AIPD : quand réaliser l'analyse d'impact sur les données

·

L'Analyse d'Impact relative à la Protection des Données (AIPD, ou DPIA selon son acronyme anglais : Data Protection Impact Assessment) est l'un des instruments les plus puissants — et les plus fréquemment ignorés — du Règlement Général sur la Protection des Données (RGPD). Son objet n'est pas bureaucratique : il s'agit d'identifier et d'atténuer des risques réels pour les personnes physiques avant qu'un traitement de données ne soit mis en œuvre. Lorsqu'elle est obligatoire, l'omettre expose l'organisation à des sanctions que l'autorité de contrôle compétente peut infliger jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total. Mais au-delà de la sanction, une AIPD bien menée transforme une exigence légale en un véritable outil de gouvernance de la donnée.

Qu'est-ce qu'une AIPD exactement ?

L'article 35 du RGPD définit l'analyse d'impact relative à la protection des données comme un processus systématique que le responsable du traitement doit mener avant d'entamer des opérations susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Il ne s'agit pas d'un formulaire à remplir une seule fois : c'est une analyse documentée qui identifie la nature du traitement, les risques spécifiques et les mesures techniques et organisationnelles à adopter pour les ramener à un niveau acceptable.

L'AIPD se distingue à la fois du Registre des activités de traitement (RAT) et de l'analyse des risques de sécurité générique. Tandis que le RAT inventorie ce qui est fait avec les données, l'AIPD analyse l'impact potentiel sur les personnes lorsque ce «quoi» présente des caractéristiques à risque élevé. Le DPO (Délégué à la Protection des Données), s'il existe, doit être consulté au cours du processus et son avis — et s'il a été suivi ou non — doit être consigné.

Quand l'AIPD est-elle obligatoire ? Les trois règles de l'article 35

L'article 35, paragraphe 1, du RGPD établit l'obligation lorsqu'un type de traitement «est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques». Le Règlement lui-même énumère trois hypothèses qui la déclenchent automatiquement (article 35, paragraphe 3) :

  1. Évaluation systématique et approfondie d'aspects personnels fondée sur un traitement automatisé, y compris le profilage, et produisant des effets juridiques ou similaires sur les personnes (décisions d'embauche, crédit, assurances…).
  2. Traitement à grande échelle de catégories particulières de données (santé, opinions politiques, origine ethnique, orientation sexuelle, etc.) ou de données relatives aux condamnations pénales et aux infractions.
  3. Surveillance systématique à grande échelle d'une zone accessible au public (vidéosurveillance, suivi de localisation dans des espaces publics, etc.).

Au-delà de ces trois hypothèses, le RGPD précise que dès lors que le traitement est susceptible d'engendrer un risque élevé, l'AIPD est également obligatoire. Pour concrétiser cela, le Groupe de travail «Article 29» (aujourd'hui le Comité Européen de la Protection des Données, CEPD) a publié en 2017 les lignes directrices WP248, révisées en 2018, établissant neuf critères clés : si un traitement remplit deux ou plus de ces critères, il est recommandé de procéder à une AIPD. Ces critères sont : évaluation ou notation ; prise de décision automatisée avec effets juridiques ou similaires ; observation systématique ; données sensibles ou hautement personnelles ; données relatives à des personnes vulnérables (mineurs, patients, employés) ; traitement à grande échelle ; croisement ou combinaison d'ensembles de données ; utilisation de nouvelles technologies ou usages innovants ; et traitement qui empêche les personnes concernées d'exercer un droit ou d'utiliser un service.

En outre, de nombreuses autorités de contrôle nationales ont publié des listes de traitements nécessitant une AIPD (conformément à l'article 35, paragraphe 4, du RGPD). Ces listes incluent notamment : le traitement à grande échelle de catégories particulières de données, le profilage de clients à des fins de marketing, la vidéosurveillance d'espaces publics, la géolocalisation massive des employés et les traitements qui combinent des données provenant de diverses sources pour créer des profils biométriques ou comportementaux.

Cas courants dans une PME

Les PME ont tendance à croire que l'AIPD ne concerne que les grandes entreprises. C'est une erreur. Voici des scénarios fréquents dans des entreprises de taille intermédiaire où l'AIPD est exigée ou fortement recommandée :

Tableau comparatif : quand l'AIPD est-elle obligatoire ou recommandée ?

