aucun critère n'est individuellement déterminant ; la position du CEPD est que tout traitement satisfaisant à deux critères ou plus devrait être considéré comme nécessitant une AIPD.
1. Évaluation ou notation. Le traitement évalue ou note des personnes, y compris par profilage et prédiction, sur des aspects tels que la performance au travail, la situation économique, la santé, les préférences personnelles, la fiabilité, le comportement, la localisation ou les déplacements.
2. Prise de décision automatisée produisant des effets juridiques ou similaires. Le traitement implique des décisions automatisées produisant des effets juridiques ou similaires significatifs, comme à l'article 35, paragraphe 3, point a).
3. Surveillance systématique. Le traitement implique une observation ou un contrôle systématique des personnes, y compris des données collectées via des réseaux ou une surveillance dissimulée des salariés ou des consommateurs. Couvre le fingerprinting d'appareils, le suivi persistant par cookies, la surveillance du trafic réseau, et les logiciels de surveillance des salariés.
4. Données sensibles ou données à caractère hautement personnel. Le traitement implique des données visées à l'article 9, des données relatives à des infractions pénales visées à l'article 10, des données financières, des données de localisation, des données de santé, ou d'autres données dont l'usage abusif pourrait causer un préjudice significatif. Le CEPD identifie spécifiquement les données de transactions financières comme indicateur de risque élevé.
5. Données traitées à grande échelle. Un critère autonome appliquant le qualificatif de grande échelle de l'article 35, paragraphe 3, point b), à l'ensemble des types de données à caractère personnel, et non aux seules catégories particulières.
6. Croisement ou combinaison de jeux de données. Le traitement combine, recoupe ou croise des données provenant de deux sources distinctes ou plus, d'une manière susceptible d'excéder les attentes raisonnables des personnes concernées au moment de la collecte initiale de chaque source.
7. Données concernant des personnes vulnérables. Le traitement implique des personnes en situation de vulnérabilité vis-à-vis du responsable du traitement : enfants, salariés, patients, personnes âgées, et demandeurs d'asile. Les enfants font l'objet d'une mention particulière car ils sont « moins conscients des risques, des conséquences et des garanties liés au traitement de leurs données à caractère personnel, et de leurs droits en la matière ».
8. Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles. Le traitement applique une technologie de manière inédite (IoT, reconnaissance biométrique, IA, objets connectés) dont les conséquences sociétales ou individuelles plus larges n'ont pas encore été établies.
9. Traitement empêchant les personnes concernées d'exercer un droit ou d'utiliser un service. Le traitement détermine s'il convient d'accorder ou de refuser l'accès à quelque chose auquel la personne concernée a droit ou peut raisonnablement s'attendre : un compte bancaire, une prestation sociale, un traitement médical, un emploi, ou un logement.
Les listes noires des autorités de contrôle nationales
L'article 35, paragraphe 4, impose à chaque autorité de contrôle nationale d'« établir et publier une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise en vertu du paragraphe 1 ». Ces listes noires sont juridiquement contraignantes dans leur juridiction respective. Les responsables du traitement opérant dans plusieurs États membres de l'UE/EEE doivent consulter la liste noire de chaque autorité nationale concernée, les catégories déclenchantes pouvant différer.
L'article 35, paragraphe 5, permet également aux autorités de contrôle de publier une liste blanche des types de traitement ne nécessitant pas d'AIPD. Lorsqu'une entrée de la liste blanche couvre une opération envisagée, une AIPD n'est pas nécessaire, sauf si des circonstances particulières font franchir à l'opération le seuil général de risque élevé.
Le mécanisme de contrôle de la cohérence prévu à l'article 35, paragraphe 6, s'applique lorsqu'une liste proposée concerne un traitement « lié à l'offre de biens ou de services à des personnes concernées ou au suivi du comportement de ces dernières dans plusieurs États membres, ou susceptible d'affecter sensiblement la libre circulation des données à caractère personnel au sein de l'Union ». Dans ce cas, l'autorité doit recourir au mécanisme de contrôle de la cohérence prévu à l'article 63, ce qui implique le CEPD.
