#12 RGPD : Mise en conformité et AIPD

Posté le 3 décembre 2025 dans Focus sur, Pratique, RGPD par Claudia Eyschen. Dernière mise à jour : 3 décembre 2025

Mise en conformité et AIPD

Plus un traitement de données à caractère personnel est susceptible de porter atteinte aux droits et libertés de la personne concernée, plus les obligations du responsable du traitement sont importantes. Un des outils majeurs de mise en conformité RGPD est alors l’analyse d’impact relative à la protection des données (ou AIPD)[1].

Définition

Comme son nom l’indique, l’AIPD consiste à analyser l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

Hypothèses

Une AIPD doit être réalisée lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

L’AIPD est obligatoire dans les cas suivants :

l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
le traitement à grande échelle de données sensibles ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ;
la surveillance systématique à grande échelle d’une zone accessible au public.

A noter que deux types d’outils ont été établis pour aider les responsables du traitement :

une liste de neuf critères permettant de déterminer si une AIPD est requise ou non[2]. Si deux critères sont réunis ou si un responsable du traitement estime qu’un traitement présente un risque élevé, une AIPD doit être réalisée ;
deux listes de types d’opérations de traitement pour lesquelles une AIPD est requise[3] ou non[4].

Une AIPD peut toujours être réalisée même hors des hypothèses susvisées.

Contenu

L’AIPD contient, a minima, de manière cumulative :

une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement ;
une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
une évaluation des risques pour les droits et libertés des personnes concernées ;
les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du RGPD, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

Moment de réalisation

L’AIPD doit, en principe, être réalisée en amont du traitement.

Pour autant, il est toujours préférable d’en réaliser une, même ultérieurement, plutôt que de s’abstenir totalement d’y procéder au motif que le traitement serait d’ores et déjà mis en place.

Auteur

L’AIPD incombe, en principe, au responsable du traitement.

En pratique, les responsables du traitement sollicitent parfois de leur sous-traitant la réalisation de telle analyse. En tout état de cause, le sous-traitant aide le responsable du traitement dans la réalisation de l’AIPD, compte tenu de la nature du traitement et des informations à sa disposition[5].

L’avis des personnes concernées ou de leurs représentants peut également être demandé[6].

Conseil doit être pris auprès du délégué à la protection des données, s’il a été désigné.

Consultation de la CNIL[7]

Lorsque l’AIPD révèle que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque, celui-ci consulte la CNIL préalablement au traitement, en lui communiquant les informations suivantes :

le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants participant au traitement, en particulier pour le traitement au sein d’un groupe d’entreprises ;
les finalités et les moyens du traitement envisagé ;
les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées en vertu du RGPD ;
le cas échéant, les coordonnées du délégué à la protection des données ;
l’AIPD ;
toute autre information que la CNIL demande.

Là aussi, le sous-traitant aide le responsable du traitement, compte tenu de la nature du traitement et des informations à sa disposition[8].

Si la CNIL estime que le traitement constituerait une violation du RGPD, en particulier lorsque le responsable du traitement n’a pas suffisamment identifié ou atténué le risque, elle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage de différents pouvoirs[9].

Mise à jour

Si nécessaire, le responsable du traitement procède à un examen afin d’évaluer si le traitement est effectué conformément à l’analyse d’impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement.

Alors, avant de traiter des données à caractère personnel, anticipez et consultez !

Mon Cabinet d’avocat en droit des affaires situé à proximité de Laval, en Mayenne, est à votre disposition pour répondre à toutes vos questions !

[1] Articles 35 et 36 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) ; articles 62 et 63 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (LIL)

[2] Etablie par le G29, Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679

[3] Etablie par la CNIL

[4] Etablie par la CNIL

[5] Article 28, 3, f du RGPD

[6] sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement.

[7] Article 36 du RGPD et 63 de la LIL

[8] Article 28, 3, f du RGPD

[9] Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé. La CNIL informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d’un mois à compter de la réception de la demande de consultation. Ces délais peuvent être suspendus jusqu’à ce que la CNIL ait obtenu les informations qu’elle a demandées pour les besoins de la consultation.

Voir aussi :

#10 RGPD : Le saviez-vous ? – Le cycle de vie de la donnée

#9 RGPD : Le saviez-vous ? – Les différents acteurs d’un traitement de données

#8 RGPD : Le saviez-vous ? – Qu’est-ce qu’un traitement ?

#7 RGPD : Le saviez-vous ? – Données dites sensibles

#6 RGPD : Le saviez-vous ? – Quelle base légale pour un traitement ?

#5 RGPD : Le saviez-vous ? – To transfer ou not to transfer ?

#4 RGPD : Le saviez-vous ? – 2023, une année à fêter !

#3 RGPD : Le saviez-vous ? – Thématiques prioritaires de contrôle de la CNIL

#2 RGPD : Le saviez-vous ? – Donnée à caractère personnel

#1 RGPD : Le saviez-vous ? – Genèse de la LIL

AFCDP (RGPD)
RGPD et Syndicat : consultation de la CNIL
Open data des décisions de justice

Photo de Deng Xiang sur Unsplash