RGPD - ARTICLE 35 - ANALYSE D'IMPACT (AIPD)

Votre AIPD conforme
à la méthode CNIL

Le RGPD impose une Analyse d'Impact relative à la Protection des Données pour tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. SYAGA DPIA-Express structure et documente votre AIPD selon la méthodologie de l'article 35 et les lignes directrices du CEPD, sans improvisation et sans jargon.

35
Article RGPD (AIPD)
9
Critères CEPD (WP248 rev.01)
3
Cas d'obligation (art. 35.3)
4
Volets de méthode (art. 35.7 a-d)

L'obligation

Déterminer si votre traitement doit faire l'objet d'une AIPD, puis la conduire dans les règles

L'article 35 du RGPD impose une AIPD

Tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques doit faire l'objet d'une Analyse d'Impact relative à la Protection des Données avant sa mise en œuvre (RGPD, art. 35).

📋

La règle CNIL des « 2 critères sur 9 »

Le CEPD (ex-G29, lignes directrices WP248 rev.01) a défini 9 critères de risque élevé. Dès qu'un traitement remplit au moins deux de ces critères, une AIPD doit en principe être menée : une seule pièce mal identifiée, et le dossier est incomplet.

🔍

Des listes CNIL à confronter article par article

La CNIL publie des listes de traitements pour lesquels l'AIPD est requise ou non requise. Déterminer où se situe précisément votre traitement demande une lecture rigoureuse, pas une impression générale.

Sans méthode, le risque est double

Conduire une AIPD trop vite l'expose à l'incomplétude devant une autorité de contrôle ; ne pas la conduire quand elle est requise expose l'organisation à un manquement à l'article 35. La méthode CNIL structure ce choix et le documente.

La méthode : DPIA-Express

La structure imposée par l'article 35.7 du RGPD, appliquée à votre traitement, avec une conclusion motivée à chaque étape

1
Détermination de l'obligation

Votre traitement est-il vraiment soumis à l'AIPD ?

Analyse contre les 3 cas de l'article 35.3, la grille des 9 critères du CEPD (WP248 rev.01) et les listes CNIL des traitements requis ou non requis. Conclusion motivée, que l'AIPD soit finalement obligatoire ou non.

2
Art. 35.7.a

Description systématique du traitement

Finalités, catégories de données et de personnes concernées, destinataires, durées de conservation : la cartographie complète exigée par l'article 35.7.a, cohérente avec votre registre des activités de traitement (art. 30).

3
Art. 35.7.b

Nécessité et proportionnalité

Vérification que chaque donnée collectée est nécessaire à la finalité poursuivie, que la base légale (art. 6) est identifiée pour chaque traitement, et que le principe de minimisation (art. 5.1.c) est respecté.

4
Art. 35.7.c

Évaluation des risques pour les personnes

Pour chaque risque identifié : gravité, vraisemblance, mesures déjà en place, risque résiduel, présenté sous forme de tableau exploitable par votre direction ou votre DPO.

5
Art. 35.7.d et 5.2

Mesures et conclusion documentée

Mesures techniques et organisationnelles envisagées (art. 32), conclusion motivée et justification documentée au titre de l'accountability (art. 5.2), mobilisable en cas de contrôle de la CNIL.

Ce que vous recevez

Un document structuré, sourcé, et honnête sur ce qui reste à valider par votre juriste ou votre DPO

📝

Rapport AIPD structuré

Le document complet suivant l'article 35.7 (a à d), avec une conclusion motivée.

  • Description systématique du traitement
  • Analyse de nécessité et proportionnalité
  • Tableau des risques (gravité/vraisemblance/mesures)
  • Conclusion et justification documentée (art. 5.2)

Grille de détermination

L'analyse préalable qui tranche si votre traitement entre dans le champ de l'obligation.

  • Les 3 cas de l'article 35.3
  • Les 9 critères CEPD (WP248 rev.01)
  • Confrontation aux listes CNIL
  • Conclusion motivée et sourcée
📁

Cohérence registre art. 30

L'AIPD s'appuie sur le même socle que votre registre des activités de traitement.

