AIPD : Guide Complet pour Réaliser votre Analyse d'Impact [2026]

🔄 Mise à jour majeure 2026 : Article enrichi avec les derniers critères CNIL 2025, nouveaux cas d'usage AI Act, chiffres violations de données 2024-2025, et méthodologie complète étape par étape avec exemples concrets.

L'AIPD (Analyse d'Impact relative à la Protection des Données) – également appelée PIA (Privacy Impact Assessment) ou DPIA (Data Protection Impact Assessment) – est une analyse préventive et structurée, imposée par l'article 35 du RGPD, qui vise à identifier, évaluer et réduire les risques qu'un traitement de données personnelles pourrait faire peser sur les droits et libertés des personnes concernées.

C'est un outil important de la conformité RGPD, particulièrement pour les traitements susceptibles d'engendrer un risque élevé pour les personnes.

À l'heure où les attaques massives se multiplient, on peut notamment citer la fuite importante de données de France Travail début 2024 (43 millions de dossiers compromis), anticiper sa conformité est devenu indispensable.

Concrètement, l'AIPD permet de :

• Identifier les risques avant la mise en œuvre d'un traitement (approche proactive)
• Évaluer la gravité et la vraisemblance de ces risques pour les personnes concernées
• Définir des mesures de réduction appropriées (techniques et organisationnelles)
• Documenter l'ensemble du processus de conformité
• Démontrer votre responsabilité (principe d'accountability du RGPD)

L'AIPD doit vous permettre de vous rapprocher de la conformité RGPD et d'anticiper les risques auxquels sont exposés vos traitements de données. Ce document décrit le(s) traitement(s) envisagé(s), l'évaluation de conformité au RGPD (finalité définie, durée de conservation, minimisation des données...) ainsi que l'analyse des risques, les impacts potentiels sur les droits et libertés des personnes et les mesures adaptées à mettre en place.

AIPD, PIA, DPIA : quelle différence ?

Ces trois termes désignent exactement la même chose. La seule différence réside dans la langue et l'origine historique :

• AIPD (français) : Analyse d'Impact relative à la Protection des Données → Terme officiel utilisé dans le RGPD en français
• PIA (anglais) : Privacy Impact Assessment → Terme historique, utilisé avant le RGPD
• DPIA (anglais) : Data Protection Impact Assessment → Terme officiel RGPD en anglais
  

💡 Dans la pratique, on utilise indifféremment AIPD ou PIA en France. Les deux termes sont parfaitement synonymes.

Pourquoi l'AIPD est-elle essentielle en 2026 ?

L'AIPD répond à plusieurs objectifs stratégiques devenus critiques avec la multiplication des cyberattaques et l'arrivée de l'AI Act :

1. Anticiper les risques avant qu'ils ne se matérialisent

L'AIPD vous permet d'identifier les scénarios à risque dès la conception du traitement (privacy by design). Sans cette anticipation, vous vous exposez à des incidents qui auraient pu être évités.

Exemples de risques identifiables via une AIPD :

• Fuite de données massives (piratage externe, erreur humaine interne)
• Réidentification de personnes dans des données supposément anonymisées
• Utilisation détournée des données (profilage non consenti, revente)
• Discrimination algorithmique (biais IA dans le recrutement, le scoring crédit)
  

Cas concret : En 2024, France Travail a subi une fuite massive de 43 millions de dossiers contenant noms, numéros de sécurité sociale, adresses et données d'emploi. Une AIPD préalable aurait permis d'identifier les failles de sécurité (absence de chiffrement, contrôles d'accès insuffisants) et d'éviter cette crise majeure.

2. Démontrer la conformité RGPD (principe d'accountability)

L'AIPD est la preuve tangible de votre démarche de responsabilité. En cas de contrôle CNIL, l'absence d'AIPD obligatoire constitue un manquement grave qui peut entraîner :

• Une mise en demeure publique
• Une amende pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel
• Une sanction publiée sur le site de la CNIL (atteinte réputationnelle durable)
  

3. Protéger concrètement les personnes concernées

Au-delà de la conformité, l'AIPD garantit que les données des personnes (clients, salariés, patients, usagers) sont traitées de manière sécurisée, proportionnée et respectueuse. Elle renforce la confiance entre votre organisation et les personnes, un actif de plus en plus précieux.

