Le RGPD impose une Analyse d'Impact relative à la Protection des Données pour tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. SYAGA DPIA-Express structure et documente votre AIPD selon la méthodologie de l'article 35 et les lignes directrices du CEPD, sans improvisation et sans jargon.
Déterminer si votre traitement doit faire l'objet d'une AIPD, puis la conduire dans les règles
Tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques doit faire l'objet d'une Analyse d'Impact relative à la Protection des Données avant sa mise en œuvre (RGPD, art. 35).
Le CEPD (ex-G29, lignes directrices WP248 rev.01) a défini 9 critères de risque élevé. Dès qu'un traitement remplit au moins deux de ces critères, une AIPD doit en principe être menée : une seule pièce mal identifiée, et le dossier est incomplet.
La CNIL publie des listes de traitements pour lesquels l'AIPD est requise ou non requise. Déterminer où se situe précisément votre traitement demande une lecture rigoureuse, pas une impression générale.
Conduire une AIPD trop vite l'expose à l'incomplétude devant une autorité de contrôle ; ne pas la conduire quand elle est requise expose l'organisation à un manquement à l'article 35. La méthode CNIL structure ce choix et le documente.
La structure imposée par l'article 35.7 du RGPD, appliquée à votre traitement, avec une conclusion motivée à chaque étape
Analyse contre les 3 cas de l'article 35.3, la grille des 9 critères du CEPD (WP248 rev.01) et les listes CNIL des traitements requis ou non requis. Conclusion motivée, que l'AIPD soit finalement obligatoire ou non.
Finalités, catégories de données et de personnes concernées, destinataires, durées de conservation : la cartographie complète exigée par l'article 35.7.a, cohérente avec votre registre des activités de traitement (art. 30).
Vérification que chaque donnée collectée est nécessaire à la finalité poursuivie, que la base légale (art. 6) est identifiée pour chaque traitement, et que le principe de minimisation (art. 5.1.c) est respecté.
Pour chaque risque identifié : gravité, vraisemblance, mesures déjà en place, risque résiduel, présenté sous forme de tableau exploitable par votre direction ou votre DPO.
Mesures techniques et organisationnelles envisagées (art. 32), conclusion motivée et justification documentée au titre de l'accountability (art. 5.2), mobilisable en cas de contrôle de la CNIL.
Un document structuré, sourcé, et honnête sur ce qui reste à valider par votre juriste ou votre DPO
Le document complet suivant l'article 35.7 (a à d), avec une conclusion motivée.
L'analyse préalable qui tranche si votre traitement entre dans le champ de l'obligation.
L'AIPD s'appuie sur le même socle que votre registre des activités de traitement.
Chaque point d'incertitude est signalé explicitement, jamais tranché à votre place.
Chaque affirmation juridique est sourcée, pas affirmée de mémoire.
Remis dans un format éditable, réutilisable par votre DPO ou votre juriste.
Une méthode qui s'appuie sur les textes et les autorités, pas sur des interprétations maison
Analyse d'impact relative à la protection des données. Texte consolidé du Règlement (UE) 2016/679 (EUR-Lex, CELEX 32016R0679).
Les 9 critères de risque élevé du CEPD (ex-G29), repris par la CNIL comme méthode de référence pour déterminer l'obligation d'AIPD.
Listes des traitements pour lesquels l'AIPD est requise ou non requise, et méthode CNIL de conduite d'une analyse d'impact.
Registre des activités de traitement : le socle de cohérence (finalités, données, durées) sur lequel s'appuie toute AIPD.
Le périmètre dépend du nombre de traitements, de leur complexité et de ce qui est déjà documenté chez vous. Devis établi après un premier échange.
Vous ne savez pas si votre traitement est concerné
Traitement identifié à risque élevé
Plusieurs traitements à risque à couvrir
Une AIPD n'est jamais figée
L'article 35.11 du RGPD impose de réexaminer l'analyse en cas d'évolution significative du traitement (nouveau sous-traitant, changement d'hébergement, extension du périmètre de collecte). Un devis de réexamen est établi au cas par cas.
Décrivez-nous votre traitement, nous revenons vers vous avec un devis personnalisé.
Ce que dit vraiment le texte, digéré en langage simple. Chaque point garde son lien vers le document officiel.
