Analyse d'impact AIPD/DPIA

Modele AIPD/DPIA conforme Art. 35 RGPD methodologie CNIL/PIA 2026. Description, necessite, risques (acces, integrite, disponibilite), mesures Art. 32, avis DPO Art. 35.2, consultation CNIL Art. 36 si risque eleve residuel.

L'AIPD (Analyse d'Impact relative à la Protection des Données, DPIA en anglais) est un document obligatoire imposé par l'Art. 35 du RGPD pour tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Ce modèle suit la méthodologie officielle CNIL/PIA et couvre les 4 sections obligatoires de l'Art. 35.7. Il s'adresse aux responsables de traitement, DPO et responsables conformité (niveau de complexité : avancé).

Vérifié Me Sandy Lacroix

Word + PDF personnalisable

Téléchargement immédiat

Paiement Stripe sécurisé · Facture PDF · Mise à jour à vie

Contenu du modèle

Tout ce qu'un cabinet vous facturerait.
Pour 9.99€.

Un modèle prêt à publier, vérifié par avocate, articles de loi cités, jurisprudence à jour, conformité 2026 intégrée.

Document principal

Modèle juridique complet, articles de loi intégrés

Document Word personnalisable + PDF prêt à signer. Chaque clause sourcée Légifrance, vérifiée par Me Lacroix, mise à jour à chaque évolution législative.

Avoir tenu à jour le registre des activités de traitement (Art. 30 RGPD)
Avoir cartographié les flux de données et identifié les sous-traitants
Disposer d'un DPO désigné (interne ou externe) auprès duquel recueillir l'avis Art. 35.2
Avoir téléchargé et pris connaissance de l'outil PIA de la CNIL (logiciel libre)
Connaître la liste CNIL Délibération 2018-327 (traitements imposant une AIPD)

Validation juridique

Vérifié par avocate inscrite

Maître Sandy Lacroix, Barreau de Tulle depuis 2011, valide chaque modèle et signe une attestation de conformité.

Format

Word + PDF, prêt à signer

Document Word personnalisable et PDF auto-rempli depuis votre profil. Archive ZIP avec LISEZ-MOI inclus.

MAJ légales

À vie, sans surcoût

Re-téléchargez la dernière version à chaque réforme.

Conformité 2026

Réformes intégrées

Ord. 2026-2, DSA, EAA, RGPD déjà inclus.

Paiement

Stripe + 3DS2

Paiement sécurisé, facture PDF automatique.

Comparatif

Pourquoi pas un modèle gratuit ou un avocat ?

Le bon réflexe dépend de votre situation. Trois options, trois rapports qualité-prix.

Modèle gratuit en ligne

0 €

Modèle générique, non-vérifié

Aucune vérification avocat
Lois souvent dépassées
Pas de MAJ légales
Risque clauses abusives
Téléchargement immédiat

DossierJuridique.fr

9.99€ TTC

Vérifié avocate · MAJ à vie

Validé Me Lacroix
Réformes 2026 intégrées
MAJ légales à vie gratuite
Word + PDF + auto-remplissage
Garantie remboursement 14 j

Avocat traditionnel

250–800 €

Sur-mesure, délai 1–3 semaines

Conseil personnalisé
Rédaction sur-mesure
Délai 1 à 3 semaines
Refacturé à chaque MAJ
Pertinent si litige complexe

Conformément à la loi 71-1130 art. 54, nos modèles ne constituent pas une consultation juridique. Pour une situation complexe, consultez un avocat.

Guide d'utilisation

Comment utiliser ce modèle, étape par étape

Confirmation par email
Après paiement, vous recevez un email avec votre facture et un lien direct vers votre compte.
Accès depuis « Mes templates achetés »
Votre modèle apparaît en tête de liste dans votre espace personnel, accessible à tout moment.
Deux modes au choix
Téléchargement DOCX brut (Word vide à remplir) ou PDF personnalisé via formulaire wizard.
Personnalisation rapide
Le wizard pré-remplit automatiquement les champs depuis votre profil DossierJuridique (raison sociale, SIRET, capital, adresse…).
Archive ZIP finalisée
Archive contenant votre document final accompagné d'un LISEZ-MOI avec disclaimers et normes légales applicables.