Exemples illustratifs tirés de listes noires nationales : la CNIL française a inclus le contrôle d'accès biométrique sur les lieux de travail, le scoring prédictif du risque social dans les contextes publics, le traitement à grande échelle de données de santé, et le rapprochement automatisé de bases de données employeurs et de prestations sociales. La Conférence allemande de protection des données a inclus le traitement systématique des données comportementales des salariés, les dossiers de santé de patients à grande échelle, et l'évaluation de crédit pilotée par l'IA. L'ICO britannique (UK GDPR) répertorie le profilage à grande échelle d'enfants, la surveillance systématique des communications des salariés, les données biométriques pour l'authentification du personnel, et les profils comportementaux multi-sources.
Les responsables du traitement doivent vérifier la liste actuelle publiée par chaque autorité de contrôle concernée, et non se fier à un résumé. Les listes sont mises à jour à mesure que le CEPD adopte de nouvelles orientations ou que les autorités nationales réagissent à de nouvelles technologies.
| Opération de traitement | Déclencheur applicable | Exemple |
|---|---|---|
| Scoring de crédit automatisé avec décision de refus | Art. 35, § 3, a) + critères CEPD 1, 2 | Prêteur fintech utilisant l'apprentissage automatique pour approuver ou rejeter des demandes |
| Reconnaissance faciale pour le pointage des salariés | Art. 35, § 3, b) et c) + critères CEPD 3, 4, 8 | Système biométrique de présence sur un grand effectif |
| Analyse de données de santé à grande échelle | Art. 35, § 3, b) + critères CEPD 4, 5 | Réseau hospitalier exploitant les dossiers de patients à des fins de recherche |
| Vidéosurveillance urbaine avec analyse vidéo | Art. 35, § 3, c) + critères CEPD 3, 8 | Réseau de caméras de ville intelligente avec analyse comportementale automatisée |
| Logiciel de surveillance de la productivité des salariés | Critères CEPD 3, 7 + liste noire de l'art. 35, § 4 | Enregistrement de frappe et capture d'écran sur des télétravailleurs |
| Profil publicitaire comportemental multiplateforme | Critères CEPD 1, 5, 6 | Régie publicitaire combinant navigation, achats et données de localisation |
| Scoring algorithmique d'éligibilité à des prestations | Art. 35, § 3, a) + critères CEPD 2, 7, 9 | Système public déterminant automatiquement l'éligibilité à une aide au logement |
| Application pour enfants traitant localisation et comportement | Critères CEPD 4, 7, 8 | Plateforme éducative ludifiée collectant des données d'usage continu auprès de mineurs de moins de 16 ans |
Ce que doit contenir une AIPD : l'article 35, paragraphe 7
L'article 35, paragraphe 7, précise les exigences minimales de contenu. L'analyse doit inclure « au moins » quatre éléments, développés par le WP248.
| Élément requis (art. 35, § 7) | Ce qu'il doit couvrir | Questions pratiques à traiter |
|---|---|---|
| a) Description systématique des opérations de traitement et des finalités, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement | Décrire les données collectées, leurs sources, les moyens utilisés, leur usage, les personnes y ayant accès, la durée de conservation, et les destinataires | Quelles données sont traitées ? Quelle est la base légale ? Qui y a accès ? Des sous-traitants sont-ils impliqués ? |
| b) Évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités | Démontrer que le traitement constitue le moyen minimal nécessaire et proportionné pour atteindre la finalité visée ; que des alternatives moins intrusives ont été envisagées | La même finalité pourrait-elle être atteinte avec moins de données, avec des données anonymisées, ou sans la nouvelle technologie ? |
| c) Évaluation des risques pour les droits et libertés des personnes concernées | Identifier des scénarios de risque précis : violations de données, accès illicite, réidentification, décisions discriminatoires, perte du droit à l'effacement, effets dissuasifs sur le comportement | Quelle est la probabilité de chaque scénario de risque ? Quelle est la gravité du préjudice s'il se réalise ? |
| d) Mesures envisagées pour faire face aux risques, y compris les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à démontrer le respect du RGPD | Décrire les mesures techniques et organisationnelles atténuant chaque risque identifié ; indiquer le risque résiduel après application des mesures | Quel chiffrement, contrôles d'accès, pseudonymisation ou minimisation des données sont en place ? Quel est le risque résiduel ? |
Au-delà des quatre éléments obligatoires, le WP248 recommande également de documenter : l'identité et les coordonnées du responsable du traitement et du DPO ; les catégories de personnes concernées et de données à caractère personnel ; les durées de conservation ; un compte rendu de la manière dont le DPO a été consulté ; et la date de l'analyse ainsi que la date prévue de son réexamen.