  • Finalités et bases légales
  • Catégories de données et de personnes
  • Destinataires et sous-traitants
  • Durées de conservation par catégorie
🚩

Points à valider par votre juriste/DPO

Chaque point d'incertitude est signalé explicitement, jamais tranché à votre place.

  • Qualification responsable / sous-traitant
  • Bases légales par finalité
  • Transferts hors UE identifiés
  • Désignation d'un DPO (art. 37), le cas échéant
🔗

Sources et traçabilité

Chaque affirmation juridique est sourcée, pas affirmée de mémoire.

  • Texte consolidé RGPD (CELEX 32016R0679)
  • Pages et listes CNIL (AIPD, registre)
  • Lignes directrices CEPD (WP248 rev.01)
  • URL vérifiables citées dans le document
📄

Document éditable

Remis dans un format éditable, réutilisable par votre DPO ou votre juriste.

  • Structure conforme à l'article 35.7
  • Réutilisable pour vos futurs traitements
  • Prêt à être complété avant validation finale
  • Aucune mise en forme figée imposée

Références utilisées

Une méthode qui s'appuie sur les textes et les autorités, pas sur des interprétations maison

35

RGPD - Article 35

Analyse d'impact relative à la protection des données. Texte consolidé du Règlement (UE) 2016/679 (EUR-Lex, CELEX 32016R0679).

CEPD

Lignes directrices WP248 rev.01

Les 9 critères de risque élevé du CEPD (ex-G29), repris par la CNIL comme méthode de référence pour déterminer l'obligation d'AIPD.

CNIL

Listes et méthode CNIL

Listes des traitements pour lesquels l'AIPD est requise ou non requise, et méthode CNIL de conduite d'une analyse d'impact.

30

RGPD - Article 30

Registre des activités de traitement : le socle de cohérence (finalités, données, durées) sur lequel s'appuie toute AIPD.

Une AIPD sur mesure, sans prix caché

Le périmètre dépend du nombre de traitements, de leur complexité et de ce qui est déjà documenté chez vous. Devis établi après un premier échange.

Détermination d'obligation

Vous ne savez pas si votre traitement est concerné

Sur devis
selon le nombre de traitements à analyser
  • Grille des 9 critères CEPD
  • Confrontation à l'article 35.3
  • Vérification des listes CNIL
  • Conclusion motivée et sourcée
Demander un devis

Programme pluriannuel

Plusieurs traitements à risque à couvrir

Sur devis
selon le nombre de traitements et le rythme de réexamen
  • Tout AIPD complète +
  • Cadre méthodologique commun
  • Réexamen périodique (art. 35.11)
  • Cohérence maintenue avec le registre (art. 30)
Demander un devis

Une AIPD n'est jamais figée

L'article 35.11 du RGPD impose de réexaminer l'analyse en cas d'évolution significative du traitement (nouveau sous-traitant, changement d'hébergement, extension du périmètre de collecte). Un devis de réexamen est établi au cas par cas.