4. Éviter des coûts financiers considérables

Le coût d'une violation de données est exponentiellement supérieur au coût d'une AIPD :

• Coût moyen d'une violation : 3,8 millions d'euros (étude IBM 2024)
• Coût moyen d'une AIPD : 2 000 à 15 000 euros selon complexité
• ROI : ×250 en moyenne (source : études CNIL/ANSSI)

Etes-vous concernés par l’obligation de réaliser une AIPD : les critères ?

En prérequis, avant de procéder à la rédaction de votre analyse d’impact, vous devez être en mesure de déterminer les traitements qui nécessitent obligatoirement une AIPD. 

L’article 35 RGPD impose au responsable de traitement de mener une analyse d’impact avant la mise en œuvre du traitement de données lorsque celui-ci engendre un risque pour les droits et les libertés des personnes. Le risque peut être divers : lié à la nature même des données traitées, à leur utilisation, à leur sécurité ou encore à la catégorie de personnes concernées. 

Comment savoir si l’un ou plusieurs de vos traitements de données sont concernés par l'obligation de réaliser une AIPD ?

Procédez par étape en vérifiant si votre traitement se situe dans l’un des cas suivants : 

Liste des traitements pour lesquels une AIPD n’est pas obligatoire

Les traitements pour lesquels une AIPD n'est pas obligatoire, et cela peu important le niveau de risque, sont les suivants :

1. Traitement très similaire à un traitement ayant déjà fait l'objet d'une AIPD

Exemple concret : Vous avez réalisé une AIPD pour la vidéosurveillance de votre premier magasin à Paris. Vous ouvrez 10 nouveaux magasins avec exactement le même système (même fournisseur, mêmes caméras, même configuration, mêmes finalités) → 1 seule AIPD suffit pour les 11 magasins.

Condition importante : Les traitements doivent être réellement identiques. Si vous changez de fournisseur ou ajoutez la reconnaissance faciale, une nouvelle AIPD sera nécessaire.

2. Traitement résultant d'une obligation légale ou nécessaire à l'exercice d'une mission de service public

Sous certaines conditions strictes (article 6 RGPD) :

• Obligation légale issue du droit de l'UE ou d'un État membre
• Le droit règlemente cette opération de traitement
• Une AIPD a déjà été menée lors de l'adoption de cette base légale

Exemple : Conservation des données de connexion par les opérateurs télécom (obligation légale) – Une AIPD globale a été réalisée lors de l'adoption de la loi, les opérateurs n'ont pas à en refaire une individuellement.

3. Traitement figurant dans la liste des exceptions adoptée par la CNIL

La CNIL a publié une liste officielle de traitements exemptés d'AIPD. Voici les principaux :

• Gestion du personnel (<250 salariés) :

le traitement est mis en œuvre pour la seule gestion du personnel dans des organismes dont l'effectif est inférieur à 250 personnes (traitement de paie, RH standard, gestion des congés, etc). ⚠️ Attention toutefois : Le recours au profilage dans ce contexte est soumis à une AIPD. Par exemple, un algorithme de détection des hauts potentiels ou un système de notation des performances nécessite une AIPD même dans une PME de 50 salariés.

• Relation fournisseurs : traitements nécessaires à l'exécution d'un contrat avec un fournisseur (gestion des bons de commandes, factures, devis, etc)

• Professionnels de santé individuels : traitement nécessaire à la prise en charge d'un patient par un professionnel de santé exerçant à titre individuel (hors hôpital), même s'il s'agit de données sensibles

• Gestion d'activités spécifiques : Activités des comités d'entreprise; Services publics scolaires, périscolaires et petite enfance; Fichiers électoraux des communes
  

• Professions libérales : traitement mis en œuvre par un avocat ou un notaire dans l'exercice de sa profession à titre individuel

• Associations et fondations : gestion interne des membres et des donateurs des associations, fondations et organismes à but non lucratif

• Contrôles d'accès simples : traitement mis en œuvre aux seules fins de gestion des contrôles d'accès physiques et horaires pour le calcul du temps de travail (badge d'entrée)

Si le traitement figure dans cette liste, vous n'avez pas l'obligation de réaliser une analyse d'impact. Sinon, référez-vous au paragraphe suivant.

Liste des traitements pour lesquels une AIPD est obligatoire

Les traitements pour lesquels une AIPD est obligatoire sont ceux qui ont pour conséquence d'engendrer un risque élevé pour les droits et libertés des personnes concernées. La CNIL en dresse une liste, cependant celle-ci n’est pas exhaustive.