L'AIPD est un document de travail. Un résumé de deux pages affirmant que « des mesures appropriées ont été prises » n'est pas conforme. La position du CEPD est que le document devrait refléter une méthodologie structurée et reproductible, telle que la méthodologie d'analyse d'impact de la CNIL, la norme ISO 29134, ou la norme BSI-Standard 200-2, bien que le règlement n'impose aucune méthodologie spécifique.
Qui est responsable de l'AIPD ?
Le responsable du traitement est juridiquement responsable de la réalisation de l'AIPD et de l'exactitude et de l'exhaustivité de son contenu. Cette responsabilité ne peut être déléguée par contrat à un sous-traitant ou à un prestataire d'AIPD.
L'article 35, paragraphe 2, impose au responsable du traitement de « demander conseil au délégué à la protection des données, lorsqu'il en a désigné un, lors de la réalisation d'une analyse d'impact relative à la protection des données ». Il s'agit d'une obligation de consultation, et non d'un transfert de responsabilité. Le rôle du DPO dans l'AIPD est précisé à l'article 39, paragraphe 1, point c), qui impose au DPO de « dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 35 ». Si le responsable du traitement passe outre l'avis du DPO, il devrait en documenter les raisons.
L'article 35, paragraphe 9, encourage les responsables du traitement à « recueillir l'avis des personnes concernées ou de leurs représentants sur le traitement prévu ». Il s'agit d'une recommandation de bonne pratique, et non d'une exigence obligatoire, mais pour les produits destinés aux consommateurs, cela peut renforcer la phase d'identification des risques.
Les sous-traitants qui développent des produits utilisés par des responsables du traitement pour des traitements à haut risque ont un intérêt indirect. L'article 28, paragraphe 3, point f), impose au sous-traitant d'assister le responsable du traitement, et de nombreux sous-traitants fournissent désormais une documentation d'AIPD préétablie ou des outils de cartographie des flux de données en tant que livrable contractuel.
Le calendrier : avant le début du traitement
L'article 35, paragraphe 1, est sans ambiguïté : l'AIPD doit être réalisée « avant le traitement ». L'analyse doit être achevée, les risques évalués, les mesures d'atténuation en place (ou la consultation préalable effectuée si un risque résiduel élevé subsiste), et le responsable du traitement doit être convaincu que le traitement peut débuter licitement. Tout cela doit être fait avant tout traitement effectif.
Les responsables du traitement doivent intégrer l'achèvement de l'AIPD dans le calendrier de leurs projets. Une AIPD entamée après la mise en production, ou antidatée pour couvrir un traitement déjà en cours, n'est pas conforme. Les autorités de contrôle ont expressément critiqué les AIPD réalisées a posteriori, y voyant la preuve d'un manquement au principe de responsabilité de l'article 5, paragraphe 2.
Le considérant 90 énonce la séquence requise : concevoir le traitement ; réaliser l'AIPD ; si un risque résiduel élevé subsiste, consulter l'autorité de contrôle ; commencer le traitement seulement ensuite.
Pour les grandes organisations, un processus par étapes est courant. Une phase de dépistage détermine si une AIPD complète est nécessaire. Lorsque le dépistage confirme un risque élevé, l'AIPD complète suit avant que la conception du traitement ne soit finalisée. L'ICO et la CNIL publient tous deux des modèles de dépistage que les responsables du traitement peuvent utiliser pour documenter le résultat, y compris lorsque la conclusion est qu'une AIPD complète n'est pas requise.
