Pour accéder à votre espace, connectez-vous par lien email (sans mot de passe).

Lien valable 15 minutes · usage unique · votre brouillon est conservé

Connexion avec mot de passe
RGPD / Protection des données

Analyse d'impact relative à la protection des données (AIPD) : obligations, méthode et sanctions

L'analyse d'impact relative à la protection des données, désignée par l'acronyme AIPD (ou DPIA en anglais pour Data Protection Impact Assessment), constitue l'une des obligations majeures instaurées par le règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018. Cet instrument de responsabilisation contraint le responsable de traitement à évaluer, en amont de toute mise en œuvre, les risques qu'un traitement de données personnelles fait peser sur les droits et libertés fondamentaux des personnes concernées. La Commission nationale de l'informatique et des libertés (CNIL) en a précisé le périmètre par sa délibération n° 2018-327 du 11 octobre 2018, dressant la liste nationale des traitements nécessitant impérativement cette analyse. L'enjeu est considérable : l'absence d'AIPD expose l'organisme à des sanctions administratives lourdes et fragilise l'ensemble de sa chaîne de conformité, alors même que la CNIL intensifie ses contrôles dans les domaines de l'intelligence artificielle et de la vidéoprotection intelligente.

10 min de lecture Niveau intermediaire MAJ 2026-04-26 France · droit civil
TG
Auteur
Thomas Gayon
SL
Validé par
Me Sandy Lacroix, Avocate
Générer mon dossier 14,90 € Aller au guide complet

En bref

L'AIPD est obligatoire avant tout traitement susceptible d'engendrer un risque élevé pour les droits des personnes. Son absence expose à des sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial.

Fondement juridique et définition de l'analyse d'impact

Texte de loi

Art. 35§1 Règlement (UE) 2016/679

« Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel. »

Source : Règlement (UE) 2016/679 — RGPD

À éviter

Ne pas confondre AIPD et registre des traitements

Le registre des traitements (article 30 du RGPD) recense tous les traitements de manière descriptive. L'AIPD évalue en profondeur les risques de ceux présentant un danger élevé. Réaliser l'un ne dispense jamais de l'autre : les deux obligations sont cumulatives.

Critères déclenchant l'obligation de réaliser une AIPD

Texte de loi

Art. 35§3 Règlement (UE) 2016/679

« L'AIPD est en particulier requise dans trois cas : l'évaluation systématique d'aspects personnels incluant le profilage avec effets juridiques, le traitement à grande échelle de catégories particulières de données ou de données pénales, et la surveillance systématique à grande échelle d'une zone accessible au public. »

Source : Règlement (UE) 2016/679 — RGPD

Bon à savoir

Appliquer la règle des deux critères sur neuf du CEPD

Les lignes directrices WP248 rév.01 du CEPD identifient neuf critères de risque. Dès que votre traitement en remplit au moins deux, l'AIPD s'impose. Utilisez cette grille systématiquement avant tout nouveau projet impliquant des données personnelles pour déterminer si une analyse est nécessaire.

📄
Modèle professionnel : Télécharger le modèle adapté →

Besoin d'un dossier juridique ?

Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.

Générer mon dossier →

Contenu obligatoire et méthodologie de réalisation

Texte de loi

Art. 35§7 Règlement (UE) 2016/679

« L'analyse d'impact contient au minimum une description systématique des opérations de traitement et de leurs finalités, une évaluation de la nécessité et de la proportionnalité, une évaluation des risques pour les droits et libertés des personnes, et les mesures envisagées pour faire face à ces risques. »

Source : Règlement (UE) 2016/679 — RGPD

Bon à savoir

Utiliser l'outil gratuit PIA de la CNIL

Le logiciel libre PIA, édité par la CNIL, structure l'AIPD en quatre phases et couvre l'intégralité des exigences de l'article 35§7 du RGPD. Disponible en téléchargement sur le site de la CNIL, il constitue la référence méthodologique reconnue par les autorités de contrôle européennes.

Rôle des acteurs : responsable de traitement, DPO et sous-traitants

À éviter

Le DPO conseille mais ne décide pas

Confier au délégué à la protection des données le pouvoir de décision sur l'AIPD crée un conflit d'intérêts contraire à l'article 38, paragraphe 6, du RGPD. Le DPO émet un avis consultatif ; la responsabilité juridique finale repose exclusivement sur le responsable de traitement.