Il s’agit notamment des traitements suivants : 

• le traitement de données de santé (données sensibles) par les établissements de santé (hôpitaux, EHPAD, etc) concernant la prise en charge des personnes (dossier patient, télémédecine...) ; 
• les traitements de données génétiques ou données biométriques de personnes vulnérables (mineurs, personnes sous tutelles, personnes malades, etc) ; 
• la gestion des données RH si elles ont un but de profilage et non de simple gestion du personnel : c’est par exemple le cas lorsqu’un algorithme est utilisé pour détecter les hauts potentiels ;
• les traitements de surveillance des salariés : cybersurveillance, vidéosurveillance, tracking etc ;
• la gestion des alertes et des signalements en matière sociale et sanitaire et en matière professionnelle (dispositif de signalement de mineurs en danger ou de signalement de situations de maltraitance sur des personnes vulnérables...) ;
• les traitements concernant des données de localisation à large échelle (géolocalisation d'une flotte de véhicule, application de géolocalisation grand public...)
• le traitement d'intelligence artificielle à haut risque (nouveauté AI Act 2025) : IA de recrutement (tri de CV, pré-sélection de candidats), IA de scoring, IA de contrôle d'accès biométrique, IA d'évaluation scolaire, IA de gestion de services essentiels (santé, énergie, transports publics), IA de catégorisation biométrique (traits de personnalité, émotions...)

Si le traitement figure dans cette liste, vous avez l'obligation de réaliser une étude d’impact. 
Sinon, cela ne signifie pas pour autant que vous ne devez pas réaliser une AIPD.  Référez-vous au paragraphe suivant. 

Liste des 9 critères AIPD de la CNIL 

Votre traitement ne figure dans aucune des deux listes précédentes ? Référez-vous aux critères établis par la CNIL. Cet outil vous permet d'évaluer si vos traitements présentent un risque élevé et sont susceptibles de nécessiter une AIPD.

Si le traitement remplit au moins 2 critères sur les 9 présentés, on considère que celui-ci présente un risque élevé pour les personnes concernées → AIPD obligatoire.

Le traitement consiste en une opération :

1. Critère 1 : Évaluation ou scoring

Exemples : Fichier indiquant une note de performance de salariés; Scoring bancaire (évaluation solvabilité clients); Notation comportementale clients (e-commerce, assurance); Profilage marketing (segmentation clients avec scoring)

2. Critère 2 : Décision automatique avec effet légal ou similaire

Exemples : Système de scoring bancaire visant à évaluer la solvabilité d'un candidat à un crédit immobilier; Attribution ou refus automatique d'un prêt; Sélection automatique de CV sans intervention humaine;

3. Critère 3 : Surveillance systématique

Exemples : Vidéosurveillance dans l'espace public; Surveillance continue du réseau informatique (keyloggers); Tracking comportemental sur site web/application mobile

4. Critère 4 : Traitement visant à la collecte de données sensibles ou relatives aux condamnations pénales

Données sensibles (article 9 RGPD) : santé, génétique, biométriques, opinion politique ou religieuse, appartenance syndicale, orientation sexuelle

Données judiciaires (article 10 RGPD) : Condamnations pénales, infractions

5. Critère 5 : Traitement visant à la collecte de données personnelles à "large échelle"

Cette notion n'est pas définie précisément dans le RGPD, il faut donc faire une interprétation au cas par cas selon :

• Nombre de données personnelles traitées
• Nombre de personnes concernées (indicatif : >10,000 personnes)
• Étendue géographique (régionale, nationale, internationale)
• Durée du traitement

Exemples : Base de données clients nationale (banque, e-commerce); Dossiers médicaux d'un CHU (>50,000 patients); Données RH d'un groupe international (>10,000 salariés)

6. Critère 6 : Croisement ou combinaison de données

Visant à croiser ou combiner des données ou des opérations de traitements effectuées à des fins différentes et/ou par des responsables de traitement différents en outrepassant les attentes raisonnables des personnes concernées.

Exemples : Fusion de bases de données clients de plusieurs filiales; Croisement données CRM + données web analytics + données réseaux sociaux

7. Critère 7 : Traitement de données relatives à des personnes vulnérables

Exemples : Application destinée aux enfants; Dossiers patients psychiatrie; Données élèves (écoles, universités)

8. Critère 8 : Usage d'une technologie innovante ou d'une nouvelle technologie

Ce critère s'applique notamment à l'intelligence artificielle, mais pas seulement.