Méthode AIPD, étape par étape
Étape 1 : identifier l'opération de traitement et confirmer si une AIPD est requise. Cartographier l'opération envisagée, y compris les types de données, les personnes concernées, les finalités, la base légale, la technologie, la durée de conservation, et les parties impliquées. Appliquer le test en trois volets : a) L'opération relève-t-elle d'une catégorie obligatoire de l'article 35, paragraphe 3 ? b) La liste noire de l'autorité de contrôle couvre-t-elle ce type de traitement ? c) Deux critères ou plus parmi les neuf du CEPD s'appliquent-ils ? Si une réponse est positive, une AIPD est requise. Documenter le résultat dans tous les cas.
Étape 2 : consulter le DPO. Au titre de l'article 35, paragraphe 2, si un DPO a été désigné, partager le résultat de l'étape 1, lui demander de confirmer la méthodologie, et signaler les préoccupations juridiques préliminaires. Consigner la date de consultation et la réponse du DPO.
Étape 3 : décrire le traitement de manière systématique. Préparer une description écrite couvrant : les catégories et le volume de données à caractère personnel ; les personnes concernées ; la méthode de collecte ; les finalités précises ; la base légale au titre de l'article 6, paragraphe 1 (et de l'article 9, paragraphe 2, si des catégories particulières sont concernées) ; le flux de données depuis la collecte jusqu'à la suppression ; les sous-traitants et sous-traitants ultérieurs et la relation contractuelle avec chacun ; le calendrier de conservation ; et les juridictions du traitement.
Étape 4 : évaluer la nécessité et la proportionnalité. Pour chaque finalité de traitement, évaluer : si la finalité pourrait être atteinte sans données à caractère personnel, avec des données anonymisées ou pseudonymisées, ou avec moins de données ; si la durée de conservation est le minimum nécessaire ; si la base légale est correctement identifiée ; et si le traitement est conforme aux attentes raisonnables des personnes concernées. Lorsqu'une alternative moins intrusive existe, documenter le motif du choix retenu.
Étape 5 : identifier et évaluer les risques. Pour chaque élément du traitement, identifier des scénarios de risque classés selon leur impact sur les personnes (impossibilité d'exercer un droit ; préjudice physique, économique ou de réputation ; traitement discriminatoire ; perte de confidentialité ; réidentification ; effets dissuasifs) et selon leur probabilité, en tenant compte des garanties existantes. Pour chaque scénario, consigner une note de probabilité, une note de gravité, et les mesures d'atténuation existantes.
Étape 6 : identifier et documenter les mesures d'atténuation. Pour chaque scénario à risque moyen ou élevé, identifier des mesures supplémentaires : techniques (chiffrement, pseudonymisation, minimisation des données, suppression automatisée, contrôle d'accès, journalisation des audits) et organisationnelles (formation du personnel, obligations contractuelles des sous-traitants, procédures de réponse aux violations, revues d'accès, protection des données dès la conception). Pour chaque mesure, consigner le risque résiduel qui subsisterait.
Étape 7 : évaluer le risque résiduel global. Si tous les risques identifiés ont été ramenés à un niveau faible ou acceptable, l'AIPD étaye la décision de poursuivre. Si un scénario de risque conserve un risque résiduel élevé, le responsable du traitement doit reconcevoir le traitement pour le réduire, ou passer à l'étape 8.
Étape 8 : consultation préalable de l'autorité de contrôle en cas de risque résiduel élevé persistant. L'article 36, paragraphe 1, dispose : « le responsable du traitement consulte l'autorité de contrôle préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données effectuée au titre de l'article 35 indique que le traitement présenterait un risque élevé en l'absence des mesures prises par le responsable du traitement pour atténuer le risque ». Le traitement ne peut débuter avant que l'autorité n'ait répondu ou que le délai de consultation ne se soit écoulé.
Étape 9 : documenter, approuver et consigner l'AIPD. L'AIPD achevée devrait être validée par le responsable du traitement ou un représentant désigné disposant du pouvoir d'accepter le risque. Lorsque le DPO a été consulté, son avis et la réponse du responsable du traitement devraient figurer dans le dossier. Conserver ce document comme preuve de responsabilité au titre de l'article 5, paragraphe 2.