Une AIPD, c'est simplement un travail d'évaluation : on regarde les risques qu'un traitement de données fait courir aux personnes, avant de le mettre en place. La CNIL la définit comme "un processus formel permettant d'évaluer les risques liés au traitement de données personnelles". Ce n'est pas une formalité administrative de plus, c'est un outil de bon sens rendu obligatoire par le RGPD dans certains cas. Source : CNIL →
Pas besoin d'être une grande entreprise pour être concerné. La CNIL considère qu'une AIPD est obligatoire dès qu'un traitement remplit au moins deux de ces neuf situations : noter ou évaluer des personnes, prendre une décision automatisée qui a un effet réel sur elles, les surveiller de façon systématique, collecter des données sensibles (santé, origine, etc.), collecter à grande échelle, croiser plusieurs bases de données, viser des personnes vulnérables (salariés, patients, mineurs...), utiliser une technologie nouvelle, ou priver quelqu'un d'un droit ou d'un service. Source : CNIL →
Pour éviter de deviner, la CNIL a publié deux listes officielles : une liste de 14 types de traitements où l'AIPD est obligatoire (données de santé, profilage RH, surveillance des salariés, géolocalisation à grande échelle...), et une liste de 12 types où elle n'est pas requise (paie et gestion du personnel de moins de 250 salariés hors profilage, gestion fournisseurs, dossier patient d'un professionnel de santé isolé...). Ces listes ne couvrent pas tous les cas, mais elles répondent déjà à beaucoup de situations courantes. Source : liste CNIL des traitements requis →
Le RGPD (article 35) ne demande pas un roman, mais quatre briques précises : décrire le traitement et son objectif, vérifier qu'il est vraiment nécessaire et proportionné, évaluer les risques pour les personnes concernées, puis lister les mesures prévues pour réduire ces risques. Une conclusion claire à la fin : le traitement est-il acceptable, et à quelles conditions. Source : RGPD, article 35 →
Si votre organisation a désigné un Délégué à la Protection des Données, le RGPD impose de lui demander conseil au moment de conduire l'AIPD, et de le charger de vérifier que l'analyse a bien été réalisée. C'est un garde-fou, pas une case à cocher : le DPO reste le bon réflexe avant de valider une conclusion. Source : RGPD, articles 35 et 39 →
Si, malgré les mesures prévues, le traitement présente encore un risque élevé pour les personnes, le RGPD impose de consulter la CNIL avant de démarrer. Elle dispose alors de huit semaines pour donner son avis écrit (prolongeable de six semaines si le dossier est complexe). Rassurant à savoir : ce cas reste l'exception, pas la règle. Source : RGPD, article 36 →
La CNIL rappelle que les amendes RGPD peuvent atteindre jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial, selon le montant le plus élevé. C'est un plafond légal, pas une fatalité : une AIPD bien menée est justement ce qui permet de montrer, en cas de contrôle, que la question a été prise au sérieux. Source : CNIL →
Le Comité européen de la protection des données (CEPD/EDPB) a mis en consultation publique, du 14 avril au 9 juin 2026, un projet de modèle unique d'AIPD destiné à harmoniser les pratiques entre pays européens. La consultation est désormais close ; nous suivons la suite donnée à ce projet pour en informer nos clients le moment venu. Source : EDPB →
Avant de savoir comment faire une AIPD, il faut savoir si on est concerné. Voici le périmètre exact, tel que le définissent le RGPD et la CNIL, sans suspense inutile.