Questions fréquentes

Mon traitement est-il vraiment soumis à l'obligation d'AIPD ?
Cela dépend de trois éléments vérifiés méthodiquement : les 3 cas de l'article 35.3 du RGPD, la grille des 9 critères du CEPD (lignes directrices WP248 rev.01, reprises par la CNIL : dès que 2 critères sur 9 sont remplis, une AIPD doit en principe être menée), et les listes CNIL des traitements requis ou non requis. Le document livré tranche cette question et la justifie, point par point.
Que contient exactement le document livré ?
Un document structuré selon l'article 35.7 du RGPD : description systématique du traitement (a), analyse de nécessité et de proportionnalité (b), évaluation des risques pour les personnes concernées (c), mesures techniques et organisationnelles envisagées (d), puis une conclusion motivée. Chaque référence légale est sourcée (texte consolidé RGPD, CNIL, CEPD).
Et si mon traitement n'est finalement pas soumis à l'obligation d'AIPD ?
Le document est maintenu à titre volontaire et documentaire : il constitue la justification de votre décision de ne pas conduire d'AIPD formelle, au titre du principe d'accountability (art. 5.2 du RGPD), mobilisable en cas de contrôle de la CNIL.
Ce document remplace-t-il l'avis de mon avocat ou de mon DPO ?
Non. DPIA-Express est un outil d'accompagnement méthodologique qui structure et documente l'analyse ; il ne constitue pas un avis juridique. Chaque document livré liste explicitement les points restant à valider par votre juriste ou votre Délégué à la Protection des Données avant tout usage opposable.
Qui doit réaliser l'AIPD dans mon organisation ?
Le responsable de traitement reste juridiquement responsable de l'AIPD ; le DPO, lorsqu'il existe, doit être consulté (art. 35.2 du RGPD). DPIA-Express prépare la matière (description, risques, mesures) pour que cette consultation se fasse sur un dossier déjà structuré, et non sur une page blanche.
Pourquoi passer par SYAGA plutôt que le faire entièrement en interne ?
SYAGA Consulting existe depuis 2009 et applique cette même méthode à ses propres traitements, y compris à son propre produit d'audit Microsoft 365, dont l'analyse de l'obligation d'AIPD suit exactement cette structure. Nous ne livrons pas un gabarit générique : chaque document est bâti traitement par traitement, article par article.

Prêt à documenter votre AIPD ?

Décrivez-nous votre traitement, nous revenons vers vous avec un devis personnalisé.

Veille réglementaire - sources officielles

Ce que dit vraiment le texte, digéré en langage simple. Chaque point garde son lien vers le document officiel.

📋

C'est quoi une AIPD, en clair ?

Une AIPD, c'est simplement un travail d'évaluation : on regarde les risques qu'un traitement de données fait courir aux personnes, avant de le mettre en place. La CNIL la définit comme "un processus formel permettant d'évaluer les risques liés au traitement de données personnelles". Ce n'est pas une formalité administrative de plus, c'est un outil de bon sens rendu obligatoire par le RGPD dans certains cas. Source : CNIL →

🎯

Qui est vraiment concerné : la règle des « 2 critères sur 9 »

Pas besoin d'être une grande entreprise pour être concerné. La CNIL considère qu'une AIPD est obligatoire dès qu'un traitement remplit au moins deux de ces neuf situations : noter ou évaluer des personnes, prendre une décision automatisée qui a un effet réel sur elles, les surveiller de façon systématique, collecter des données sensibles (santé, origine, etc.), collecter à grande échelle, croiser plusieurs bases de données, viser des personnes vulnérables (salariés, patients, mineurs...), utiliser une technologie nouvelle, ou priver quelqu'un d'un droit ou d'un service. Source : CNIL →

Deux listes CNIL qui répondent souvent à votre place

Pour éviter de deviner, la CNIL a publié deux listes officielles : une liste de 14 types de traitements où l'AIPD est obligatoire (données de santé, profilage RH, surveillance des salariés, géolocalisation à grande échelle...), et une liste de 12 types où elle n'est pas requise (paie et gestion du personnel de moins de 250 salariés hors profilage, gestion fournisseurs, dossier patient d'un professionnel de santé isolé...). Ces listes ne couvrent pas tous les cas, mais elles répondent déjà à beaucoup de situations courantes. Source : liste CNIL des traitements requis →

🧩

Ce que l'analyse doit vraiment contenir

Le RGPD (article 35) ne demande pas un roman, mais quatre briques précises : décrire le traitement et son objectif, vérifier qu'il est vraiment nécessaire et proportionné, évaluer les risques pour les personnes concernées, puis lister les mesures prévues pour réduire ces risques. Une conclusion claire à la fin : le traitement est-il acceptable, et à quelles conditions. Source : RGPD, article 35 →

👤

Le rôle de votre DPO (si vous en avez un)

Si votre organisation a désigné un Délégué à la Protection des Données, le RGPD impose de lui demander conseil au moment de conduire l'AIPD, et de le charger de vérifier que l'analyse a bien été réalisée. C'est un garde-fou, pas une case à cocher : le DPO reste le bon réflexe avant de valider une conclusion. Source : RGPD, articles 35 et 39 →

Et si le risque reste élevé après l'analyse ?