Étape 10 : fixer un calendrier de réexamen. L'article 35, paragraphe 11, impose un réexamen « à tout le moins lorsqu'il y a une modification du risque présenté par les opérations de traitement ». Prévoir une date de réexamen dans le document : généralement 12 à 24 mois pour les opérations à risque modéré, et 6 à 12 mois pour celles proches du seuil de risque élevé. Tout changement significatif de technologie, d'échelle, de type de données, de finalité, ou de contexte réglementaire devrait déclencher un réexamen intermédiaire.
La consultation préalable au titre de l'article 36
L'article 36 s'active lorsque l'AIPD conclut qu'un risque résiduel élevé subsiste même après application de toutes les mesures d'atténuation raisonnables. Le responsable du traitement doit alors consulter l'autorité de contrôle avant de poursuivre. L'article 36, paragraphe 1, utilise l'impératif « consulte ».
Lors de la soumission d'une demande de consultation préalable, le responsable du traitement doit fournir les éléments énumérés à l'article 36, paragraphe 3 : les responsabilités respectives du responsable du traitement et du sous-traitant ; les finalités et les moyens du traitement envisagé ; les mesures et garanties destinées à protéger les personnes concernées ; les coordonnées du DPO ; l'AIPD achevée ; et toute autre information demandée par l'autorité.
L'autorité de contrôle dispose de huit semaines au maximum pour fournir un avis écrit au titre de l'article 36, paragraphe 2, prorogeable de six semaines supplémentaires pour les traitements particulièrement complexes. Pendant la période de consultation, l'autorité peut exercer « l'un quelconque de ses pouvoirs visés à l'article 58 », notamment émettre un avertissement formel, imposer une interdiction temporaire de traitement, ou engager une procédure pour violation.
La consultation préalable ne constitue ni une préapprobation réglementaire ni un refuge juridique. Une autorité de contrôle qui ne s'oppose pas dans le délai de consultation n'a pas approuvé de manière positive le traitement. Le responsable du traitement demeure juridiquement responsable de la conformité au RGPD. Une consultation préalable achevée crée toutefois un dossier contemporain attestant que le responsable du traitement a identifié le risque résiduel, l'a divulgué à l'autorité compétente, et n'a pas reçu instruction de cesser.
L'article 36, paragraphe 4, impose aux États membres de consulter l'autorité de contrôle « lors de l'élaboration d'une proposition de mesure législative devant être adoptée par un parlement national [...] qui se rapporte au traitement », équivalent pour le secteur public du même principe.
Conséquences de l'absence d'une AIPD requise
Le défaut de réalisation d'une AIPD requise constitue une violation directe de l'article 35. Au titre de l'article 83, paragraphe 4, les violations des articles 35 et 36 sont soumises au palier inférieur d'amendes administratives : jusqu'à 10 millions d'euros, ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. L'amende est calculée par violation et par établissement.
L'AEPD espagnole et l'autorité de contrôle hongroise ont toutes deux rendu des décisions dans lesquelles l'absence d'AIPD pour un traitement manifestement à haut risque figurait parmi les manquements retenus. Les rapports annuels du CEPD identifient la conformité en matière d'AIPD comme l'une des lacunes les plus fréquemment relevées lors des inspections.
Au-delà du risque d'amende directe, l'absence d'AIPD crée des problèmes de responsabilité en aval. Un responsable du traitement incapable de produire une AIPD pour un traitement manifestement à haut risque ne peut pas démontrer sa conformité à l'article 5, paragraphe 2, ni à l'obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées au titre de l'article 24, paragraphe 1. L'absence du document constitue en elle-même une preuve de défaillance systémique.
Les sous-traitants opérant dans le cadre d'accords au titre de l'article 28 sont de plus en plus souvent tenus par les responsables du traitement de certifier leur coopération aux processus d'AIPD. Les sous-traitants incapables de documenter leurs flux de données, leurs sous-traitants ultérieurs, et leur architecture de sécurité créent des lacunes de conformité pour leurs clients responsables du traitement.
Interaction avec d'autres dispositions du RGPD
Protection des données dès la conception et par défaut (article 25). L'article 25, paragraphe 1, impose aux responsables du traitement de mettre en œuvre des mesures conçues pour appliquer les principes de protection des données et intégrer les garanties nécessaires dans le traitement. L'AIPD constitue le mécanisme principal permettant d'identifier ces mesures pour les traitements à haut risque, alimentant directement le processus de protection de la vie privée dès la conception.