Exemples : Intelligence artificielle et machine learning; Reconnaissance faciale, vocale, émotionnelle

9. Critère 9 : Conduisant à exclure une personne du bénéfice d'un droit ou d'un contrat. Sans utiliser nécessairement un algorithme.

Exemples : Refus de service si non-fourniture de données excessives; Scoring automatique excluant certaines personnes d'un crédit; Attribution sélective de prestations sociales

Si le traitement remplit 2 critères sur les 9 présentés, on considère que celui-ci présente un risque élevé pour les personnes concernées. Vous avez l'obligation de réaliser une AIPD. Sinon, vous n'êtes pas tenu de le faire.

Cependant, même si le traitement de données ne correspond à aucun de ces critères, il n'est pas certain à 100% qu'il ne présente aucun risque pour les droits et libertés des personnes. L'AIPD est simplement facultative. Mais vous l'aurez compris, il est toujours mieux d'en faire une !

💡 Pas sûr si votre traitement nécessite une AIPD ? Leto propose un questionnaire guidé qui vous aide à déterminer en 5 minutes si l'AIPD est obligatoire pour votre traitement.→ Découvrir le module AIPD Leto

Réaliser son AIPD en 5 étapes

Grâce aux listes et aux critères de la CNIL, vous avez identifié les traitements qui nécessitent une AIPD. Vous allez maintenant pouvoir entrer dans le vif du sujet : analyser les risques et dresser un plan d'actions pour les réduire.

L'analyse d'impact est normalement réalisée avant le traitement envisagé mais il s'agit toutefois d'une course de fond. Vos traitements pouvant évoluer, vous devez continuellement vous interroger sur la nécessité de réaliser ou de faire évoluer une AIPD déjà réalisée.

⏱️ Durée totale estimée : 8-15 jours selon la complexité du traitement

1- Décrire les traitements envisagés 

Votre document doit comprendre une première partie décrivant le traitement que vous envisagez de réaliser avec les données personnelles. Il s’agit de mentionner les points suivants : 

• Nature du traitement, ses finalités et ses enjeux ; Quelle est la nature du traitement ? (collecte, analyse, partage, archivage...), quels sont les objectifs poursuivis ? (finalités) Quels sont les enjeux ? Quel est le contexte organisationnel ?
• Identité des parties prenantes à la réalisation du traitement : responsable de traitement, sous-traitants impliqués, destinataires des données
• Catégories de données traitées : données d'identification, financières, professionnelles, sensibles, comportementales
• Catégorie de personnes concernées par la collecte des données : salariés, patients, mineurs, personnes âgées, clients, etc ;
• Durée de conservation des données. 

💡 Conseil pratique : Créez un schéma de flux de données (diagramme) montrant le circuit complet. Cela facilite grandement la compréhension et l'identification des points de risque.

 2- Evaluer la nécessité et la proportionnalité du traitement à sa finalité 

Au cours de cette étape, vous allez devoir justifier de :

2.1 - La nécessité et la proportionnalité du traitement

Documentez :

• Finalité du traitement (pourquoi ?)
• Base légale du traitement (consentement, contrat, obligation légale, intérêt légitime...)
• Étendue de la collecte (quelles données exactement ?)
• Justification : pourquoi avez-vous besoin de ces données pour parvenir à votre objectif ?

Principe de minimisation des données : Il faut toujours vous demander si vous ne pouvez pas parvenir au même résultat en collectant moins de données personnelles. C'est le principe de minimisation de la donnée.

✅ Données nécessaires :

• Nom, prénom (identification destinataire)
• Adresse complète de livraison
• Email (suivi commande)
• Téléphone (contact transporteur)

❌ Données excessives :

• Numéro de sécurité sociale (pas nécessaire pour livraison)
• Date de naissance complète (âge suffit si contrôle nécessaire)
• Situation familiale (non pertinent)
• Revenus (sauf si scoring crédit proposé)

2.2 - Du respect des droits des personnes concernées

Vérifiez que vous respectez :

• Information des personnes (transparence) - articles 13-14 RGPD
• Recueil du consentement le cas échéant (article 7 RGPD)
• Exercice des droits des personnes concernées

Exemple - Plateforme de télémédecine :