5 champs à personnaliser dans Analyse d'impact AIPD/DPIA

Intitulé du traitement

Donnez un nom court, clair et unique au traitement analysé. Ce nom servira de référence dans le registre Art. 30 et toute correspondance CNIL.

Exemple : « Gestion de la paie et des bulletins de salaire » (pas « RH » trop générique)

Erreurs courantes :

Intitulé trop générique ('RH', 'IT', 'CRM')
Confusion entre traitement et application logicielle

Base légale Art. 6 RGPD

Une seule base légale par finalité. Le consentement (a) est rarement applicable en contexte salarial (déséquilibre Art. 88 RGPD). L'obligation légale (c) couvre la paie, les DSN, la déclaration URSSAF. L'intérêt légitime (f) exige un test de mise en balance documenté.

Exemple : Pour un traitement de paie : « Obligation légale (Art. 6.1.c) » — fondée sur Code du travail et Code de la Sécurité sociale

Erreurs courantes :

Invoquer le consentement pour des salariés (rapport de subordination)
Cumuler plusieurs bases légales pour une même finalité

Données sensibles (Art. 9 RGPD)

Les données Art. 9 RGPD (santé, biométrie, opinions, orientation sexuelle, syndicales…) déclenchent quasi systématiquement l'obligation d'AIPD. Si vous en traitez, la condition de levée Art. 9.2 doit être documentée précisément.

Exemple : Arrêts maladie = données de santé (Art. 9.1) → condition Art. 9.2.b RGPD (obligations en droit du travail)

Erreurs courantes :

Oublier que les arrêts maladie sont des données de santé
Confondre données sensibles Art. 9 et données 'à caractère personnel' tout court

Avis motivé du DPO

L'avis du DPO est OBLIGATOIRE (Art. 35.2 RGPD) lorsqu'un DPO est désigné. Il doit être motivé, daté et signé. Si vous vous écartez de cet avis, documentez-en les raisons (la CNIL le vérifie systématiquement en contrôle).

Exemple : « L'AIPD est complète et conforme à l'Art. 35.7. Avis favorable sous réserve de la mise en place d'une revue trimestrielle des habilitations. — Marie MARTIN, DPO, 10/05/2026 »

Erreurs courantes :

Omettre l'avis du DPO
Avis vague non motivé ('OK')
Absence de date et signature

Niveau de risque résiduel

C'est LA conclusion clé de l'AIPD. Si le risque résiduel reste 'Élevé' après mesures, vous DEVEZ consulter la CNIL préalablement (Art. 36 RGPD) sous peine d'amende Art. 83.4 (jusqu'à 10M EUR ou 2% CA).

Exemple : « Limité » pour un traitement paie avec MFA, chiffrement, PRA et formation salariés

Erreurs courantes :

Sous-évaluer le risque pour éviter la consultation CNIL
Ne pas justifier le niveau retenu

Délais & envoi

Tout pour réussir l'envoi de votre dossier

2 délais à respecter sous peine d'irrecevabilité

8 semaines pour la consultation préalable CNIL (prolongeable de 6 semaines en cas de complexité) (Art. 36.2 RGPD) — point de départ : Réception de la demande complète par la CNIL
72 heures pour notifier une violation de données à la CNIL (Art. 33.1 RGPD) — point de départ : Moment où le responsable a connaissance de la violation

Continuer

Vos questions, nos réponses

Quand l'AIPD est-elle obligatoire selon l'Art. 35 RGPD ?

L'AIPD est obligatoire dès qu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes (Art. 35.1 RGPD). L'Art. 35.3 cite trois cas présumés : (a) évaluation systématique et automatisée produisant des effets juridiques (profilage), (b) traitement à grande échelle de données sensibles Art. 9 ou relatives aux condamnations Art. 10, (c) surveillance systématique à grande échelle d'une zone accessible au public. La CNIL a publié une liste complémentaire (Délibération 2018-327 du 11 octobre 2018) : biométrie sur le lieu de travail, données de santé, alertes professionnelles, géolocalisation salariés, traitement de données de mineurs vulnérables, etc.

Quel est le contenu obligatoire d'une AIPD selon l'Art. 35.7 RGPD ?

