RGPD

AIPD : qui est concerné, comment la mener

L'Analyse d'Impact relative à la Protection des Données (Article 35) est obligatoire dans certains cas. Voici les déclencheurs concrets et la méthode pour la mener sans paniquer.

Équipe RGPD Vision 1 avril 2026 8 min de lecture

L'AIPD — pour Analyse d'Impact relative à la Protection des Données — est l'obligation la plus mal comprise du RGPD. Beaucoup pensent qu'elle ne concerne que les hôpitaux et les banques. C'est faux. Voici quand elle s'applique vraiment, et comment la mener efficacement.

Quand une AIPD est-elle obligatoire ?

L'Article 35 du RGPD impose une AIPD lorsqu'un traitement "est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques". La CNIL a publié une liste de critères : si votre traitement coche au moins 2 critères sur 9, l'AIPD est obligatoire.

Les critères concrets

  1. Évaluation ou notation (scoring crédit, profilage marketing approfondi)
  2. Décision automatisée avec effet juridique (refus de prêt automatique)
  3. Surveillance systématique (vidéosurveillance étendue, géolocalisation salariés)
  4. Données sensibles au sens de l'Article 9 (santé, opinions, biométrie)
  5. Données traitées à grande échelle
  6. Croisement de fichiers
  7. Personnes vulnérables (mineurs, salariés, patients)
  8. Usage innovant (IA, IoT, biométrie)
  9. Traitement empêchant l'accès à un service ou un contrat

Cas concrets pour les TPE/PME

  • Vidéosurveillance des locaux + identification des salariés → AIPD obligatoire
  • Géolocalisation des véhicules de fonction → AIPD obligatoire
  • Contrôle d'accès biométrique (empreinte, reconnaissance faciale) → AIPD obligatoire
  • Dossiers médicaux ou de santé (cabinet médical, kiné) → AIPD obligatoire
  • Scoring marketing automatisé sur une base > 10 000 contacts → AIPD probable

Pour la simple gestion clients d'un commerçant ou d'un artisan, en revanche, l'AIPD n'est pas requise.

La méthode AIPD en 5 étapes

1. Décrire le traitement

Reprenez les éléments du registre (Article 30) et complétez par les flux de données détaillés : qui collecte, qui traite, qui consulte, qui transmet, qui supprime. Schéma utile.

2. Évaluer la nécessité et la proportionnalité

Le traitement est-il indispensable ? Existe-t-il une alternative moins intrusive ? Ce questionnement est obligatoire avant de continuer.

3. Identifier les risques

Pour chaque type de menace, évaluez :

  • La gravité potentielle pour la personne (négligeable, limitée, importante, maximale)
  • La probabilité que le risque se réalise (faible, moyenne, forte, maximale)

Trois grandes catégories de menaces à considérer : accès illégitime, modification non désirée, disparition des données.

4. Définir les mesures

Pour chaque risque non acceptable, prévoyez des mesures techniques (chiffrement, double authentification, sauvegardes) et organisationnelles (politique de mots de passe, formation, procédure de signalement).

5. Valider et documenter

Le résultat de l'AIPD doit être documenté formellement. Si la valeur résiduelle des risques reste élevée, vous devez consulter la CNIL avant de démarrer le traitement (Article 36).

Une AIPD, ça prend combien de temps ?

Avec un outil dédié et des modèles préremplis : 1 à 2 heures pour une AIPD courante. Sans outil et sans méthodologie : plusieurs jours, et beaucoup d'anxiété.

L'AIPD est-elle un document figé ?

Non. L'AIPD doit être réévaluée en cas de changement significatif du traitement, et au moins tous les 3 ans pour vérifier qu'elle est toujours d'actualité.

Conclusion

L'AIPD n'est pas un exercice formel. C'est un vrai outil de gouvernance qui force à se poser les bonnes questions avant de lancer un traitement à risque. Bien menée, elle protège l'entreprise — et les personnes concernées.

Équipe RGPD Vision

Article rédigé par l'équipe RGPD Vision pour vous accompagner dans votre mise en conformité. Une question sur ce sujet ?

Cet article résonne avec votre situation ?

Démarrez votre mise en conformité avec RGPD Vision. Sans démo, sans engagement.