DPIA ou AIPD – Qu’est-ce c’est ? Comment le réaliser ?

Sommaire

Définition
Documentations CNIL sur les DPIA
Les objectifs d’un DPIA
Est-il obligatoire de réaliser un DPIA ?
Peut-on grouper plusieurs traitements sous un seul DPIA ?
Quels risques si on ne réalise pas de DPIA ? Quelles sanctions ?
Quelles sont les informations à réunir pour réaliser un DPIA ?
Qui est chargé de réaliser le DPIA ?
Est-ce difficile/long de réaliser un DPIA ?
Le DPIA doit-il être rendu public ?
Le DPIA doit-il être transmis à la CNIL ?
Faut-il mettre à jour le DPIA dans le temps ?
Quel outil utiliser pour réaliser son DPIA ?

Définition

Le DPIA (Data Protection Impact Assessment), également connu sous le nom d’AIPD (Analyse d’Impact relative à la Protection des Données) ou PIA (Privacy Impact Assessment), est une démarche préventive et structurée, prévue par l'article 35 du RGPD, qui vise à évaluer les risques potentiels qu’un traitement de données à caractère personnel pourrait faire peser sur la vie privée des personnes concernées.

Concrètement, le DPIA permet à un responsable du traitement d’identifier, analyser et réduire les risques associés à un ou plusieurs traitements de données, avant leur mise en œuvre. Il s’inscrit pleinement dans le principe de protection des données dès la conception (privacy by design), en anticipant les impacts possibles sur les droits et libertés des personnes physiques.

 

Les objectifs d’un DPIA

La réalisation d’une analyse d'impact poursuit plusieurs objectifs stratégiques, tous orientés vers une meilleure protection des données personnelles et une mise en conformité efficace avec le RGPD. Bien plus qu’un simple exercice documentaire, le DPIA s’inscrit comme un pilier de la gouvernance des données et de la gestion des risques liés aux traitements de données à caractère personnel.

Anticiper et maîtriser les risques pour la vie privée

Le premier objectif d’une analyse d'impact est d’analyser, identifier et atténuer les risques pesant sur les droits et libertés des personnes concernées. Il permet de détecter, dès la conception d’un projet, les scénarios à risque (atteintes à la confidentialité, à l’intégrité ou à la disponibilité des données), et d’y répondre par des mesures de sécurité et de gouvernance adaptées.

Exemple de risque accru pour la vie privée : collecte massive de données de géolocalisation ou utilisation de données de santé sans consentement explicite.

L’idée n’est pas d’éradiquer tout risque, mais de s’assurer que le niveau de risque résiduel est acceptable, conformément au principe de protection des données dès la conception (privacy by design).

Prouver la conformité au RGPD

Une analyse d'impact permet de documenter les choix effectués dans le cadre d’un traitement et de démontrer sa conformité au RGPD. Il renforce le principe d’accountability (ou principe de responsabilité), en montrant que le responsable du traitement a pris les mesures nécessaires pour respecter les droits des personnes.

Il s’agit d’un levier puissant pour prouver que les traitements de données personnelles ont été pensés dans une logique de respect de la vie privée et des obligations légales.

Renforcer la transparence et la confiance

En menant un DPIA, les organisations peuvent rassurer les personnes concernées quant à l’usage fait de leurs données. Publier ou communiquer les grandes lignes du DPIA améliore la transparence et favorise la confiance.

Un DPIA bien mené montre que l’on prend au sérieux la protection de la vie privée, renforçant ainsi la relation avec les utilisateurs, clients, partenaires ou citoyens.

Est-il obligatoire de réaliser un DPIA ?

Rappel : La réalisation d’une analyse d'impact est obligatoire dans certains cas définis par le RGPD, en particulier lorsque le traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.

Les obligations légales de réaliser un AIPD

L’article 35 du Règlement Général sur la Protection des Données (RGPD) impose la réalisation d’un DPIA lorsqu’un traitement présente un risque élevé pour la vie privée, la liberté ou d'autres droits fondamentaux des personnes concernées. Cette obligation s’applique notamment :

  • lors de l’utilisation de nouvelles technologies de traitement (IA, reconnaissance faciale, etc.),
  • lorsque le traitement figure sur la liste des traitements à risque publiée par la CNIL (ou par une autre autorité de contrôle européenne),
  • ou lorsque plusieurs critères de risque sont cumulés (voir plus bas).