L'Art. 35.7 RGPD impose 4 éléments : (a) description systématique des opérations envisagées et finalités (incluant l'intérêt légitime poursuivi), (b) évaluation de la nécessité et de la proportionnalité par rapport aux finalités, (c) évaluation des risques pour les droits et libertés (impact, vraisemblance, sources, événements redoutés), (d) mesures envisagées pour faire face aux risques (garanties, mesures de sécurité, mécanismes de protection). L'avis motivé du DPO Art. 35.2 doit être recueilli, tracé et conservé.

Que faire si le risque résiduel reste élevé après mesures ?

Si l'AIPD révèle que le risque résiduel reste élevé malgré les mesures envisagées, le responsable de traitement DOIT consulter la CNIL avant la mise en œuvre du traitement (Art. 36.1 RGPD — consultation préalable). La CNIL dispose de 8 semaines (Art. 36.2) pour rendre un avis écrit, prolongeable de 6 semaines en cas de complexité. Mettre en œuvre le traitement sans cette consultation expose à une amende administrative Art. 83.4 RGPD (jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial).

Faut-il faire une AIPD pour un traitement existant déjà en production ?

Le RGPD est entré en application le 25 mai 2018 et l'AIPD ne s'applique pas formellement de manière rétroactive aux traitements préexistants (Art. 35.10). Toutefois, la CNIL recommande fortement une révision : si un changement substantiel intervient (nouvelle finalité, nouvelle technologie, nouvelle catégorie de données, nouveau public), une AIPD devient obligatoire. La révision périodique tous les 3 ans est une bonne pratique (guide AIPD CNIL 2022). L'absence d'AIPD pour un traitement à risque élevé ne peut pas être justifiée par son ancienneté.

Quel est le rôle du DPO dans l'AIPD selon l'Art. 35.2 RGPD ?

Lorsque le responsable a désigné un DPO, il DOIT demander conseil au DPO pour réaliser l'AIPD (Art. 35.2 RGPD). Le DPO contrôle l'exécution de l'AIPD (Art. 39.1.c). Son avis motivé doit être recueilli, conservé et tracé dans le document. Si le responsable s'écarte de l'avis du DPO, il doit documenter ses raisons. La CNIL examine systématiquement la prise en compte de l'avis du DPO en cas de contrôle. Outil officiel : logiciel libre PIA téléchargeable gratuitement sur cnil.fr.

Quelle est la différence entre AIPD et registre des activités de traitement Art. 30 ?

Le registre Art. 30 RGPD est OBLIGATOIRE pour toute organisation (sauf exception PME < 250 salariés sans traitement à risque) et recense tous les traitements. L'AIPD Art. 35 est OBLIGATOIRE uniquement pour les traitements à risque élevé et constitue une analyse approfondie d'un traitement spécifique. Le registre est descriptif (quoi, qui, pourquoi, combien de temps) ; l'AIPD est prospective et évaluative (quels risques, quelles mesures). Les deux documents doivent être cohérents entre eux.

L'AIPD doit-elle être transmise à la CNIL ?

Non — l'AIPD est un document interne tenu à disposition de la CNIL en cas de contrôle (principe d'accountability Art. 5.2 RGPD). Elle ne doit être transmise à la CNIL QUE dans le cadre d'une consultation préalable Art. 36 (risque résiduel élevé) ou sur demande expresse de la CNIL lors d'un contrôle. La publication volontaire d'une AIPD (entièrement ou partiellement) est une bonne pratique de transparence recommandée par le CEPD, notamment pour les traitements publics.

Que risque-t-on en l'absence d'AIPD obligatoire ?

L'absence d'AIPD pour un traitement qui en requiert une constitue une violation Art. 35 RGPD passible de l'amende administrative Art. 83.4 RGPD (jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu). La CNIL a déjà sanctionné plusieurs entreprises sur ce fondement. Au-delà de l'amende, le défaut d'AIPD peut faire présumer une absence de mesures de protection adéquates et engager la responsabilité civile du responsable de traitement en cas de violation de données.

Téléchargez votre modèle maintenant

9.99€ TTC, paiement Stripe sécurisé, archive ZIP livrée immédiatement par email. Vérifiée par avocate, prête à publier.

Satisfait ou remboursé 14 joursSans condition (Art. L.221-18 C. conso)
MAJ légales à vieRe-téléchargeable à chaque réforme
Support 7 j/7Réponse sous 24 h
Paiement Stripe + 3DS2Données bancaires jamais stockées

Analyse d'impact AIPD/DPIA