• Information : Politique de confidentialité patients détaillée accessible avant première consultation
• Consentement : Recueil explicite avant collecte données santé (case à cocher)
• Droits :
  • Accès : Patient peut télécharger son dossier médical complet
  • Rectification : Modification coordonnées via compte patient
  • Effacement : Suppression compte possible (sauf obligation légale conservation 20 ans)
  • Opposition : Refus prospection commerciale (newsletters)

2.3 - La bonne gestion des sous-traitants

Garanties à vérifier pour chaque sous-traitant :

• Conformité RGPD du sous-traitant
• Mesures de sécurité techniques et organisationnelles
• Localisation (UE / hors UE)
• Transferts hors UE (garanties appropriées : clauses contractuelles types, décision d'adéquation)
• Contrats DPA (Data Processing Agreement) signés
• Certifications éventuelles (ISO 27001, HDS pour santé, SOC 2...)

💡 Conseil : Utilisez la base de 6,000+ sous-traitants pré-audités de Leto pour gagner du temps sur cette étape.

3- Evaluer les risques bruts engendrés par ces traitements 

L'évaluation des risques bruts doit être réalisée autour de trois événements redoutés :

• L'accès illégitime
• La modification non désirée
• La disparition de données personnelles

Un risque est un scénario hypothétique qui décrit un événement redouté et toutes les menaces qui permettraient qu'il survienne.

Il convient alors de prendre en compte :

3.1 - Les sources de risque

Identifiez qui pourrait causer un incident :

• Concurrent mal intentionné
• Hackeur, cybercriminel
• Salarié en conflit avec son employeur
• Erreur humaine (négligence, inattention)
• Défaillance technique (bug, panne)
• Catastrophe naturelle (incendie, inondation)

3.2 - Les menaces suivant les supports

Identifiez comment l'incident pourrait se produire :

• Usurpation d'un compte utilisateur (phishing, credential stuffing)
• Perte d'un support de stockage mobile (clé USB, laptop volé)
• Exploitation d'une vulnérabilité connue (faille de sécurité logicielle)
• Ransomware (chiffrement des données avec demande de rançon)
• Attaque par déni de service (DDoS)
• Erreur de configuration (serveur mal sécurisé, port ouvert)
• Vol physique d'équipement
• Erreur de manipulation (suppression accidentelle)

3.3 - Les impacts potentiels pour les personnes concernées

Évaluez les conséquences pour les personnes (pas pour l'organisme !) :

• Perte d'emploi
• Usurpation d'identité
• Discrimination
• Atteinte à la réputation
• Atteinte à l'intégrité physique
• Désagréments matériels ou moraux
• Perte financière
• Recommencer des démarches administratives lourdes

💡 Les risques ÉLEVÉS et CRITIQUES nécessitent impérativement des mesures de réduction.

4- Identifier des mesures de prévention et d’atténuation des risques 

Cette partie de l'AIPD doit reprendre les risques bruts identifiés et indiquer les mesures envisagées pour réduire ou supprimer ceux-ci.

Les mesures envisagées peuvent être organisationnelles ou techniques et dépendent de la gravité du risque et de sa nature.

4.1 - Mesures techniques

Exemples de mesures techniques :

• Chiffrement des données (anonymisation, pseudonymisation)
• Renforcement des mots de passe (complexité, renouvellement)
• Authentification multi-facteurs (MFA)
• Limitation de l'accès aux données (principe du moindre privilège)
• Cloisonnement réseau (segmentation, firewall)
• Journalisation et monitoring des accès
• etc

4.2 - Mesures organisationnelles

Exemples de mesures organisationnelles :

• Politique de mots de passe robustes (longueur minimum, complexité)
• Sensibilisation RGPD et cybersécurité des collaborateurs
• Formation spécifique à la protection des données sensibles
• Gestion rigoureuse des habilitations (revue trimestrielle)
• Procédure de révocation immédiate des accès (départs, fins de mission)
• Processus de gestion des incidents (plan de réponse)
• Documentation et traçabilité (qui a fait quoi, quand)
• etc

Pour vous inspirer, vous trouverez une liste de mesures de sécurité du traitement pouvant être mise en œuvre à l'article 32 du RGPD.

4.3 - Objectif : Réduction du risque résiduel

L'objectif des mesures est de ramener la gravité et/ou la vraisemblance du risque à un niveau acceptable pour le responsable de traitement.

⚠️ Si le risque résiduel reste ÉLEVÉ ou CRITIQUE malgré toutes les mesures envisagées → Consultation préalable obligatoire de la CNIL avant mise en œuvre du traitement (article 36 RGPD).

