Guide pratique

Comment réaliser une AIPD étape par étape : un guide pratique pour les équipes protection des données

Mis à jour le 2026-06-22
Points clés : Priverion est une plateforme GRC hébergée en Suisse qui aide les équipes protection des données à réaliser leurs AIPD de manière systématique à travers plusieurs entités et juridictions, grâce à un cadre structuré en 7 phases.

Réaliser une analyse d'impact relative à la protection des données ne devrait pas exiger de réinventer le processus à chaque fois. Que vous meniez votre première AIPD ou que vous cherchiez à standardiser vos analyses au sein de 15 filiales réparties dans différentes juridictions, ce guide décompose le processus en 7 phases claires, avec des points de décision concrets, des listes de contrôle des parties prenantes et les questions exactes auxquelles les autorités de contrôle s'attendent à vous voir répondre.

Conçu pour les DPD, les responsables conformité et les équipes juridiques qui pilotent la protection des données dans des organisations complexes et multi-entités.

Le cadre AIPD en 7 phases

1 Pré-évaluation & analyse de seuil
2 Décrire le traitement
3 Évaluer la nécessité & la proportionnalité
4 Identifier & évaluer les risques
5 Définir les mesures d'atténuation
6 Consultation des parties prenantes & validation
7 Revue continue & recertification

La confiance d'équipes protection des données qui gèrent la conformité dans plus de 30 juridictions

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Pourquoi la plupart des AIPD échouent, et ce que les autorités de contrôle recherchent réellement

Ces trois problèmes structurels expliquent pourquoi même des équipes protection des données bien intentionnées produisent des AIPD qui ne résisteraient pas à l'examen d'une autorité de contrôle.

Problème 01

Le piège de l'analyse au cas par cas

La plupart des organisations traitent chaque AIPD comme un exercice ponctuel. Il n'existe aucun cadre reproductible, si bien que chaque analyse repart de zéro. La qualité varie énormément d'un évaluateur à l'autre. Le savoir-faire institutionnel disparaît dès que la personne qui a piloté la dernière analyse change de fonction, et l'équipe suivante hérite d'une page blanche plutôt que d'une méthodologie.

Problème 02

L'angle mort multi-entités

Pour les organisations dotées de filiales, de responsables conjoints du traitement ou d'activités réparties dans plusieurs juridictions, le défi se multiplie. Les différentes entités interprètent le seuil de déclenchement de l'AIPD différemment. Une filiale réalise des analyses qui satisferaient la DPC irlandaise mais pas la CNIL française. Et personne, au niveau du groupe, n'a de visibilité sur les activités de traitement qui ont été analysées et celles qui ne l'ont pas été.

Problème 03

La lacune documentaire qui coûte des millions

Les autorités de contrôle ne veulent pas seulement constater que vous avez réalisé une AIPD. Elles veulent voir comment vous l'avez réalisée. Elles attendent la preuve d'une méthodologie systématique, d'une consultation des parties prenantes, de décisions documentées d'atténuation des risques et d'une revue continue. Une AIPD qui sommeille dans un document Word sur le bureau de quelqu'un échoue à ce test à chaque fois.

La bonne nouvelle : un processus d'AIPD bien structuré n'a rien de compliqué. Il doit simplement être systématique. Voici l'approche en 7 phases que nous recommandons, élaborée à partir d'une expérience concrète de pilotage d'analyses à travers des dizaines d'entités et de juridictions.

200+

Heures économisées sur la gestion du registre des traitements

Medtec a réaffecté plus de 200 heures du suivi manuel du registre des traitements à la préparation de l'ISO 27001, dès sa première année sur Priverion.

60%

De coût total en moins par rapport aux plateformes traditionnelles

D'après la tarification par entité de Priverion, comparée à la tarification par utilisateur et par module d'OneTrust et d'outils d'entreprise similaires pour les déploiements multi-filiales.