Même si tous les traitements ne nécessitent pas une AIPD, certains types de traitement sont expressément visés par le RGPD, car ils présentent par nature un risque accru.

Les traitements rendant le DPIA obligatoire :

  • Profilage ou notation de personnes (évaluation comportementale, scoring…),
  • Décisions automatisées ayant un effet juridique ou similaire (par exemple, refus automatique d’un prêt),
  • Surveillance systématique à grande échelle (vidéosurveillance dans les lieux publics),
  • Traitement de données sensibles ou hautement personnelles (santé, orientation sexuelle, opinions politiques…),
  • Traitement à grande échelle de données personnelles,
  • Croisement de jeux de données issus de sources différentes,
  • Traitement concernant des personnes vulnérables (enfants, patients, personnes âgées…),
  • Recours à une technologie innovante,
  • Traitement entraînant une exclusion du bénéfice d’un droit ou d’un contrat.

Le Comité Européen de la Protection des données (CEPD, ex G29) a identifié ces neuf critères repris par la CNIL pour évaluer si un traitement présente un risque élevé, et recommande de réaliser une analyse d'impact dès que deux de ces critères sont remplis.

Les cas où le DPIA n’est pas requis

Un DPIA n’est pas nécessaire dans les situations suivantes :

  • Lorsque le traitement ne présente pas de risque élevé pour les personnes concernées,
  • Si une analyse d’impact a déjà été réalisée pour un traitement similaire (même finalité, même catégorie de données, même sécurité…),
  • Quand le traitement est nécessaire au respect d’une obligation légale ou à l’exercice d’une mission d’intérêt public, et que cette obligation a été préalablement évaluée au moment de l’adoption du texte (par exemple, un traitement prévu par une loi nationale),
  • Si le traitement figure sur la liste des exemptions publiée par la CNIL (adoptée en 2018), souvent applicable aux traitements courants dans les PME,
  • Dans le cas de certains traitements anciens enregistrés auprès de la CNIL avant le 25 mai 2018, ou intégrés au registre d’un correspondant Informatique et Libertés (CIL).

Attention : même si un traitement ne nécessite pas formellement d'analyse d'impact , le responsable du traitement reste tenu de respecter toutes les obligations du RGPD, notamment en matière de licéité, de minimisation, de transparence et de sécurité.

En cas de doute : mieux vaut le faire

Lorsque l’évaluation du risque n’est pas évidente, il est recommandé d’effectuer un DPIA à titre de précaution. Non seulement cela renforce la conformité, mais cela constitue aussi une bonne pratique en matière de gouvernance des données personnelles. Un DPIA bien mené apporte des bénéfices en termes de sécurité, de confiance, et de maîtrise des traitements.

Documentations CNIL sur les DPIA

🔗Télécharger les modèles de DPIA de la CNIL🔗

🔗Télécharger la base de connaissances DPIA de la CNIL🔗

🔗Télécharger la méthode DPIA de la CNIL🔗

🔗Télécharger le DPIA CNIL - Etude de cas "CAPTOO"🔗

🔗Télécharger la liste des traitements pour lesquels une AIPD est requise - CNIL🔗

🔗Télécharger la liste des traitements pour lesquels une AIPD n'est pas requise - CNIL🔗

 

Peut-on grouper plusieurs traitements sous un seul DPIA ?

Oui, il est tout à fait possible de réaliser une seule analyse d'impact pour plusieurs traitements de données personnelles, à condition que ces traitements soient suffisamment similaires.

DPIA groupé : sous quelles conditions ?

Une analyse d’impact sur la protection des données (AIPD) peut porter sur plusieurs traitements regroupés si ces derniers présentent :

  • une nature similaire (même type de données traitées),
  • une finalité identique ou proche,
  • un contexte comparable (même environnement ou logique de traitement),
  • une portée équivalente,
  • et des risques équivalents pour les personnes concernées.

En d'autres termes, il faut que les mesures de protection et les risques identifiés puissent être traités de manière cohérente dans une analyse unique.