Registre des activités de traitement (article 30). L'AIPD devrait être mise en correspondance avec le registre de l'article 30. Le registre constitue l'inventaire ; l'AIPD est l'analyse approfondie des entrées à haut risque.
Sécurité du traitement (article 32). L'article 32, paragraphe 1, exige des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. L'évaluation des risques de l'AIPD constitue le fondement naturel de l'analyse au titre de l'article 32. Les responsables du traitement qui traitent ces exercices séparément constatent souvent que leur évaluation de sécurité contredit leur AIPD.
Catégories particulières et infractions pénales (articles 9 et 10). Au-delà de déclencher l'AIPD obligatoire de l'article 35, paragraphe 3, point b), la liste plus restreinte de bases légales admissibles au titre des articles 9 et 10 signifie que l'évaluation de nécessité et de proportionnalité doit examiner de manière plus rigoureuse si la condition spécifique de l'article 9, paragraphe 2, invoquée s'applique réellement à chaque élément du traitement.
Transferts vers des pays tiers (articles 46 à 49). Lorsque le traitement implique un transfert de données à caractère personnel hors de l'UE/EEE, le mécanisme de transfert doit être documenté dans l'AIPD, et l'adéquation de la protection dans le pays de destination doit être intégrée dans l'évaluation des risques. L'arrêt Schrems II (Data Protection Commissioner contre Facebook Ireland Limited et Maximillian Schrems, affaire C-311/18, grande chambre, 16 juillet 2020) impose aux responsables du traitement de réaliser une analyse d'impact relative aux transferts pour les transferts reposant sur des clauses contractuelles types ; cette analyse devrait être intégrée à l'AIPD ou directement référencée par celle-ci.
Avertissement : Cet article présente des informations juridiques générales sur le règlement (UE) 2016/679 (RGPD) et ne constitue pas un conseil juridique. Le RGPD est interprété et appliqué par des autorités de contrôle réparties dans 30 États membres de l'UE/EEE, et les exigences applicables peuvent varier selon la nature de votre traitement, les États membres dans lesquels vous opérez, et les évolutions des orientations réglementaires et de la jurisprudence. Les informations de cette page ont été vérifiées à partir de sources officielles à jour au mois de juin 2026. Consultez un avocat ou un spécialiste de la protection des données qualifié, inscrit au barreau de la juridiction concernée, pour des conseils adaptés à votre situation spécifique.
Frequently Asked Questions
Quand une AIPD est-elle requise au titre du RGPD ?
Une AIPD est requise au titre de l'article 35, paragraphe 1, lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, en particulier en cas de recours à de nouvelles technologies. L'article 35, paragraphe 3, rend les AIPD obligatoires dans trois cas : le profilage automatisé systématique produisant des effets juridiques ou similaires significatifs ; le traitement à grande échelle de données sensibles ou relatives à des infractions pénales ; et la surveillance systématique à grande échelle de zones accessibles au public. Les responsables du traitement doivent également consulter la liste noire publiée par leur autorité de contrôle nationale. Lorsque deux critères ou plus parmi les neuf critères de risque élevé du CEPD sont remplis, la position du CEPD au titre du WP248 est qu'une AIPD devrait être réalisée.
Qui est responsable de la réalisation d'une AIPD ?
Le responsable du traitement est juridiquement responsable de la réalisation de l'AIPD. L'article 35, paragraphe 2, lui impose de consulter son délégué à la protection des données désigné pendant l'analyse, s'il en a nommé un, mais le rôle du DPO est consultatif : la responsabilité de l'exactitude et de l'exhaustivité de l'AIPD demeure celle du responsable du traitement. Les sous-traitants doivent assister les responsables du traitement au titre de l'article 28, paragraphe 3, point f), mais ils ne peuvent pas assumer la responsabilité légale du responsable du traitement. Les responsables du traitement ne peuvent pas se soustraire à l'obligation d'AIPD en engageant un prestataire tiers, bien qu'ils puissent recourir à une expertise externe pour soutenir le processus.
Que se passe-t-il si un responsable du traitement ne réalise pas une AIPD requise ?