3 mois

D'avance sur le calendrier de certification ISO 27001

Medtec a avancé de trois mois sa préparation à l'ISO 27001 grâce aux dossiers de preuves prêts pour l'audit et à la documentation automatisée de Priverion.

Pourquoi les équipes du mid-market passent d'OneTrust à Priverion

OneTrust a été conçu pour des programmes de conformité de niveau Fortune 500, avec des budgets de niveau Fortune 500. Si vous pilotez la protection des données au sein de 5 à 50 entités et que vous n'avez besoin ni de modules ESG ni de gestion du consentement aux cookies, voici à quoi ressemble réellement la comparaison.

L'expérience type d'une plateforme d'entreprise

Une tarification qui s'emballe

La tarification par utilisateur et par module signifie que vos coûts augmentent chaque fois que vous intégrez une nouvelle filiale ou que vous ajoutez un membre d'équipe. Les mauvaises surprises budgétaires au renouvellement deviennent la norme, et non l'exception.

Une complexité que vous n'avez pas demandée

Plus de 200 intégrations, cela impressionne, jusqu'à ce que vous constatiez que la plupart ne sont que des connecteurs superficiels nécessitant une maintenance permanente. En parallèle, l'expérience utilisateur exige une équipe d'administration dédiée rien que pour faire tourner l'outil.

Une infrastructure de données hébergée aux États-Unis

Dans un contexte post-Schrems II, héberger des données de conformité sur une infrastructure américaine crée précisément le type de risque de transfert transfrontalier que votre programme de protection des données est censé atténuer.

Des mois avant d'être opérationnel

Des projets de déploiement étalés sur plusieurs mois, avec des consultants dédiés, avant le moindre résultat de conformité. Le délai de mise en valeur se mesure en trimestres, pas en semaines.

L'expérience Priverion

Une tarification prévisible, sans pièges d'expansion

Tarifée selon le nombre de sociétés et la taille de l'organisation, et non par utilisateur ou par module. Ajoutez des membres d'équipe à travers vos filiales sans voir la facture grimper. Votre directeur financier appréciera cette prévisibilité.

Une plateforme tout-en-un, une expérience plus simple

Registre des traitements, AIPD, évaluations fournisseurs, gestion des demandes des personnes concernées, gestion des incidents et conformité au règlement sur l'IA, le tout sur une seule plateforme. Des intégrations approfondies avec les RH, les achats et la gestion des actifs informatiques, c'est-à-dire les systèmes qui comptent vraiment pour les flux de protection des données.

Conçu en Suisse, hébergé en Suisse, résidence des données en Europe

L'ensemble du traitement des données s'effectue au sein de l'infrastructure suisse. Pas une simple case « résidence des données » à cocher dans une page de réglages. Toute notre plateforme est conçue dès l'origine pour la souveraineté des données européennes. Vos données de conformité ne quittent jamais une juridiction en laquelle vous avez confiance.

Opérationnel en quelques semaines, pas en plusieurs mois

Un constructeur aéronautique est passé de l'intégration à une recertification entièrement automatisée du registre des traitements à travers plusieurs filiales. Medtec a économisé plus de 200 heures rien que pour la préparation de l'ISO 27001. Vous produirez des résultats de conformité avant même qu'un fournisseur traditionnel n'ait fini de cadrer le projet.

Constructeur aéronautique : 6 premiers mois. Medtec : cycle de préparation à l'ISO 27001.

Comment réaliser une AIPD : le guide complet en 7 phases

Chaque phase comprend les questions clés auxquelles répondre, les parties prenantes à associer et la documentation attendue par les autorités de contrôle. Ce cadre fonctionne, que vous évaluiez une seule activité de traitement ou que vous déployiez un programme d'AIPD standardisé à travers 50 entités.