5- Documenter l’analyse d’impact

Bien entendu, toute cette analyse doit faire l'objet d'un document écrit. D'autant plus si vos traitements sont amenés à évoluer régulièrement, et que l'analyse d'impact doit être mise à jour.

5.1 - Structure du document AIPD

Votre AIPD doit contenir :

Partie 1 : Description du traitement

Partie 2 : Évaluation conformité RGPD

Partie 3 : Analyse des risques

Partie 4 : Mesures de réduction

Partie 5 : Validation

5.2 - Consultation du DPO (obligatoire)

Si vous avez désigné un DPO, vous devez obligatoirement le consulter et recueillir son avis sur l'AIPD (article 39 RGPD).

Le DPO vérifie :

• La complétude de l'analyse
• La méthodologie utilisée
• La pertinence des mesures proposées
• Le niveau de risque résiduel acceptable
• La conformité globale au RGPD

Le DPO émet un avis formel documenté dans l'AIPD (favorable, favorable avec réserves, défavorable).

5.3 - Validation et signature

L'AIPD doit être validée formellement par :

• Le responsable du traitement (ou son représentant ayant pouvoir de décision)
• Le DPO (avis consultatif, pas de pouvoir de décision)

5.4 - Conservation et mise à disposition

Cette AIPD constitue un document à fournir pour démontrer votre démarche de conformité. Il peut être exigé :

• En cas de contrôle CNIL (document prioritaire demandé)
• En cas de violation de données (preuve de diligence)
• Lors d'audits de conformité internes ou externes
• Par des clients ou partenaires (due diligence)

Conservation : Durée du traitement + 3 ans minimum

5.5 - Mise à jour obligatoire

Revue obligatoire tous les 3 ans (recommandation CNIL)

Revue en cas de changement significatif :

• Nouvelle finalité de traitement
• Nouvelles catégories de données collectées (surtout si sensibles)
• Nouveau sous-traitant (surtout si hors UE)
• Changement d'infrastructure (cloud, hébergement, localisation)
• Évolution réglementaire majeure (nouvelle loi, jurisprudence)
• Incident de sécurité majeur révélant faille importante
• Déploiement à plus grande échelle (×10 volume de données)

💡 Conseil : Intégrez la revue AIPD dans votre calendrier de conformité annuel avec une alerte automatique.

Qui réalise l'AIPD ?

La réalisation d'une AIPD implique plusieurs acteurs aux rôles bien définis par le RGPD. Comprendre qui fait quoi est essentiel pour éviter les confusions et assurer une démarche efficace.

Le responsable du traitement : décisionnaire et garant

L'article 35 du RGPD est sans équivoque : c'est le responsable du traitement qui porte la responsabilité juridique de la réalisation de l'AIPD. Il ne peut pas se défausser de cette obligation, même s'il délègue l'exécution opérationnelle à d'autres personnes.

Concrètement, le responsable du traitement :

• Décide si une AIPD est nécessaire (avec l'aide du DPO)
• Pilote et supervise sa réalisation
• Valide les conclusions et le plan d'action
• Est juridiquement responsable en cas de non-réalisation ou d'AIPD insuffisante
  

💡 Important : Le responsable du traitement peut déléguer l'exécution concrète de l'AIPD (rédaction, analyse technique) à ses équipes internes ou à des prestataires externes, mais il reste juridiquement responsable du résultat final.

Le DPO : conseiller et superviseur, pas exécutant

Le DPO (Délégué à la Protection des Données) joue un rôle central dans le processus d'AIPD, mais attention : il n'est pas l'exécutant opérationnel. Son rôle est celui d'un superviseur et d'un conseiller.

Missions du DPO définies par l'article 39 du RGPD dans le cadre de l'analyse d'impact :

1. Conseiller sur la nécessité de réaliser une AIPD

Le DPO aide le responsable du traitement à déterminer si le traitement envisagé présente un risque élevé et nécessite donc une AIPD. Il s'appuie sur les critères CNIL et les listes officielles pour éclairer cette décision.

2. Superviser la méthodologie et la qualité de l'analyse

Le DPO vérifie que la méthode utilisée est conforme aux recommandations CNIL, que tous les risques pertinents ont été identifiés, et que les mesures de réduction proposées sont adaptées.