Le défaut de réalisation d'une AIPD requise constitue une violation de l'article 35, passible d'amendes administratives au titre de l'article 83, paragraphe 4, pouvant atteindre 10 millions d'euros, ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Au-delà de l'amende directe, l'absence d'AIPD constitue une preuve de défaut de mise en œuvre de mesures techniques et organisationnelles appropriées au titre de l'article 24, paragraphe 1, et de défaut de démonstration de conformité au titre de l'article 5, paragraphe 2. Les autorités de contrôle menant des inspections ou traitant des plaintes identifient régulièrement l'absence d'AIPD comme une lacune de conformité, et son absence peut transformer une violation isolée en un constat plus large de défaillance systémique de responsabilité.
Une AIPD est-elle obligatoire pour la vidéosurveillance ?
La surveillance systématique à grande échelle de zones accessibles au public au moyen de la vidéosurveillance relève du déclencheur obligatoire d'AIPD prévu à l'article 35, paragraphe 3, point c). Le fait qu'une installation spécifique atteigne les seuils de grande échelle et de caractère systématique dépend des faits : une caméra unique dans un petit commerce de détail, surveillée manuellement pendant les heures d'ouverture, ne nécessite probablement pas d'AIPD, tandis qu'un réseau de caméras couvrant un vaste espace public, avec des analyses automatisées et des durées de conservation étendues, en nécessite manifestement une. Les responsables du traitement devraient également consulter la liste noire de leur autorité de contrôle nationale. Lorsque le système de vidéosurveillance intègre la reconnaissance faciale ou une analyse biométrique, l'article 35, paragraphe 3, points a) et b), sera également engagé.
Qu'est-ce que la consultation préalable au titre de l'article 36 du RGPD ?
La consultation préalable est le processus par lequel un responsable du traitement doit notifier et consulter son autorité de contrôle compétente avant de commencer un traitement qui, même après application de toutes les mesures d'atténuation raisonnables, présente un risque résiduel élevé pour les personnes concernées. L'obligation prévue à l'article 36, paragraphe 1, s'applique lorsque l'AIPD confirme que le risque résiduel élevé ne peut pas être suffisamment réduit. Le responsable du traitement doit soumettre l'AIPD achevée, une description du traitement, les garanties en place, et les coordonnées du DPO. L'autorité de contrôle dispose de huit semaines au maximum pour répondre, avec une possible prorogation de six semaines pour les opérations complexes. L'autorité peut donner un avis, émettre des avertissements, ou interdire le traitement si elle estime que l'opération violerait le RGPD.
Une AIPD doit-elle être soumise à l'autorité de contrôle ?
Pas de manière systématique. Une AIPD est un document de responsabilité interne que le responsable du traitement prépare et conserve. La soumission n'est requise que dans deux situations : lorsque la consultation préalable au titre de l'article 36 est déclenchée parce que l'AIPD révèle un risque résiduel élevé non atténuable ; et lorsqu'une autorité de contrôle exerce ses pouvoirs d'inspection ou d'enquête et demande à examiner l'AIPD. Les responsables du traitement devraient donc considérer les AIPD comme des documents susceptibles d'être demandés par les autorités à tout moment, et veiller à ce qu'ils soient détaillés, bien documentés et à jour.
Une seule AIPD peut-elle couvrir plusieurs opérations de traitement ?
Oui. L'article 35, paragraphe 1, fait référence à « un type d'opération de traitement », et le considérant 92 confirme qu'une AIPD peut porter sur un ensemble d'opérations de traitement similaires présentant des risques élevés similaires. Une AIPD unique couvrant une plateforme qui traite des données de manière comparable à plusieurs égards est acceptable, à condition que l'analyse traite les risques spécifiques associés à chaque activité distincte. De même, des autorités publiques établissant une infrastructure de traitement partagée, ou plusieurs responsables du traitement d'un même secteur déployant une technologie commune, peuvent réaliser une AIPD unique, sous réserve que chaque responsable du traitement réexamine l'analyse partagée au regard de son propre contexte spécifique.
À quelle fréquence une AIPD doit-elle être réexaminée ?