Besoin d'un professionnel ? Trouvez un avocat spécialisé dans l'annuaire vérifié →

Consultation préalable de la CNIL en cas de risque résiduel élevé

Texte de loi

Art. 36§1 Règlement (UE) 2016/679

« Le responsable du traitement consulte l'autorité de contrôle préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque. »

Source : Règlement (UE) 2016/679 — RGPD

Sanctions encourues et recommandations pratiques pour sécuriser l'AIPD

À éviter

Les petites structures ne sont pas dispensées d'AIPD

L'obligation d'AIPD s'applique indépendamment de la taille de l'organisme. Une association, une start-up ou un artisan traitant des données sensibles ou procédant à un suivi systématique doit réaliser cette analyse au même titre qu'une grande entreprise.

Bon à savoir

Intégrer l'AIPD dès la conception du traitement

Appliquer le principe de privacy by design (article 25 du RGPD) en réalisant l'AIPD dès la phase de conception du projet. Cette approche réduit les coûts de mise en conformité, évite les refontes tardives et démontre la diligence du responsable en cas de contrôle de la CNIL.

Violation rgpd effacement donnees indemnisation

Cas réel · issue et durée documentées
👨

Avocats spécialisés

Professionnels vérifiés près de chez vous
📜

Commissaires de justice

Signification, commandement, exécution
🕊

Conciliateurs de justice

Médiation gratuite avant contentieux

Questions fréquentes

Qu'est-ce qu'une analyse d'impact AIPD et quand est-elle obligatoire ?

L'AIPD est une évaluation formalisée des risques que présente un traitement de données personnelles pour les droits et libertés des personnes concernées. Elle est obligatoire dès lors que le traitement est susceptible d'engendrer un risque élevé, notamment en cas de profilage automatisé, de traitement de données sensibles à grande échelle ou de vidéosurveillance d'espaces publics.

Qui est responsable de la réalisation de l'AIPD au sein d'une organisation ?

Le responsable de traitement porte l'obligation légale de conduire l'AIPD. Le délégué à la protection des données intervient en qualité de conseil et vérifie l'exécution de l'analyse, mais la décision finale et la responsabilité juridique reposent exclusivement sur le responsable de traitement, conformément à l'article 35 du RGPD.

Quelles sanctions encourt-on en cas d'absence d'AIPD ?

L'article 83, paragraphe 4, du RGPD prévoit des amendes administratives pouvant atteindre dix millions d'euros ou 2 % du chiffre d'affaires annuel mondial de l'entreprise, le montant le plus élevé étant retenu. La CNIL peut également prononcer des mises en demeure, des injonctions de mise en conformité ou des limitations temporaires du traitement.

Faut-il transmettre systématiquement l'AIPD à la CNIL ?

Non. L'AIPD n'est transmise à la CNIL que dans le cadre de la consultation préalable prévue à l'article 36 du RGPD, lorsque le risque résiduel demeure élevé malgré les mesures de protection adoptées. Le responsable de traitement doit néanmoins tenir l'AIPD à disposition de la CNIL en cas de contrôle sur place ou sur pièces.

Engager une procédure près de chez vous

Tribunaux judiciaires et commissaires de justice dans les principales juridictions

Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →

Avertissement : Cet article a une vocation informative. La législation rgpd / protection des données varie selon les circonstances de chaque situation. Nous vous recommandons de consulter un avocat spécialisé pour une analyse de votre situation.

Vous êtes dans cette situation ?

Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.

Générer mon dossier juridique

À partir de 14,90 € · paiement sécurisé · satisfait ou remboursé 14 jours

TG
Thomas Gayon

Fondateur de DossierJuridique.fr. Passionné de LegalTech, il automatise la rédaction de documents juridiques pour les litiges rgpd / protection des données. Découvrir le parcours de Thomas Gayon →

Articles similaires

RGPD / Protection des données

Amende administrative RGPD : montants, critères et procédure en 2026

Lire le guide complet → RGPD / Protection des données

Anonymisation des données personnelles : cadre juridique complet en 2026

Approfondir ce sujet → RGPD / Protection des données

Audits de sécurité informatique et RGPD : cadre juridique complet 2026

Consulter cette analyse →