Exemples concrets

Plusieurs communes utilisant un même système de vidéoprotection, basé sur la même technologie, peuvent réaliser un DPIA commun, si les finalités sont identiques.

Un opérateur ferroviaire, responsable de traitement, peut réaliser une analyse d'impact unique pour les dispositifs de surveillance vidéo déployés dans plusieurs gares, si les traitements sont similaires.

Ces approches mutualisées permettent de gagner en efficacité tout en respectant les obligations du responsable du traitement.

Quels risques si on ne réalise pas de DPIA ? Quelles sanctions ?

Ne pas réaliser un DPIA (ou AIPD) lorsque cela est obligatoire en vertu du RGPD expose l’organisation à des sanctions importantes. L’article 83 du RGPD prévoit des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé.

Au-delà de l’aspect financier, l’absence d'analyse d'impact constitue un manquement au principe de responsabilité (accountability) et complique la démonstration de conformité en cas de contrôle. Cela augmente aussi les risques pour les droits et libertés des personnes concernées, faute d’anticipation des impacts.

Quelles sont les informations à réunir pour réaliser un DPIA ?

La première étape consiste à rassembler les informations déjà présentes dans la fiche de traitement concernée par l’AIPD. Ce document doit logiquement contenir les éléments essentiels tels que les finalités du traitement, sa base légale, les destinataires des données, les catégories de données traitées, ou encore les durées de conservation.

Le DPIA reposera ensuite sur 3 volets.

            Analyse des risques

Il s’agit ici d’évaluer les risques pour les droits et libertés des personnes concernées :

  • Identifier les sources de risques (internes, externes, humaines, techniques),
  • Décrire les menaces potentielles et les événements redoutés (atteinte à la confidentialité, l’intégrité ou la disponibilité des données),
  • Estimer la gravité et la vraisemblance des impacts.

            Mesures de protection

Le DPIA doit documenter :

  • Les garanties techniques et organisationnelles mises en œuvre,
  • Les actions pour traiter les risques et démontrer la conformité au RGPD.

Parties prenantes et validation

Il est essentiel d'inclure au processus de rélisation du DPIA :

  • Le DPO, les équipes métiers, le RSSI et, si nécessaire, les personnes concernées,
  • Les avis rendus, la cartographie des risques, un plan d’action, et la synthèse de conformité.

Qui est chargé de réaliser le DPIA ?

La réalisation d'une analyse d'impact incombe au responsable du traitement, qui doit initier et piloter l’analyse pour assurer la conformité au RGPD. Il est assisté par les éventuels sous-traitants, qui lui fournissent les informations nécessaires, et doit consulter le Délégué à la Protection des Données (DPO). Le DPO supervise le processus, identifie les risques et formule des recommandations. L’analyse implique également les équipes métiers, le RSSI pour la sécurité, et, si nécessaire, le CSE, des conseils extérieurs ou les personnes concernées. La réalisation du DPIA est une démarche collective pour une protection des données personnelles maîtrisée.

Est-ce difficile/long de réaliser un DPIA ?

La réalisation d’un DPIA (ou AIPD) peut sembler complexe, mais elle devient plus accessible avec une méthode claire et les bonnes ressources.

Sa durée dépend de la complexité du traitement, de la taille de l’organisation et des données traitées (notamment les données sensibles). Bien que chronophage au départ, une bonne planification et l’implication des parties prenantes (DPO, RSSI, équipes métiers) facilitent sa réalisation.

Le DPIA doit-il être rendu public ?

Le RGPD n’impose pas de rendre publique une Analyse d’Impact relative à la Protection des Données (DPIA). Toutefois, publier tout ou partie de l’analyse – par exemple un résumé – constitue une bonne pratique. Cela améliore la transparence, rassure les personnes concernées sur la protection de leurs données personnelles, et renforce la confiance. En impliquant les parties prenantes et en partageant les mesures prises, l’organisation démontre son engagement envers une gestion responsable des traitements et sa conformité au RGPD.

Le DPIA doit-il être transmis à la CNIL ?

La transmission d’un DPIA (ou AIPD) à la CNIL n’est pas systématique. Elle devient obligatoire uniquement dans certains cas précis.

