Résumé exécutif

L'analyse d'impact relative à la protection des données personnelles, communément désignée par l'acronyme AIPD ou DPIA en anglais, constitue une obligation réglementaire du RGPD pour tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Ce guide détaille la méthodologie de réalisation d'une AIPD conforme aux recommandations de la CNIL, depuis l'identification des traitements nécessitant une analyse d'impact en s'appuyant sur les critères définis par le groupe de travail Article 29 jusqu'à la rédaction du rapport final et la consultation préalable de l'autorité de contrôle lorsque le risque résiduel demeure élevé malgré les mesures d'atténuation envisagées, en fournissant des modèles pratiques et des retours d'expérience terrain permettant aux DPO de conduire cette analyse de manière efficace et défendable.

L'analyse d'impact relative à la protection des données est l'une des obligations les plus structurantes du RGPD car elle matérialise concrètement le principe de protection des données dès la conception (privacy by design) et le principe de responsabilité (accountability) qui constituent les piliers du règlement européen. L'article 35 du RGPD impose la réalisation d'une AIPD lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, en particulier lorsqu'il utilise de nouvelles technologies de traitement ou lorsqu'il présente certaines caractéristiques identifiées par les lignes directrices du CEPD et les listes nationales publiées par les autorités de contrôle. La CNIL a publié une liste de traitements pour lesquels l'AIPD est obligatoire et une méthodologie détaillée accompagnée d'un outil logiciel gratuit facilitant la réalisation de l'analyse. Malgré cette documentation abondante, de nombreuses organisations peinent encore à conduire des AIPD de qualité, soit par méconnaissance de la méthodologie, soit par manque de compétences internes pour évaluer les risques de manière structurée, soit par difficulté à articuler l'analyse de risques vie privée avec l'analyse de risques cybersécurité. Ce guide fournit aux DPO, RSSI et consultants en conformité les clés méthodologiques et les outils pratiques pour réaliser des AIPD rigoureuses, défendables devant la CNIL et véritablement utiles à l'amélioration de la protection des données personnelles dans l'organisation.

Quels traitements nécessitent une analyse d'impact AIPD ?

L'identification des traitements nécessitant une AIPD repose sur les neuf critères définis par les lignes directrices du groupe de travail Article 29, repris par le CEPD. Un traitement qui satisfait au moins deux de ces critères est présumé nécessiter une AIPD : évaluation ou scoring, décision automatisée avec effet juridique, surveillance systématique, données sensibles ou à caractère hautement personnel, traitement à grande échelle, croisement ou combinaison de données, données concernant des personnes vulnérables, utilisation innovante ou application de nouvelles technologies, et traitement empêchant l'exercice d'un droit ou l'utilisation d'un service.

En complément de ces critères généraux, la CNIL a publié une liste nationale de traitements pour lesquels l'AIPD est obligatoire, incluant notamment les traitements de données de santé à grande échelle, les traitements de profilage à des fins de prospection commerciale, la vidéosurveillance intelligente dans les espaces publics, les traitements biométriques aux fins d'identification des personnes et les traitements de géolocalisation des salariés. Le DPO doit maintenir un registre des AIPD réalisées et à réaliser, intégré dans le registre des traitements prévu par l'article 30, en articulation avec les démarches de conformité RGPD technique et de conformité NIS 2.

Votre registre des traitements identifie-t-il systématiquement les traitements nécessitant une AIPD, ou cette évaluation est-elle réalisée de manière ad hoc sans critères objectifs formalisés ?

Comment se structure une AIPD conforme à la méthodologie CNIL ?

La méthodologie AIPD de la CNIL structure l'analyse en quatre phases complémentaires qui couvrent l'ensemble des dimensions de l'évaluation d'impact. La première phase, description du traitement, détaille le contexte, la nature, la portée et les finalités du traitement, les catégories de données et de personnes concernées, les destinataires, les durées de conservation et les flux de données. Cette description doit être suffisamment précise pour permettre l'évaluation des risques dans les phases suivantes.