Si, malgré les mesures prévues, le traitement présente encore un risque élevé pour les personnes, le RGPD impose de consulter la CNIL avant de démarrer. Elle dispose alors de huit semaines pour donner son avis écrit (prolongeable de six semaines si le dossier est complexe). Rassurant à savoir : ce cas reste l'exception, pas la règle. Source : RGPD, article 36 →

💰

Les sanctions, sans dramatiser

La CNIL rappelle que les amendes RGPD peuvent atteindre jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial, selon le montant le plus élevé. C'est un plafond légal, pas une fatalité : une AIPD bien menée est justement ce qui permet de montrer, en cas de contrôle, que la question a été prise au sérieux. Source : CNIL →

📢

Une actualité européenne à suivre

Le Comité européen de la protection des données (CEPD/EDPB) a mis en consultation publique, du 14 avril au 9 juin 2026, un projet de modèle unique d'AIPD destiné à harmoniser les pratiques entre pays européens. La consultation est désormais close ; nous suivons la suite donnée à ce projet pour en informer nos clients le moment venu. Source : EDPB →

Qui est vraiment concerné par l'AIPD ?

Avant de savoir comment faire une AIPD, il faut savoir si on est concerné. Voici le périmètre exact, tel que le définissent le RGPD et la CNIL, sans suspense inutile.

⚖️

Le seul critère qui compte : le risque, pas la taille

Le RGPD ne fixe aucun seuil d'effectif pour l'obligation d'AIPD. Son article 35 impose cette analyse au "responsable du traitement", quelle que soit sa forme (association, artisan, PME, collectivité, grand groupe), dès qu'un traitement "est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques". Piège fréquent à éviter : le seuil de 250 salariés existe bien dans le RGPD, mais il concerne une dispense partielle du registre des traitements (article 30), pas l'AIPD. Une entreprise de 5 salariés peut être concernée ; un groupe de 2000 salariés peut ne pas l'être : tout dépend du traitement, jamais de la taille de la structure. Source : RGPD, article 35 (reproduit par la CNIL) →

🏢

Public ou privé : personne n'est exclu du périmètre

L'article 35 vise "le responsable du traitement" au sens large : une entreprise privée comme une administration, une collectivité territoriale, une association ou un établissement de santé. Le texte prévoit même explicitement le cas d'une "surveillance systématique à grande échelle d'une zone accessible au public", qui vise typiquement une mairie ou un bailleur social installant de la vidéoprotection sur la voie publique, pas seulement une entreprise commerciale. Source : RGPD, article 35, paragraphe 3 →

📊

Le déclic concret : 2 critères sur 9

La CNIL et l'ancien groupe de l'article 29 (devenu Comité européen, EDPB) ont fixé neuf critères dans leurs lignes directrices de référence (WP248). Dès qu'un traitement en réunit au moins deux, l'AIPD devient obligatoire : noter ou évaluer des personnes, décider automatiquement de quelque chose qui les affecte, les surveiller de façon systématique, traiter des données sensibles, traiter à grande échelle, croiser des fichiers, viser des personnes vulnérables (salariés, patients, mineurs), utiliser une technologie nouvelle, ou priver quelqu'un d'un droit ou d'un contrat. Source : CNIL, lignes directrices G29/EDPB (WP248) →

🏥

Exemples concrets de profils concernés

En pratique, la doctrine CNIL rattache typiquement à ces critères : un cabinet médical ou une clinique traitant des données de santé à grande échelle, un service RH qui utilise un outil de notation ou de profilage des salariés, une entreprise équipée de badges et d'une vidéosurveillance systématique de ses locaux ouverts au public, un organisme de crédit ou de recouvrement pratiquant le scoring, ou un objet connecté de santé collectant des données d'habitudes de vie. Source : CNIL, liste des 14 traitements à AIPD obligatoire →

🟢

Et si je ne suis pas concerné, comment le savoir ?