Type de traitement AIPD obligatoire ? Fondement juridique Risque en cas d'omission
Vidéosurveillance à grande échelle d'un espace public Oui Art. 35(3)(c) RGPD + liste de l'autorité de contrôle Amende jusqu'à 10 M€ ou 2 % du CA
Profilage automatisé avec effets juridiques Oui Art. 35(3)(a) RGPD Amende + interdiction du traitement
Traitement à grande échelle de données de santé Oui Art. 35(3)(b) RGPD Amende + atteinte à la réputation
Contrôle horaire biométrique des employés Oui Liste autorité de contrôle + CEPD WP248 Amende + nullité du traitement
IA pour la sélection du personnel (scoring) Oui (≥ 2 critères WP248) CEPD WP248 rév. 2018 Amende + risque au titre de l'AI Act
Marketing personnalisé avec combinaison de sources Recommandée (évaluer les critères) CEPD WP248 critères 7 + 8 Risque d'amende si le seuil est dépassé
Surveillance des employés en télétravail Oui dans la plupart des cas Liste autorité de contrôle + critère 8 WP248 Amende + conflit social
Envoi de newsletters à une base clients propre Non (faible risque, finalité compatible) Art. 35(1) RGPD (pas de risque élevé) Ne s'applique pas

Comment réaliser une AIPD étape par étape

L'AIPD ne dispose pas d'un format unique obligatoire, mais le CEPD et les autorités de contrôle nationales ont publié des méthodologies de référence. Le processus habituel comprend six phases :

1. Description systématique du traitement

Documenter avec précision quelles données sont collectées, dans quel but, qui les traite, pendant combien de temps elles sont conservées, si elles sont cédées ou transférées à l'international, et quelles mesures de sécurité sont déjà en place. Cette phase s'articule directement avec le Registre des activités de traitement.

2. Évaluation de la nécessité et de la proportionnalité

Analyser si le traitement est nécessaire à la finalité déclarée et s'il n'existe pas d'alternative moins intrusive. La minimisation des données (article 5, paragraphe 1, point c) du RGPD) est un principe qui doit être démontré dans cette phase.

3. Identification et évaluation des risques

Identifier les menaces concrètes — accès non autorisé, perte de données, utilisation frauduleuse, discrimination algorithmique, etc. — et évaluer leur probabilité et leur impact sur les droits des personnes. De nombreuses organisations utilisent des matrices de risque similaires à celles employées en sécurité de l'information (comme celles de l'ISO 27005), mais orientées vers l'individu plutôt que vers l'organisation.

4. Mesures pour traiter les risques

Définir les contrôles techniques (chiffrement, pseudonymisation, accès avec le minimum de privilèges, audit des accès) et les mesures organisationnelles (formation, clauses contractuelles avec les sous-traitants, procédures de réponse aux incidents) à mettre en œuvre, et évaluer si les risques résiduels sont acceptables.

5. Avis du DPO et consultation préalable de l'autorité de contrôle (le cas échéant)

Lorsque l'organisation dispose d'un DPO désigné, le consulter est obligatoire (article 35, paragraphe 2, du RGPD) et son avis — et s'il a été suivi ou non — doit être documenté. Si, après l'application des mesures, le risque résiduel demeure élevé, l'article 36 du RGPD impose une consultation préalable de l'autorité de contrôle avant le début du traitement. L'autorité dispose d'un délai pouvant aller jusqu'à huit semaines — prorogeable de six semaines supplémentaires dans les cas complexes — pour répondre.

6. Documentation, approbation et révision périodique

L'AIPD doit être documentée, formellement approuvée par le responsable du traitement et révisée lorsque des changements significatifs interviennent dans le traitement ou lorsque de nouveaux risques apparaissent. Il ne s'agit pas d'un document que l'on archive et dont on ne se préoccupe plus.

AIPD et AI Act : la convergence réglementaire qui arrive en 2025-2026

Depuis août 2024, le Règlement européen sur l'intelligence artificielle (AI Act) est en vigueur et son déploiement par phases atteint les organisations utilisant des systèmes d'IA à haut risque à partir d'août 2026. Bon nombre de ces systèmes — utilisés dans les RH, le crédit, l'éducation ou les services essentiels — impliquent un traitement de données à caractère personnel, de sorte que l'AIPD et l'évaluation de conformité au titre de l'AI Act se recoupent dans une large mesure. Le CEPD et les autorités de contrôle nationales ont déjà publié des critères d'alignement entre ces deux obligations afin d'éviter la duplication des efforts : un même document peut partiellement satisfaire aux exigences des deux règlements s'il est bien structuré.