Phase 1

Pré-évaluation & analyse de seuil

Avant d'investir des heures dans une analyse complète, vous devez déterminer si une AIPD est réellement requise. Au titre de l'article 35 du RGPD, une AIPD est obligatoire lorsqu'un traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». Mais cette formulation est délibérément large, et les différentes autorités de contrôle l'interprètent différemment.

Questions clés auxquelles répondre :

  • Le traitement implique-t-il un profilage systématique et étendu produisant des effets significatifs ?
  • Implique-t-il un traitement à grande échelle de données de catégories particulières (article 9) ou de données relatives à des condamnations pénales (article 10) ?
  • Implique-t-il une surveillance systématique à grande échelle d'une zone accessible au public ?
  • Le traitement figure-t-il sur la liste des AIPD obligatoires de votre autorité de contrôle locale ?
  • Le traitement combine-t-il au moins deux critères des lignes directrices du CEPD (WP248) ?

Une erreur fréquente : considérer la pré-évaluation comme un simple filtre binaire. Même lorsqu'une AIPD n'est pas strictement requise, réaliser une analyse allégée démontre votre responsabilité au titre de l'article 5(2) et vous fournit la preuve documentée que vous avez pris les risques en compte.

Considération multi-entités

Si vos filiales opèrent dans différents États membres de l'UE, chacune peut disposer de listes d'AIPD obligatoires distinctes. Une méthodologie de pré-évaluation centralisée doit tenir compte du seuil applicable le plus strict, faute de quoi certaines entités omettront par inadvertance des analyses requises. La pré-évaluation assistée par IA de Priverion met automatiquement en correspondance les activités de traitement avec les critères de déclenchement d'AIPD propres à chaque juridiction.

Phase 2

Décrire le traitement

C'est à cette phase que la plupart des AIPD dérapent, non pas parce que les équipes la sautent, mais parce qu'elles décrivent le traitement au mauvais niveau de détail. Les autorités de contrôle attendent une description systématique couvrant la nature, la portée, le contexte et les finalités du traitement.

Documentez ces éléments :

  • Quelles données personnelles sont collectées, et auprès de quelles personnes concernées ?
  • Quelle est la base légale du traitement (et comment a-t-elle été déterminée) ?
  • Comment les données circulent-elles dans vos systèmes, de la collecte au stockage jusqu'à la suppression ?
  • Quels tiers ou sous-traitants reçoivent les données ?
  • Quelles sont les durées de conservation, et comment sont-elles appliquées ?
  • Existe-t-il des transferts transfrontaliers ? Si oui, quels mécanismes de transfert sont en place ?

Le point critique ici est la cartographie des flux de données. Vous devez retracer le parcours des données personnelles depuis leur point de collecte, à travers chaque système, sous-traitant et juridiction qu'elles traversent. Dans les structures de groupe, cela révèle souvent des flux de données dont aucune entité prise isolément n'avait pleinement conscience, notamment des données partagées entre filiales, des systèmes RH centralisés traitant les données des collaborateurs au-delà des frontières, ou des plateformes d'analyse au niveau du groupe agrégeant les données clients de plusieurs marchés.

Conseil pratique

Reliez directement les descriptions de traitement de vos AIPD à vos entrées de registre des traitements. Si votre registre des traitements est bien tenu, une grande partie de cette documentation existe déjà. Priverion relie les analyses AIPD à vos enregistrements de registre des traitements existants, de sorte que vous vous appuyez sur des activités de traitement déjà documentées plutôt que de les décrire de zéro à chaque fois.

Phase 3

Évaluer la nécessité & la proportionnalité

C'est la phase que les autorités de contrôle examinent avec le plus d'attention. Il ne suffit pas de démontrer que le traitement repose sur une base légale. Vous devez démontrer que le traitement est nécessaire à la finalité déclarée et proportionné à l'atteinte portée à la vie privée.