La CNIL a aussi publié une liste de 12 types de traitements pour lesquels l'AIPD n'est PAS requise : par exemple la paie et la gestion du personnel d'un organisme de moins de 250 salariés (hors profilage), le dossier patient d'un professionnel de santé exerçant seul, ou la gestion courante des fournisseurs. Rassurant pour beaucoup de TPE : avoir des salariés ou des clients ne suffit pas, à lui seul, à déclencher l'obligation. Source : CNIL, liste des 12 traitements sans AIPD →

Les questions qu'un dirigeant se pose vraiment sur l'AIPD

Pas de jargon d'avocat : des réponses simples, chacune appuyée sur le texte officiel qui la fonde.

Dois-je faire l'AIPD avant de lancer mon projet, ou je peux la faire une fois que c'est déjà en route ?
Avant. Le RGPD est clair sur ce point : l'analyse doit être menée "préalablement au traitement", c'est-à-dire avant de commencer à collecter ou utiliser les données, pas une fois le logiciel déjà déployé auprès des utilisateurs. L'idée : repérer les problèmes pendant qu'il est encore facile de changer de solution, pas après. Source : RGPD, considérant 90 →
Si j'ai plusieurs traitements qui se ressemblent (plusieurs filiales, plusieurs logiciels similaires), je dois refaire une AIPD à chaque fois ?
Non. Le texte européen prévoit explicitement qu'"une seule analyse" puisse couvrir "un ensemble d'opérations de traitement similaires". En pratique, l'outil officiel de la CNIL va même plus loin : il permet de créer un modèle d'AIPD et de le dupliquer pour des traitements de même nature. Vous n'avez donc pas à repartir de zéro pour chaque filiale ou chaque outil qui fonctionne de la même façon. Source : RGPD, considérant 90 →   Source : outil PIA, CNIL →
Est-ce que je dois envoyer mon AIPD à la CNIL pour qu'elle me donne son feu vert ?
Non, dans la grande majorité des cas. La CNIL le dit elle-même sans ambiguïté : "vous avez effectué une analyse d'impact mais vous n'êtes pas dans l'un des cas ci-dessus, vous n'avez pas à consulter la CNIL." L'envoi n'est obligatoire que si, malgré les mesures prévues, le risque résiduel reste élevé (consultation préalable), ou si une loi nationale spécifique l'impose. Dans les autres cas, l'AIPD reste un document interne que vous conservez et présentez seulement en cas de contrôle. Source : CNIL →
Une fois l'AIPD faite, c'est bon à vie ?
Non. La CNIL le précise : "il est également nécessaire de revoir une AIPD de manière régulière pour s'assurer que le niveau de risque reste acceptable tout au long de la vie du traitement." Concrètement : si vous changez d'outil, si vous collectez de nouvelles données, ou si le volume de personnes concernées change fortement, c'est le bon moment pour relire votre AIPD et voir si la conclusion tient toujours. Source : CNIL →
Si l'AIPD est ratée ou absente, c'est qui le responsable : moi (dirigeant), mon DPO, ou mon prestataire informatique ?
Vous, en tant que responsable de traitement. La CNIL est explicite : le responsable de traitement "est tenu par l'obligation de s'assurer de la conformité de son traitement au RGPD". Le DPO, s'il existe, est consulté et vérifie que l'AIPD a bien été réalisée, mais il ne porte pas la responsabilité à votre place. Le sous-traitant (votre prestataire informatique par exemple) doit de son côté "fournir son aide et les informations nécessaires" quand vous la menez. Autrement dit : la délégation technique existe, la responsabilité finale reste chez le dirigeant. Source : CNIL →
Concrètement, un manquement ça coûte combien ?
Jusqu'à 10 millions d'euros, ou 2% du chiffre d'affaires annuel mondial si ce deuxième montant est plus élevé : c'est le plafond légal rappelé par la CNIL elle-même. Dans les faits, ce plafond concerne les dossiers les plus graves ; il sert surtout de rappel sérieux, pas de menace quotidienne. Une AIPD bien menée est justement ce qui permet de montrer, en cas de contrôle, que le sujet a été pris au sérieux avant que le problème n'arrive. Source : CNIL →
Existe-t-il un outil gratuit pour la faire moi-même sans payer un cabinet ?
Oui. La CNIL publie et maintient un logiciel gratuit et open source appelé "PIA", disponible en version installable (Windows, Linux, Mac) et en version web, pour "faciliter la conduite et la formalisation" de l'analyse. C'est un bon point de départ pour se familiariser avec la méthode. Notre rôle chez SYAGA n'est pas de remplacer cet outil mais d'appliquer la même méthode à votre cas réel, traitement par traitement, avec un regard extérieur qui repère ce qu'on ne voit plus quand on a le nez dans son propre logiciel. Source : outil PIA, CNIL →