Le RGPD ne fixe aucun seuil d'effectif pour l'obligation d'AIPD. Son article 35 impose cette analyse au "responsable du traitement", quelle que soit sa forme (association, artisan, PME, collectivité, grand groupe), dès qu'un traitement "est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques". Piège fréquent à éviter : le seuil de 250 salariés existe bien dans le RGPD, mais il concerne une dispense partielle du registre des traitements (article 30), pas l'AIPD. Une entreprise de 5 salariés peut être concernée ; un groupe de 2000 salariés peut ne pas l'être : tout dépend du traitement, jamais de la taille de la structure. Source : RGPD, article 35 (reproduit par la CNIL) →
L'article 35 vise "le responsable du traitement" au sens large : une entreprise privée comme une administration, une collectivité territoriale, une association ou un établissement de santé. Le texte prévoit même explicitement le cas d'une "surveillance systématique à grande échelle d'une zone accessible au public", qui vise typiquement une mairie ou un bailleur social installant de la vidéoprotection sur la voie publique, pas seulement une entreprise commerciale. Source : RGPD, article 35, paragraphe 3 →
La CNIL et l'ancien groupe de l'article 29 (devenu Comité européen, EDPB) ont fixé neuf critères dans leurs lignes directrices de référence (WP248). Dès qu'un traitement en réunit au moins deux, l'AIPD devient obligatoire : noter ou évaluer des personnes, décider automatiquement de quelque chose qui les affecte, les surveiller de façon systématique, traiter des données sensibles, traiter à grande échelle, croiser des fichiers, viser des personnes vulnérables (salariés, patients, mineurs), utiliser une technologie nouvelle, ou priver quelqu'un d'un droit ou d'un contrat. Source : CNIL, lignes directrices G29/EDPB (WP248) →
En pratique, la doctrine CNIL rattache typiquement à ces critères : un cabinet médical ou une clinique traitant des données de santé à grande échelle, un service RH qui utilise un outil de notation ou de profilage des salariés, une entreprise équipée de badges et d'une vidéosurveillance systématique de ses locaux ouverts au public, un organisme de crédit ou de recouvrement pratiquant le scoring, ou un objet connecté de santé collectant des données d'habitudes de vie. Source : CNIL, liste des 14 traitements à AIPD obligatoire →
La CNIL a aussi publié une liste de 12 types de traitements pour lesquels l'AIPD n'est PAS requise : par exemple la paie et la gestion du personnel d'un organisme de moins de 250 salariés (hors profilage), le dossier patient d'un professionnel de santé exerçant seul, ou la gestion courante des fournisseurs. Rassurant pour beaucoup de TPE : avoir des salariés ou des clients ne suffit pas, à lui seul, à déclencher l'obligation. Source : CNIL, liste des 12 traitements sans AIPD →
Pas de jargon d'avocat : des réponses simples, chacune appuyée sur le texte officiel qui la fonde.
Les dates qui comptent vraiment, sourcées, pour savoir ce qui est déjà obligatoire aujourd'hui et ce qui arrive.
Le RGPD est applicable depuis le 25 mai 2018, partout en Europe. L'obligation de faire une AIPD (article 35), les deux listes CNIL qui disent quand elle est obligatoire ou non, et les lignes directrices européennes qui expliquent comment la mener : tout cela est en vigueur, stable, et ne dépend d'aucune réforme à venir. C'est la base sur laquelle vous pouvez vous appuyer dès maintenant.
Le Comité européen de la protection des données (CEPD) travaille à un modèle unique d'AIPD pour harmoniser les pratiques entre pays européens. La consultation publique sur ce projet s'est terminée le 9 juin 2026 ; aucune date de publication du modèle final n'a encore été communiquée. Rien n'oblige à attendre : la méthode CNIL reste valable pendant ce temps.
Le Parlement européen et le Conseil adoptent le règlement 2016/679 le 27 avril 2016. Il est publié au Journal Officiel de l'Union européenne (JO L119) le 4 mai 2016, puis entre en vigueur vingt jours plus tard, le 24 mai 2016, sans être encore applicable. Source : EUR-Lex, référence officielle du règlement →
Deux ans après son adoption, le règlement s'applique enfin dans toute l'Europe (article 99.2). C'est ce jour-là que l'obligation d'AIPD de l'article 35 devient opposable, et que le Comité européen de la protection des données (CEPD) est installé pour la première fois, reprenant à son compte les lignes directrices sur l'AIPD déjà rédigées (WP248 rev.01). Source : EUR-Lex, fiche du règlement (article 99) → Source : CEPD, lignes directrices reprises →
Quelques mois après l'entrée en application du RGPD, la CNIL adopte sa délibération n°2018-327 : une liste concrète de 14 types de traitements (données de santé, profilage RH, surveillance des salariés...) pour lesquels l'AIPD doit systématiquement être réalisée. Fini de deviner au cas par cas. Source : CNIL →
Un an plus tard, la CNIL complète sa doctrine avec la délibération n°2019-118 : une liste des traitements pour lesquels une AIPD n'est PAS requise (paie de moins de 250 salariés hors profilage, gestion fournisseurs, dossier patient d'un professionnel isolé...). Les deux listes CNIL, ensemble, répondent déjà à beaucoup de situations courantes sans avoir à trancher soi-même. Source : CNIL →
Le CEPD a mis en consultation publique un projet de modèle d'AIPD commun, destiné à harmoniser les pratiques entre pays européens (aujourd'hui, chaque autorité nationale a un peu sa propre grille). La consultation est close depuis le 9 juin 2026 ; ce n'est pas encore un texte applicable, juste un projet en cours d'examen. Source : CEPD →
Le CEPD indique lui-même que le modèle "sera finalisé, sous réserve de modifications appropriées", après quoi les autorités nationales entameront les démarches pour l'adopter comme modèle unique, ou comme "méta-modèle" compatible avec les modèles déjà existants (dont celui de la CNIL). Aucune date n'est communiquée à ce jour : nous suivons ce dossier pour prévenir nos clients dès qu'il y a du concret, sans rien anticiper. Source : CEPD →
Qui sanctionne, combien, et sur quels critères. Sans dramatiser : la grande majorité des dossiers n'ont rien à voir avec les montants qui font les gros titres.
