Ce qu'il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD)
18 octobre 2017
L’AIPD un outil qui permet de construire un traitement conforme au RGPD et respectueux de la vie privée, lorsqu’un est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.

Qu’est-ce qu’une analyse d’impact relative à la protection des données (AIPD) ?
Qu’est-ce qu’un risque sur la vie privée ?
Une analyse d’impact peut-elle porter sur un ou plusieurs traitements ?
Quand est-ce qu’une analyse d’impact n’est pas obligatoire ?
Quand est-ce qu’une analyse d’impact est obligatoire ?
À quel moment faut-il mener une analyse d‘impact ?
Faut-il mener une analyse d’impact pour les traitements déjà mis en œuvre au 25 mai 2018 ?
Qui intervient dans la réalisation d’une analyse d’impact ?
Comment fait-on une analyse d'impact, existe-t-il une méthode pour faire une analyse d’impact ?
Faut-il publier l’analyse d’impact ?
Quand faut-il transmettre son analyse d’impact à la CNIL ?
Comment envoyer son analyse d’impact (AIPD) à la CNIL ?
Quel est le montant des sanctions prévues par le règlement en cas de manquements aux dispositions relatives aux analyses d’impact ?
Infographie - Dois-je faire une AIPD ?
Titre : Dois-je faire une AIPD ?
Les traitements de données doivent respecter le RGPD. Tout susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes concernées doit faire l'objet d'une analyse d'impact (AIPD). L'analyse d'impact est un outil important de responsabilisation et de conformité qui permet de garantir le respect des principes du RGPD de façon opérationnelle et de pouvoir le démontrer.
Mon traitement est-il sur la liste des cas pour lesquels une AIPD n'est pas obligatoire ?
Si oui, l'AIPD est non requise.
Si non, mon traitement est-il sur la liste des cas pour lesquels une AIPD est obligatoire ?
Si oui l'AIPD est requise.
Si non, combien de critères mon traitement remplit-il parmi les suivants ?
- Évaluation/scoring (y compris le profilage)
- Décision automatique avec effet légal ou similaire
- Surveillance systématique
- Données sensibles ou hautement personnelles (santé, , etc.)
- Collecte à large échelle
- Croisement de données
- Personnes vulnérables (patients, personnes âgées, enfants, etc.)
- Usage innovant (utilisation d'une nouvelle technologie)
- Exclusion du bénéfice d'un droit/contrat
Si au moins deux critères sont remplis, ou un critère mais je considère que mon traitement présente un risque élevé : l'APID est requise. La CNIL vous propose une boîte à outils pour réaliser votre analyse d'impact. Vous pouvez tout d'abord consulter les questions/réponses ainsi que les guides pratiques et les catalogues de bonnes pratiques. Enfin, la CNIL met à votre disposition un logiciel open source pour faciliter la conduite et la formalisation de votre analyse.
Si aucun critère n'est remplit, l'APID est non requise. Même non soumis à une AIPD, les traitements doivent respecter les principes de protection des données et les droits des personnes concernées.
Documents
Délibérations
- Délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d'impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD)
- Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise
- Délibération n° 2019-118 du 12 septembre 2019 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données n'est pas requise