3. Émettre un avis formel sur l'AIPD

Le DPO doit être consulté obligatoirement et émet un avis documenté dans le rapport d'AIPD. Cet avis peut être :

• Favorable : L'AIPD est complète et les risques sont maîtrisés
• Favorable avec réserves : Quelques ajustements sont nécessaires
• Défavorable : Des risques critiques subsistent, le traitement ne peut pas être mis en œuvre en l'état
  

4. Être le point de contact avec la CNIL

Si le risque résiduel reste élevé malgré toutes les mesures envisagées, une consultation préalable de la CNIL est obligatoire (article 36 RGPD). Le DPO facilite cette démarche et accompagne les échanges avec l'autorité.

⚠️ Attention : Le DPO ne rédige pas lui-même l'AIPD, ne collecte pas les informations techniques, et ne décide pas des mesures à mettre en place. Ce sont les équipes opérationnelles (IT, métiers, RSSI) qui effectuent ce travail sous la supervision du DPO.

Les parties prenantes à impliquer

Une AIPD de qualité nécessite l'implication de plusieurs acteurs internes, chacun apportant son expertise :

Équipes métiers (selon le traitement)

• Direction des Ressources Humaines : pour les traitements RH (recrutement, paie, évaluation des performances)
• Direction Marketing : pour les traitements CRM, prospection, profilage clients
• Direction Produit : pour les traitements liés aux fonctionnalités utilisateurs
  

Ces équipes connaissent les finalités métiers, les données collectées, les flux et les besoins opérationnels. Leur contribution est indispensable pour décrire fidèlement le traitement.

Équipe IT / DSI

L'équipe technique apporte son expertise sur :

• L'architecture système (serveurs, bases de données, cloud)
• Les flux de données (collecte, stockage, partage, suppression)
• Les mesures de sécurité déjà en place (chiffrement, contrôles d'accès, sauvegardes)
  

RSSI (Responsable de la Sécurité des Systèmes d'Information)

Le RSSI évalue les risques techniques de sécurité :

• Vulnérabilités potentielles (failles logicielles, configurations faibles)
• Menaces externes (piratage, ransomware, phishing) et internes (erreur humaine, malveillance)
• Mesures de sécurité additionnelles à mettre en place (MFA, monitoring, journalisation)
  

Direction Juridique

L'équipe juridique intervient sur :

• La vérification de la base légale du traitement
• L'analyse des clauses contractuelles avec les sous-traitants (DPA)
• Les transferts hors UE (garanties appropriées, décisions d'adéquation)
• Les obligations légales spécifiques (santé, secteur bancaire, etc.)
  

Personnes concernées ou leurs représentants (optionnel mais recommandé)

Le RGPD encourage la consultation des personnes concernées (ou de leurs représentants) lors de l'élaboration d'une AIPD. Cette consultation permet de :

• Mieux comprendre leurs attentes et préoccupations
• Identifier des impacts qui auraient pu être négligés
• Renforcer la transparence et la confiance
  

Représentants possibles : CSE (Comité Social et Économique), associations de consommateurs, délégués du personnel, médecin du travail selon le contexte.

Experts externes (si nécessaire)

Pour des traitements complexes ou hautement techniques, il peut être pertinent de faire appel à :

• Des consultants RGPD spécialisés
• Des experts en cybersécurité pour l'évaluation des risques techniques
• Des avocats spécialisés en protection des données pour les aspects juridiques complexes

Outils et ressources pour réaliser son AIPD

Module AIPD Leto

Leto propose un module AIPD complet intégré à sa plateforme RGPD.

Fonctionnalités clés :

• Questionnaire guidé pour déterminer si AIPD obligatoire (5 min)
• Tunnel étape par étape suivant méthodologie CNIL (5 étapes)
• Bibliothèque de 200+ mesures de sécurité pré-remplies
• Cartographie automatique des risques (matrice gravité × vraisemblance)
• Génération rapport PDF conforme CNIL (export instantané)
• Collaboration équipe en temps réel (DPO, métiers, RSSI, direction)
• Versioning automatique (historique des modifications)
• Alertes de mise à jour (rappel tous les 3 ans)
• Intégration avec registre des traitements (création AIPD depuis une fiche traitement)
• Assistant IA Hari (suggestions intelligentes de mesures)

→ Découvrir le module AIPD Leto

‍→ Demander une démo gratuite

Logiciel PIA de la CNIL (gratuit, open-source)

La CNIL propose un logiciel open-source gratuit spécifiquement conçu pour réaliser des AIPD conformément à sa méthodologie officielle.