Le test de nécessité pose les questions suivantes :

  • La même finalité pourrait-elle être atteinte avec moins de données ou un traitement moins intrusif ?
  • Chaque donnée collectée est-elle réellement nécessaire à la finalité déclarée ?
  • Les durées de conservation sont-elles réduites au strict minimum ?
  • Avez-vous appliqué efficacement la minimisation des données et la limitation des finalités ?

Le test de proportionnalité pose les questions suivantes :

  • Les bénéfices du traitement justifient-ils l'impact sur la vie privée des personnes concernées ?
  • Avez-vous pris en compte les attentes raisonnables des personnes concernées ?
  • Des garanties suffisantes sont-elles en place pour contrebalancer l'atteinte ?

Documentez votre raisonnement de manière explicite. Un constat d'audit fréquent concerne des AIPD qui énoncent une base légale mais n'expliquent pas en quoi les activités de traitement spécifiques sont nécessaires et proportionnées. La CNIL a expressément signalé ce point comme une lacune récurrente dans ses revues d'AIPD.

Phase 4

Identifier & évaluer les risques

L'évaluation des risques est le cœur de toute AIPD. Le RGPD vous impose d'évaluer les risques pour les droits et libertés des personnes concernées, et non les risques pour votre organisation. C'est une distinction essentielle que de nombreuses équipes négligent, se rabattant sur des cadres de risques de sécurité de l'information centrés sur l'impact organisationnel plutôt que sur l'impact pour les individus.

Évaluez les risques selon trois dimensions :

  • Risques de confidentialité : accès non autorisé aux données personnelles (p. ex. violation de données, menace interne)
  • Risques d'intégrité : modification non autorisée des données personnelles (p. ex. corruption des données, décisions de profilage erronées)
  • Risques de disponibilité : perte d'accès aux données personnelles (p. ex. rançongiciel, panne système empêchant l'accès des personnes concernées)

Pour chaque risque, documentez :

  • La source du risque (acteur malveillant ou vulnérabilité du système)
  • La probabilité de matérialisation du risque (avec un raisonnement, et non un simple chiffre)
  • La gravité de l'impact sur les personnes concernées si le risque survient
  • Le niveau de risque global (avant et après mesures d'atténuation)

Notation des risques assistée par IA

La notation des risques assistée par IA de Priverion analyse la description du traitement et suggère les risques applicables à partir d'analyses similaires menées au sein de votre organisation, tout en laissant la détermination finale du risque à votre équipe protection des données. Cela s'avère particulièrement précieux dans les structures de groupe, où l'AIPD d'une filiale peut éclairer l'identification des risques pour un traitement similaire dans une autre entité. L'IA assiste, les humains décident.

Phase 5

Définir les mesures d'atténuation

Pour chaque risque identifié au-dessus du seuil acceptable, vous devez définir des mesures d'atténuation précises et applicables. Le CEPD souligne que les mesures doivent s'attaquer à la cause profonde du risque, et non se contenter d'en réduire les symptômes.

Catégories de mesures d'atténuation :

  • Mesures techniques : chiffrement, pseudonymisation, contrôles d'accès, suppression automatisée, journalisation d'audit
  • Mesures organisationnelles : formation du personnel, politiques d'accès, contrats de sous-traitance, procédures de réponse aux incidents
  • Mesures juridiques : clauses contractuelles avec les sous-traitants, mises à jour des mentions d'information, mécanismes de consentement le cas échéant
  • Mesures de gouvernance : audits réguliers, supervision du DPD, calendriers de recertification

Pour chaque mesure, documentez :

  • Le ou les risques spécifiques qu'elle traite
  • La personne responsable de sa mise en œuvre
  • Le calendrier de mise en œuvre
  • La manière dont son efficacité sera vérifiée
  • Le niveau de risque résiduel après mise en œuvre

Si le risque résiduel demeure élevé après toutes les mesures d'atténuation réalisables, l'article 36 du RGPD vous impose de consulter votre autorité de contrôle avant de poursuivre le traitement. Documentez clairement ce point de décision. C'est l'un des éléments les plus scrutés lors des audits réglementaires.