Pour les PME qui déploient des outils d'IA dans des processus affectant des personnes — sélection du personnel, credit scoring, systèmes de recommandation — il est essentiel de réaliser l'AIPD avant la mise en production, et non après. Si votre entreprise évalue sa conformité à l'AI Act, notre service de mise en conformité avec l'AI Act aborde conjointement les deux évaluations.

AIPD et analyse des risques de sécurité informatique : différences essentielles

Il est fréquent de confondre l'AIPD avec l'analyse des risques de sécurité de l'information requise par l'ISO 27001 ou des référentiels équivalents. Ce sont des instruments complémentaires mais distincts :

Cela dit, une AIPD solide s'appuie nécessairement sur l'inventaire des actifs et la classification des menaces produits par l'analyse de sécurité. Les organisations qui disposent déjà d'un SMSI conforme à l'ISO 27001 ont accompli une grande partie du travail préparatoire.

Le rôle du DPO externe dans l'AIPD

Les organisations qui ne disposent pas d'un DPO désigné — parce qu'elles n'y sont pas obligées ou parce qu'elles ne l'ont pas encore mis en place — manquent généralement à la fois de la méthodologie et du jugement technique pour mener une AIPD avec rigueur. Un DPO externe spécialisé apporte trois éléments concrets : (1) l'expérience pour déterminer si le traitement franchit ou non le seuil du risque élevé, (2) une méthodologie documentée susceptible de résister à un éventuel contrôle de l'autorité de contrôle, et (3) l'indépendance pour émettre un avis impartial sur les risques résiduels.

Si vous avez besoin d'un accompagnement pour gérer votre AIPD ou pour déterminer si vos traitements de données en nécessitent une, chez Summum Consultoría nous accompagnons les entreprises dans leur mise en conformité au RGPD depuis 2007. Vous pouvez en savoir plus dans notre service de mise en conformité RGPD et protection des données.

Questions fréquentes

Combien de temps faut-il pour réaliser une AIPD ?

Cela dépend de la complexité du traitement. Une AIPD portant sur un système de vidéosurveillance standard peut être complétée en deux à trois semaines avec la documentation adéquate. Une AIPD relative à un système d'IA traitant des données de santé ou prenant des décisions automatisées peut nécessiter entre quatre et huit semaines, en particulier si elle implique une consultation préalable de l'autorité de contrôle. Le facteur qui allonge le plus le processus n'est pas l'analyse elle-même, mais la collecte des informations internes (flux de données, contrats avec les sous-traitants, mesures techniques déjà en place).

L'AIPD doit-elle être publiée ?

Non. L'article 35 du RGPD n'impose pas la publication de l'AIPD, bien que le considérant 93 indique que «le cas échéant» le responsable peut publier le résumé ou l'intégralité du document. Ce qui est obligatoire, c'est que l'AIPD soit disponible pour l'autorité de contrôle si elle le demande lors d'une inspection. En interne, elle doit être accessible au DPO et à l'équipe responsable du traitement.

Que se passe-t-il si un traitement est lancé sans réaliser l'AIPD obligatoire ?

L'omission d'une AIPD exigée constitue une violation grave de l'article 83, paragraphe 4, du RGPD, passible d'amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total (le montant le plus élevé des deux étant retenu). De plus, l'autorité de contrôle peut ordonner la suspension du traitement jusqu'à ce que l'évaluation soit réalisée et que les risques soient gérés. En 2023 et 2024, plusieurs autorités de contrôle ont infligé des sanctions spécifiques pour absence d'AIPD dans le cadre de traitements de données biométriques et de vidéosurveillance avancée.

Est-il nécessaire de refaire l'AIPD si le traitement ne change pas ?

L'article 35, paragraphe 11, du RGPD indique que le responsable doit «vérifier» si le traitement est effectué conformément à l'évaluation et, notamment, si les risques ont évolué. Il n'existe pas de délai fixe obligatoire pour la révision, mais le CEPD recommande de revoir l'AIPD lorsque des changements surviennent dans le traitement (nouvelles données, nouvelle technologie, nouveaux destinataires), lorsque de nouvelles menaces connues apparaissent, et en tout état de cause avec une périodicité maximale de trois ans pour les traitements continus à risque élevé. Si le traitement ne change pas et que l'environnement de risque non plus, il n'est pas nécessaire de tout refaire depuis le début : il suffit de documenter la révision et de confirmer que les contrôles restent adéquats.