✅ Avantages :

• Gratuit et officiel CNIL (gage de conformité méthodologique)
• Méthodologie intégrée suivant les 4 grandes phases CNIL
• Génération d'un rapport PDF exportable
• Open-source (possibilité d'audit du code et d'auto-hébergement)
  

❌ Inconvénients :

• Interface datée (logiciel développé en 2018, peu d'évolutions depuis)
• Pas de collaboration en temps réel (chaque utilisateur travaille sur sa propre copie locale)
• Aucune intégration avec d'autres outils RGPD (registre des traitements, gestion sous-traitants)
• Courbe d'apprentissage importante (nécessite de bien comprendre la méthodologie CNIL au préalable)
• Pas de support technique ni d'accompagnemen
  

🔗 Lien : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil‍

Livre blanc Leto : Comment faire un PIA ?

Pour tout savoir sur l'analyse d'impact et aller encore plus loin, téléchargez notre livre blanc : Comment faire un PIA ?

Contenu du livre blanc :

• Méthode complète en 10 étapes
• Cas d'usage concrets sectoriels (santé, RH, marketing, IA)
• Grille d'évaluation des risques prête à l'emploi
• Checklist de conformité AIPD
• Erreurs courantes à éviter
• Modèle de rapport AIPD

Conclusion

L'AIPD est un outil indispensable pour les responsables du traitement qui mettent en œuvre des traitements de données personnelles susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes concernées.

En suivant les étapes décrites dans ce guide pour réaliser une AIPD, les responsables du traitement peuvent identifier les risques et mettre en place des mesures pour les atténuer, ce qui contribue à la protection des données personnelles et à la conformité avec le RGPD.

En fin de compte, une AIPD bien réalisée renforce la confiance des personnes concernées et assure une gestion responsable et sécurisée des données personnelles. Elle démontre également votre sérieux et votre responsabilité (accountability) en cas de contrôle CNIL ou d'incident de sécurité.

Vous ne savez pas par quoi commencer ? Leto vous aide à réaliser votre analyse d'impact en toute simplicité grâce à un module dédié : Faire son AIPD avec Leto !

Questions fréquemment posées sur l'AIPD

Qu'est-ce que l'AIPD ?

L'AIPD (Analyse d'Impact relative à la Protection des Données), aussi appelée PIA (Privacy Impact Assessment), est une étude obligatoire prévue par l'article 35 du RGPD. Elle permet d'identifier et minimiser les risques liés à un traitement de données personnelles susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. L'AIPD doit être réalisée avant la mise en œuvre du traitement.

Quand faire une AIPD CNIL ?

Une AIPD est obligatoire lorsque le traitement remplit au moins 2 des 9 critères CNIL : évaluation/scoring, décision automatique, surveillance systématique, données sensibles, large échelle, croisement de données, personnes vulnérables, technologie innovante (IA), ou exclusion d'un droit. La CNIL publie également une liste de traitements pour lesquels l'AIPD est obligatoire ou exemptée.

Comment faire une AIPD ?

Pour réaliser une AIPD, suivez ces 5 étapes : 1) Décrire le traitement (finalité, données, destinataires) ; 2) Évaluer la nécessité et proportionnalité ; 3) Identifier les risques bruts (accès illégitime, modification, disparition) ; 4) Définir les mesures de réduction des risques ; 5) Documenter et faire valider par le DPO. Comptez 8 à 15 jours selon la complexité du traitement.

L'AIPD est-elle obligatoire pour l'IA ?

Oui, depuis août 2025 avec l'AI Act, l'AIPD est obligatoire pour tous les systèmes d'IA à haut risque : IA de recrutement (tri de CV), scoring crédit, contrôle d'accès biométrique, évaluation scolaire, ou gestion de services essentiels. L'AIPD doit désormais intégrer une analyse conjointe RGPD + AI Act pour ces traitements.

Quel est le modèle AIPD de la CNIL ?

La CNIL propose un logiciel gratuit PIA disponible sur son site, ainsi que des guides méthodologiques sectoriels (santé, smart cities, IoT). Cependant, ces outils nécessitent une expertise technique. Des solutions comme Leto proposent un module AIPD guidé avec questionnaire automatique, bibliothèque de 200+ mesures de sécurité, et génération de rapport conforme en quelques clics.