Si, malgré les mesures de sécurité envisagées, le risque résiduel pour les droits et libertés reste élevé, le responsable du traitement doit consulter la CNIL avant la mise en œuvre du traitement. Celle-ci rend un avis dans un délai de deux mois (prolongeable).

La transmission peut également être exigée :

  • par la législation nationale,
  • dans le cadre d’un contrôle de la CNIL,
  • ou pour des traitements sensibles relevant de la directive « Police-Justice ».

En l’absence de risque résiduel élevé, il n’est pas nécessaire de transmettre l'analyse d'impact, mais il faut documenter la décision. En cas de doute, consulter la CNIL en amont reste une bonne pratique pour sécuriser la mise en conformité au RGPD.

Faut-il mettre à jour le DPIA dans le temps ?

Oui, le DPIA (ou AIPD) est un processus évolutif : il ne s’agit pas d’un exercice ponctuel, mais d’une démarche continue d’amélioration de la protection des données personnelles. Le RGPD recommande de réviser périodiquement l’analyse pour garantir que le niveau de risque reste acceptable tout au long de la vie du traitement.

Les technologies, les finalités ou le contexte d’un traitement peuvent évoluer (nouveaux outils, changement de sous-traitant, ajout de données sensibles, etc.), ce qui peut impacter la confidentialité, l’intégrité ou la disponibilité des données. Une mise à jour de l'analyse d'impact est donc nécessaire :

  • à chaque évolution significative du traitement,
  • et de manière régulière, idéalement chaque année.

Mettre à jour le DPIA permet d’ajuster la cartographie des risques, de revoir les mesures de sécurité et de maintenir une conformité durable au RGPD, tout en renforçant la confiance des personnes concernées.

Quel outil utiliser pour réaliser son DPIA ?

Pour faciliter la réalisation d’un DPIA (ou AIPD), des outils spécialisés existent, comme ProDPO, une plateforme tout-en-un dédiée à la conformité RGPD. Ce logiciel propose une approche intégrée et simplifiée de l’analyse d’impact relative à la protection des données.

ProDPO permet de :

  • Réaliser rapidement vos analyses d'impact grâce à des formulaires pré-remplis, alimentés par les données déjà présentes dans votre registre des traitements.
  • Gagner du temps en identifiant automatiquement les traitements à risque, à partir d’une bibliothèque de traitements standards.
  • Croiser les données issues de la gestion des violations de données, de l’exercice des droits des personnes concernées ou encore de la documentation RGPD, pour une vision globale et cohérente.
  • Suivre l’état d’avancement via un tableau de bord intuitif, idéal pour les DPO internes comme mutualisés.

Toujours à jour avec les évolutions du RGPD, ProDPO constitue un outil fiable et pratique pour structurer vos analyses d’impact et démontrer votre conformité réglementaire.

 

🚀 Vous pouvez confier la réalisation de votre DPIA à SILEXO, cabinet spécialisé en conformité RGPD et protection des données personnelles. Que vous soyez une PME, une collectivité ou une grande organisation, nous adaptons notre méthodologie à vos traitements spécifiques pour garantir une conformité sur mesure, tout en vous faisant gagner du temps et en réduisant vos risques.

 

Autres articles susceptibles de vous intéresser

🔗 Mise en conformité RGPD : Le guide complet 2025 : Avec ce guide, vous n'aurez plus d'excuse ! Voici les points clés pour structurer efficacement votre démarche RGPD.

🔗DPO CNIL - Guide pour déclarer un DPO auprès de la CNIL : Découvrez les étapes clés pour la désignation d’un DPO à la CNIL, ses obligations, les critères de sélection et les sanctions en cas de non-conformité.

🔗Les durées de conservation des données : Le tableau PDF complet : Liste PDF complet des durées de conservation secteur par secteur : La prospection commerciale et le marketing ; la vente en ligne ; les ressources humaines (RH) ; la comptabilité et les banques ; la fiscalité ; les documents sociaux ; la gestion du système d'information (SI) ; la mutuelle, les assurances et les services juridiques ; les associations.

 

ProDPO

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus

Pour partager cet article sur les réseaux sociaux

Je souhaite réserver un appel !