Phase 6

Consultation des parties prenantes & validation

Une AIPD n'est pas un exercice solitaire réservé au DPD. L'article 35(2) du RGPD impose explicitement au responsable du traitement de demander l'avis du DPD, et l'article 35(9) exige de recueillir l'avis des personnes concernées « le cas échéant ». Au-delà des exigences réglementaires, des AIPD efficaces nécessitent la contribution de celles et ceux qui connaissent le mieux le traitement.

Parties prenantes à associer :

  • Délégué à la protection des données : consultation obligatoire, avis documenté
  • Responsable du processus métier : connaissance détaillée de la manière dont les données sont réellement traitées (par opposition à la manière dont elles sont censées l'être)
  • Équipe informatique/sécurité : évaluation technique des risques et faisabilité des mesures techniques
  • Équipe juridique : validation de la base légale, évaluation des transferts transfrontaliers, interprétation réglementaire
  • Personnes concernées ou leurs représentants : lorsque le traitement les affecte de manière significative (p. ex. surveillance des collaborateurs, systèmes de données de patients)

Pour chaque consultation, documentez :

  • Qui a été consulté et quand
  • Quelle contribution ou quel avis a été apporté
  • Si leurs recommandations ont été acceptées ou rejetées, et la justification dans chaque cas
  • La validation finale du responsable du traitement

Considération multi-entités

Dans les structures de groupe, le processus de validation implique souvent les DPD des entités locales, un responsable de la protection des données au niveau du groupe et, potentiellement, des conseils juridiques locaux dans chaque juridiction. Sans flux de travail centralisé, cela se transforme en une relance par e-mail qui s'étire sur des mois. Le moteur de flux de travail de Priverion achemine les revues d'AIPD vers les bonnes parties prenantes au sein de chaque entité, avec escalade et suivi des échéances intégrés.

Phase 7

Revue continue & recertification

Une AIPD est un document vivant, et non un exercice de conformité ponctuel. L'article 35(11) du RGPD impose aux responsables du traitement de procéder à des revues « pour autant qu'il y ait un changement du risque présenté par les opérations de traitement ». En pratique, cela signifie que vos AIPD doivent faire l'objet d'un processus de recertification, et pas seulement d'un rappel pour « revoir tous les ans ».

Éléments déclencheurs d'une revue d'AIPD :

  • Modifications de la portée, de la finalité ou de la technologie du traitement
  • Ajout de nouvelles catégories de données ou de nouvelles personnes concernées
  • Changements de sous-traitants tiers ou de sous
À propos de cette page — références, définitions et FAQ

Points clés

Une analyse d'impact relative à la protection des données (AIPD) est un processus structuré exigé par l'article 35 du RGPD dès lors qu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des individus. Ce guide présente un cadre en 7 phases, de la pré-évaluation et de l'analyse de seuil jusqu'à la revue continue, conçu pour les équipes protection des données qui pilotent leurs analyses à travers plusieurs entités et juridictions. Une méthodologie d'AIPD systématique et reproductible réduit les lacunes de conformité, répond aux attentes des autorités de contrôle et crée des pistes d'audit défendables.

Définitions

Qu'est-ce qu'une AIPD ?

Une analyse d'impact relative à la protection des données (AIPD) est un processus destiné à aider les organisations à analyser, identifier et minimiser de manière systématique les risques pour la protection des données d'un projet ou d'une activité de traitement. Au titre de l'article 35 du RGPD, une AIPD est obligatoire lorsqu'un traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». Le CEPD a publié des orientations détaillées sur les cas et les modalités de réalisation des AIPD.

Qu'est-ce que la consultation préalable au titre de l'article 36 du RGPD ?