L'article 35, paragraphe 11, impose aux responsables du traitement de réexaminer l'AIPD « à tout le moins lorsqu'il y a une modification du risque présenté par les opérations de traitement ». Le texte du RGPD ne fixe pas d'intervalle calendaire précis, mais le WP248 recommande de fixer un calendrier de réexamen lors de l'achèvement de l'AIPD, avec des intervalles typiques d'un à deux ans pour les opérations à risque modéré. Tout changement significatif dans le traitement (y compris de nouveaux types de données, une augmentation significative de l'échelle, une nouvelle technologie, une nouvelle finalité, de nouveaux pays destinataires, ou un changement de contexte juridique ou réglementaire) devrait déclencher un réexamen intermédiaire. Les responsables du traitement devraient consigner la date de réexamen prévue dans le document d'AIPD lui-même.
Quel est le document d'orientation du CEPD sur les AIPD ?
L'orientation principale du CEPD est le WP248rev.01, « Lignes directrices concernant l'analyse d'impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est susceptible d'engendrer un risque élevé aux fins du règlement 2016/679 ». Il a été adopté par le groupe de travail Article 29 le 4 avril 2017, révisé le 4 octobre 2017, et approuvé par le CEPD lors de sa première session plénière en mai 2018. Le WP248 énonce les neuf critères de risque élevé, recommande la réalisation d'une AIPD lorsque deux critères ou plus sont remplis, décrit le contenu requis d'une AIPD, et explique la relation entre l'AIPD et la consultation préalable. Le document complet est disponible sur le site du CEPD à l'adresse edpb.europa.eu.
Les règles d'AIPD du RGPD s'appliquent-elles aux sous-traitants comme aux responsables du traitement ?
L'obligation légale de réaliser une AIPD incombe au responsable du traitement, et non au sous-traitant. Cependant, l'article 28, paragraphe 3, point f), exige que le contrat de sous-traitance comporte une disposition en vertu de laquelle le sous-traitant assiste le responsable du traitement pour garantir le respect des articles 32 à 36, ce qui inclut expressément l'AIPD et les obligations de consultation préalable. En pratique, les sous-traitants doivent fournir aux responsables du traitement des informations sur leurs flux de données, leurs sous-traitants ultérieurs, et leur architecture de sécurité. Les sous-traitants qui conçoivent des produits susceptibles d'être utilisés pour des traitements à haut risque sont de plus en plus tenus de produire une documentation d'AIPD préétablie ou des modèles d'analyse d'impact dans le cadre de leur offre de produit.
Sources and References
- Règlement (UE) 2016/679 du Parlement européen et du Conseil (règlement général sur la protection des données), article 35 (analyse d'impact relative à la protection des données)(eur-lex.europa.eu)
- Règlement (UE) 2016/679, article 36 (consultation préalable)(eur-lex.europa.eu)
- Règlement (UE) 2016/679, considérants 84, 89, 90, 91, 92, 93(eur-lex.europa.eu)
- Groupe de travail Article 29 (WP29), lignes directrices concernant l'analyse d'impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est susceptible d'engendrer un risque élevé, WP248rev.01 (adoptées le 4 octobre 2017, approuvées par le CEPD en mai 2018)(ec.europa.eu)
- Comité européen de la protection des données, approbation des lignes directrices du WP29, première session plénière du CEPD (25 et 26 mai 2018)(edpb.europa.eu)
- Cour de justice de l'Union européenne, affaire C-131/12, Google Spain SL et Google Inc. contre Agencia Espanola de Proteccion de Datos (AEPD) et Mario Costeja Gonzalez, grande chambre, 13 mai 2014(eur-lex.europa.eu)
- Cour de justice de l'Union européenne, affaire C-311/18, Data Protection Commissioner contre Facebook Ireland Limited et Maximillian Schrems (Schrems II), grande chambre, 16 juillet 2020(eur-lex.europa.eu)
- Comité européen de la protection des données, listes des opérations de traitement nécessitant une AIPD au titre de l'article 35, paragraphe 4 : listes des autorités de contrôle nationales(edpb.europa.eu)
- Information Commissioner's Office (UK GDPR), analyses d'impact relatives à la protection des données(ico.org.uk)
- Commission nationale de l'informatique et des libertés (CNIL), la liste des traitements pour lesquels une AIPD est requise(cnil.fr)