Le calendrier de l'AIPD, en clair

Les dates qui comptent vraiment, sourcées, pour savoir ce qui est déjà obligatoire aujourd'hui et ce qui arrive.

Déjà en vigueur aujourd'hui

Le RGPD est applicable depuis le 25 mai 2018, partout en Europe. L'obligation de faire une AIPD (article 35), les deux listes CNIL qui disent quand elle est obligatoire ou non, et les lignes directrices européennes qui expliquent comment la mener : tout cela est en vigueur, stable, et ne dépend d'aucune réforme à venir. C'est la base sur laquelle vous pouvez vous appuyer dès maintenant.

🕑

À suivre, pas encore figé

Le Comité européen de la protection des données (CEPD) travaille à un modèle unique d'AIPD pour harmoniser les pratiques entre pays européens. La consultation publique sur ce projet s'est terminée le 9 juin 2026 ; aucune date de publication du modèle final n'a encore été communiquée. Rien n'oblige à attendre : la méthode CNIL reste valable pendant ce temps.

2016
27 avril 2016 puis 4 mai 2016

Le RGPD est adopté, puis publié au Journal Officiel de l'UE

Le Parlement européen et le Conseil adoptent le règlement 2016/679 le 27 avril 2016. Il est publié au Journal Officiel de l'Union européenne (JO L119) le 4 mai 2016, puis entre en vigueur vingt jours plus tard, le 24 mai 2016, sans être encore applicable. Source : EUR-Lex, référence officielle du règlement →

2018
25 mai 2018 - la date clé

Le RGPD devient applicable : l'AIPD devient une vraie obligation

Deux ans après son adoption, le règlement s'applique enfin dans toute l'Europe (article 99.2). C'est ce jour-là que l'obligation d'AIPD de l'article 35 devient opposable, et que le Comité européen de la protection des données (CEPD) est installé pour la première fois, reprenant à son compte les lignes directrices sur l'AIPD déjà rédigées (WP248 rev.01). Source : EUR-Lex, fiche du règlement (article 99) → Source : CEPD, lignes directrices reprises →

2018
11 octobre 2018

La CNIL publie sa liste des 14 traitements où l'AIPD est obligatoire

Quelques mois après l'entrée en application du RGPD, la CNIL adopte sa délibération n°2018-327 : une liste concrète de 14 types de traitements (données de santé, profilage RH, surveillance des salariés...) pour lesquels l'AIPD doit systématiquement être réalisée. Fini de deviner au cas par cas. Source : CNIL →

2019
12 septembre 2019

La CNIL publie la liste inverse : quand l'AIPD n'est pas nécessaire

Un an plus tard, la CNIL complète sa doctrine avec la délibération n°2019-118 : une liste des traitements pour lesquels une AIPD n'est PAS requise (paie de moins de 250 salariés hors profilage, gestion fournisseurs, dossier patient d'un professionnel isolé...). Les deux listes CNIL, ensemble, répondent déjà à beaucoup de situations courantes sans avoir à trancher soi-même. Source : CNIL →

2026
14 avril - 9 juin 2026 (clôturé)

Le CEPD consulte sur un modèle unique d'AIPD européen

Le CEPD a mis en consultation publique un projet de modèle d'AIPD commun, destiné à harmoniser les pratiques entre pays européens (aujourd'hui, chaque autorité nationale a un peu sa propre grille). La consultation est close depuis le 9 juin 2026 ; ce n'est pas encore un texte applicable, juste un projet en cours d'examen. Source : CEPD →