La deuxième phase, évaluation de la nécessité et de la proportionnalité, vérifie la licéité du traitement, la pertinence et la minimisation des données collectées, la qualité de l'information des personnes concernées, le respect de leurs droits et la conformité des transferts internationaux. La troisième phase, évaluation des risques pour les droits et libertés, identifie les sources de risques, les événements redoutés (accès illégitime, modification non désirée, disparition des données), évalue leur gravité et leur vraisemblance. La quatrième phase, identification des mesures d'atténuation, définit les mesures existantes et complémentaires permettant de réduire les risques à un niveau acceptable. L'ensemble s'appuie sur les travaux de la CNIL sur les AIPD.

Mon avis : La majorité des AIPD que je revois en audit souffrent d'un défaut structurel : l'évaluation des risques est conduite de manière trop superficielle, avec des niveaux de gravité et de vraisemblance attribués sans justification réelle. Une AIPD de qualité exige une évaluation documentée de chaque risque avec des scénarios concrets et des critères de cotation objectifs. L'outil PIA de la CNIL est un excellent point de départ mais il ne remplace pas le jugement expert du DPO et du RSSI travaillant ensemble sur l'évaluation des risques.

Quels outils utiliser pour réaliser une AIPD efficacement ?

Plusieurs outils facilitent la réalisation des AIPD en structurant la démarche et en automatisant la documentation. L'outil PIA de la CNIL, gratuit et open source, implémente fidèlement la méthodologie de l'autorité française et produit un rapport structuré exploitable directement. Les plateformes de privacy management comme OneTrust, Dastra ou TrustArc offrent des fonctionnalités plus avancées incluant la gestion collaborative, les bibliothèques de risques préalimentées, l'intégration avec le registre des traitements et la génération automatisée de rapports conformes.

Pour les organisations disposant d'un SMSI ISO 27001, l'articulation entre l'AIPD RGPD et l'analyse de risques ISO 27005 ou EBIOS RM permet de mutualiser les efforts d'évaluation des risques. Les sources de risques, les événements redoutés et les mesures de sécurité identifiés dans le cadre du SMSI alimentent directement l'AIPD pour le volet sécurité des données, tandis que l'AIPD enrichit l'analyse de risques du SMSI avec la dimension vie privée spécifique au RGPD. Cette approche intégrée évite la duplication des travaux d'évaluation et garantit la cohérence entre les deux démarches, en lien avec le plan de réponse aux incidents pour le volet notification des violations de données.

Phase de l'AIPDObjectifLivrablesActeurs impliqués
Description du traitementCaractériser le traitement et ses fluxFiche de traitement détailléeResponsable métier, DPO, DSI
Nécessité et proportionnalitéVérifier la conformité aux principesAnalyse de licéité et proportionnalitéDPO, direction juridique
Évaluation des risquesIdentifier et coter les risques vie privéeCartographie des risques cotésDPO, RSSI, expert technique
Mesures d'atténuationRéduire les risques à un niveau acceptablePlan de traitement des risquesRSSI, DSI, responsable métier

L'amende de 50 millions d'euros infligée à Google par la CNIL en janvier 2019 pour défaut de transparence et de consentement valide dans la personnalisation publicitaire a mis en lumière l'importance d'une AIPD rigoureuse pour les traitements de profilage à grande échelle. Si Google avait conduit une AIPD conforme à la méthodologie CNIL pour son traitement de personnalisation publicitaire, l'évaluation de la nécessité et de la proportionnalité aurait identifié les insuffisances de l'information des utilisateurs et du recueil du consentement qui ont fondé la sanction, en coordination avec le cadre de conformité IA.

Comment articuler l'AIPD avec le SMSI et l'analyse de risques cyber ?

L'articulation entre l'AIPD RGPD et l'analyse de risques cybersécurité du SMSI est une bonne pratique qui rationalise les efforts d'évaluation tout en enrichissant les deux démarches complémentaires. Les synergies sont nombreuses : les actifs informationnels identifiés dans le SMSI incluent les données personnelles dont le traitement est documenté dans le registre RGPD, les sources de risques cyber (attaquants, vulnérabilités) constituent des sources de risques pour la vie privée, et les mesures de sécurité du SMSI contribuent directement à la protection des données personnelles exigée par l'article 32 du RGPD.