C'est un organe spécialisé de la CNIL, distinct du collège qui contrôle et conseille au quotidien, qui prononce les sanctions. Elle dispose de plusieurs outils gradués, pas seulement l'amende : rappel à l'ordre, avertissement, mise en demeure (avec ou sans astreinte financière), injonction, limitation temporaire ou définitive du traitement. L'amende n'est que le dernier barreau de l'échelle. Source : CNIL, les sanctions prononcées →
Le RGPD (article 83) fixe deux plafonds, le plus élevé des deux étant retenu : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial de l'exercice précédent pour les manquements aux obligations organisationnelles (sécurité, registre, DPO, analyse d'impact...) ; jusqu'à 20 millions d'euros ou 4 % pour les atteintes aux principes de fond (base légale, consentement, droits des personnes, transferts hors UE). Ce sont des plafonds, pas des montants automatiques. Source : RGPD, article 83 →
L'article 83.2 impose à l'autorité de prendre en compte : la gravité et la durée du manquement, le caractère intentionnel ou la simple négligence, les mesures déjà prises pour limiter le dommage, le degré de responsabilité, les antécédents, la coopération avec l'autorité, et la sensibilité des données concernées. Concrètement : une organisation qui a documenté sa démarche (registre, AIPD, mesures de sécurité) et coopère est jugée différemment de celle qui n'a rien fait. Source : RGPD, article 83.2 →
Le 10 novembre 2022, la formation restreinte de la CNIL a prononcé une amende de 800 000 euros contre Discord. Parmi les manquements retenus : une durée de conservation excessive, un défaut de sécurité, et l'article 35 du RGPD, l'absence d'analyse d'impact alors que le traitement, à grande échelle et touchant des mineurs, en nécessitait une. C'est l'exemple le plus direct du lien entre "pas d'AIPD documentée" et sanction prononcée. Source : délibération SAN-2022-020, Légifrance →
Criteo a été sanctionné à hauteur de 40 millions d'euros le 15 juin 2023, faute d'avoir pu démontrer un consentement valable au dépôt de cookies publicitaires. Clearview AI a été sanctionné à hauteur de 20 millions d'euros le 17 octobre 2022, pour une collecte massive de photos sans base légale. Ces montants concernent des traitements internationaux à très grande échelle, pas le cas d'une PME qui documente sa démarche. Source : délibération SAN-2023-009, Légifrance →
Sur la même page officielle de la CNIL listant les délibérations, une part importante des sanctions publiées se compte en milliers d'euros, pas en millions : une agence de publicité sanctionnée 3 000 euros, deux médecins à 3 000 et 6 000 euros, un service de livraison de repas à 20 000 euros. La sanction est proportionnée à la taille et à la gravité, pas un couperet uniforme. Source : CNIL, les sanctions prononcées →
Ce qu'il faut retenir
Une AIPD bien menée ne rend pas une organisation intouchable : elle constitue la preuve, en cas de contrôle, que le sujet a été pris au sérieux. C'est précisément ce que l'article 83.2 du RGPD demande de prendre en compte pour fixer, ou ne pas fixer, une amende.