?
À venir - aucune date fixée

La finalisation du modèle CEPD, sans échéance connue

Le CEPD indique lui-même que le modèle "sera finalisé, sous réserve de modifications appropriées", après quoi les autorités nationales entameront les démarches pour l'adopter comme modèle unique, ou comme "méta-modèle" compatible avec les modèles déjà existants (dont celui de la CNIL). Aucune date n'est communiquée à ce jour : nous suivons ce dossier pour prévenir nos clients dès qu'il y a du concret, sans rien anticiper. Source : CEPD →

Les sanctions RGPD, en clair

Qui sanctionne, combien, et sur quels critères. Sans dramatiser : la grande majorité des dossiers n'ont rien à voir avec les montants qui font les gros titres.

Qui décide, en France : la formation restreinte de la CNIL

C'est un organe spécialisé de la CNIL, distinct du collège qui contrôle et conseille au quotidien, qui prononce les sanctions. Elle dispose de plusieurs outils gradués, pas seulement l'amende : rappel à l'ordre, avertissement, mise en demeure (avec ou sans astreinte financière), injonction, limitation temporaire ou définitive du traitement. L'amende n'est que le dernier barreau de l'échelle. Source : CNIL, les sanctions prononcées →

💰

Deux plafonds légaux, pas un montant unique

Le RGPD (article 83) fixe deux plafonds, le plus élevé des deux étant retenu : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial de l'exercice précédent pour les manquements aux obligations organisationnelles (sécurité, registre, DPO, analyse d'impact...) ; jusqu'à 20 millions d'euros ou 4 % pour les atteintes aux principes de fond (base légale, consentement, droits des personnes, transferts hors UE). Ce sont des plafonds, pas des montants automatiques. Source : RGPD, article 83 →

Comment le montant est vraiment fixé

L'article 83.2 impose à l'autorité de prendre en compte : la gravité et la durée du manquement, le caractère intentionnel ou la simple négligence, les mesures déjà prises pour limiter le dommage, le degré de responsabilité, les antécédents, la coopération avec l'autorité, et la sensibilité des données concernées. Concrètement : une organisation qui a documenté sa démarche (registre, AIPD, mesures de sécurité) et coopère est jugée différemment de celle qui n'a rien fait. Source : RGPD, article 83.2 →

👀

Un cas réel où l'absence d'AIPD a compté : Discord

Le 10 novembre 2022, la formation restreinte de la CNIL a prononcé une amende de 800 000 euros contre Discord. Parmi les manquements retenus : une durée de conservation excessive, un défaut de sécurité, et l'article 35 du RGPD, l'absence d'analyse d'impact alors que le traitement, à grande échelle et touchant des mineurs, en nécessitait une. C'est l'exemple le plus direct du lien entre "pas d'AIPD documentée" et sanction prononcée. Source : délibération SAN-2022-020, Légifrance →

🌐

Les gros montants existent, mais restent rares

Criteo a été sanctionné à hauteur de 40 millions d'euros le 15 juin 2023, faute d'avoir pu démontrer un consentement valable au dépôt de cookies publicitaires. Clearview AI a été sanctionné à hauteur de 20 millions d'euros le 17 octobre 2022, pour une collecte massive de photos sans base légale. Ces montants concernent des traitements internationaux à très grande échelle, pas le cas d'une PME qui documente sa démarche. Source : délibération SAN-2023-009, Légifrance →

📊

La réalité de la majorité des dossiers CNIL

Sur la même page officielle de la CNIL listant les délibérations, une part importante des sanctions publiées se compte en milliers d'euros, pas en millions : une agence de publicité sanctionnée 3 000 euros, deux médecins à 3 000 et 6 000 euros, un service de livraison de repas à 20 000 euros. La sanction est proportionnée à la taille et à la gravité, pas un couperet uniforme. Source : CNIL, les sanctions prononcées →

Ce qu'il faut retenir

Une AIPD bien menée ne rend pas une organisation intouchable : elle constitue la preuve, en cas de contrôle, que le sujet a été pris au sérieux. C'est précisément ce que l'article 83.2 du RGPD demande de prendre en compte pour fixer, ou ne pas fixer, une amende.