L'approche intégrée consiste à réaliser l'analyse de risques cyber et l'AIPD de manière coordonnée en partageant les bases de connaissances communes (inventaire des actifs, catalogue de menaces, référentiel de mesures) tout en distinguant les objectifs spécifiques de chaque démarche. L'analyse de risques cyber évalue les impacts sur la confidentialité, l'intégrité et la disponibilité des systèmes d'information, tandis que l'AIPD évalue les impacts sur les droits et libertés des personnes physiques, une dimension plus large qui inclut la discrimination, l'usurpation d'identité, la perte financière et l'atteinte à la réputation. L'ensemble alimente le dispositif de gestion des vulnérabilités.

Faut-il consulter la CNIL avant de mettre en œuvre le traitement ?

L'article 36 du RGPD prévoit une obligation de consultation préalable de l'autorité de contrôle lorsque l'AIPD révèle que le traitement envisagé présenterait un risque résiduel élevé pour les droits et libertés des personnes malgré les mesures d'atténuation identifiées. Cette consultation préalable est un mécanisme rarement utilisé en pratique mais dont la méconnaissance expose l'organisation à un risque de non-conformité en cas de mise en œuvre d'un traitement à haut risque résiduel sans consultation de la CNIL.

La consultation préalable doit être distinguée de la simple déclaration d'une AIPD qui n'est pas obligatoire en soi. L'organisation n'est pas tenue de transmettre ses AIPD à la CNIL de manière systématique, mais elle doit les tenir à la disposition de l'autorité de contrôle en cas de demande ou de contrôle. La CNIL dispose d'un délai de huit semaines, prolongeable de six semaines, pour rendre son avis sur la consultation préalable. Pendant ce délai, le traitement ne doit pas être mis en œuvre. En pratique, les RSSI et DPO doivent privilégier l'identification de mesures d'atténuation suffisantes pour ramener le risque résiduel à un niveau acceptable, évitant ainsi le recours à la consultation préalable qui allonge significativement le calendrier de mise en œuvre, comme recommandé par l'ANSSI et l'ENISA.

Comment maintenir les AIPD à jour dans la durée ?

L'AIPD n'est pas un exercice ponctuel réalisé une fois pour toutes lors de la mise en œuvre du traitement. Le RGPD exige implicitement que l'analyse soit revue et mise à jour lorsque le traitement évolue de manière significative ou lorsque de nouveaux risques apparaissent. Les événements déclenchant une révision de l'AIPD incluent la modification des finalités ou du périmètre du traitement, l'ajout de nouvelles catégories de données ou de nouveaux destinataires, le changement de sous-traitant ou de localisation des données, l'évolution de la technologie utilisée et la survenance d'un incident de sécurité affectant les données concernées.

Le processus de révision doit être intégré dans les processus de gestion du changement de l'organisation et dans le cycle de vie du SMSI. Le DPO doit être systématiquement consulté lors de tout projet susceptible de modifier un traitement ayant fait l'objet d'une AIPD, conformément au principe de privacy by design. La fréquence minimale de revue recommandée est de deux ans pour les traitements stables, avec une revue événementielle déclenchée par tout changement significatif. Le registre des AIPD, maintenu par le DPO, doit tracer l'historique des versions et des revues pour démontrer la démarche d'accountability en cas de contrôle de l'autorité compétente.

L'intégration des AIPD dans le système de gestion documentaire du SMSI garantit leur accessibilité, leur traçabilité et leur inclusion dans le programme d'audit interne qui vérifie périodiquement la complétude et l'actualité des analyses réalisées pour l'ensemble des traitements identifiés comme nécessitant une analyse d'impact conformément aux critères réglementaires applicables.

À retenir : L'AIPD est une obligation ciblée pour les traitements à risque élevé, pas un exercice systématique pour tous les traitements. Utilisez les neuf critères du CEPD et la liste nationale de la CNIL pour identifier les traitements concernés. La méthodologie CNIL en quatre phases fournit un cadre structuré et l'outil PIA gratuit facilite la réalisation. Articulez l'AIPD avec votre analyse de risques cyber pour éviter les doublons et maintenez les AIPD à jour lors de chaque évolution significative du traitement.

Vous devez réaliser une AIPD pour un traitement innovant ou à grande échelle ? Nos consultants DPO et RSSI vous accompagnent dans la réalisation d'analyses d'impact conformes à la méthodologie CNIL, articulées avec votre SMSI et défendables devant l'autorité de contrôle.