La consultation préalable est le processus prévu par l'article 36 du RGPD par lequel un responsable du traitement doit consulter l'autorité de contrôle avant le traitement lorsque l'AIPD indique que celui-ci engendrerait un risque élevé en l'absence de mesures prises par le responsable du traitement pour atténuer ce risque. L'autorité de contrôle dispose d'un délai pouvant aller jusqu'à 14 semaines pour fournir un avis écrit.

Quelle est l'exigence d'AIPD au titre de la nLPD ?

Au titre de l'article 22 de la nouvelle loi fédérale sur la protection des données (nLPD), entrée en vigueur le 01.09.2023, une analyse d'impact relative à la protection des données est requise lorsqu'un traitement est susceptible d'entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Contrairement au RGPD, la nLPD permet aux organisations de renoncer à l'AIPD si elles appliquent un code de conduite approuvé couvrant le traitement en question.

Qu'est-ce que l'ISO 29134 ?

L'ISO/IEC 29134:2023 fournit des lignes directrices pour les analyses d'impact sur la vie privée (PIA) et constitue la norme internationale la plus étroitement alignée sur le processus d'AIPD du RGPD. Elle propose une méthodologie structurée qui peut être mise en correspondance avec les exigences de l'article 35 du RGPD. Source : ISO

Statistiques et contexte

Selon le rapport annuel 2023 IAPP-EY sur la gouvernance de la vie privée, 60 % des organisations indiquent que la réalisation d'AIPD figure parmi leurs trois activités de protection des données les plus consommatrices de ressources. Le même rapport révèle que la taille moyenne d'une équipe protection des données est de 5,4 équivalents temps plein, ce qui rend l'efficacité des flux d'AIPD déterminante. Le rapport annuel 2023 du CEPD a relevé que les autorités de contrôle de l'EEE ont traité plus de 1'400 demandes de consultation préalable au titre de l'article 36 en 2022, signe d'une activité d'AIPD importante. Selon l'article 83(4)(a) du RGPD, le défaut de réalisation d'une AIPD requise peut entraîner des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. La CNIL française s'est montrée particulièrement active, prononçant plusieurs amendes où des AIPD insuffisantes ou manquantes étaient citées comme circonstances aggravantes. Les lignes directrices de l'ENISA destinées aux PME sur la sécurité du traitement des données personnelles recommandent d'intégrer les flux d'AIPD aux évaluations plus larges des risques de sécurité de l'information afin d'éviter les doublons.

Comparaison des AIPD : RGPD vs. nLPD vs. ISO 29134

AspectArticle 35 du RGPDArticle 22 de la nLPDISO/IEC 29134:2023
Base légaleObligatoire en cas de risque élevé pour les droits et libertésObligatoire en cas de risque élevé pour la personnalité ou les droits fondamentauxNorme internationale facultative
Critères de déclenchementTest des 9 critères du CEPD ; listes noires des autorités de contrôle nationalesÉvaluation du risque élevé ; exemption possible via un code de conduiteSeuil de risque défini par l'organisation
Consultation préalableRequise au titre de l'article 36 si le risque résiduel demeure élevéNon expressément requise ; le PFPDT peut être consulté à titre volontaireRecommandée comme bonne pratique
Implication du DPDObligatoire (article 35(2))Consultation d'un conseiller à la protection des données recommandéeRecommandée
Sanctions en cas de non-conformitéJusqu'à 10 M€ ou 2 % du chiffre d'affaires mondialJusqu'à 250'000 CHF (responsabilité personnelle)S/O (norme facultative)
Exigence de revueLorsque le traitement évolue de manière substantielle (article 35(11))Lorsque les circonstances changentRevue périodique recommandée

Foire aux questions

Quand une AIPD est-elle requise au titre du RGPD ?

Une AIPD est obligatoire au titre de l'article 35 du RGPD lorsqu'un traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». Les lignes directrices du CEPD relatives à l'analyse d'impact (WP 248 rév. 01) énumèrent neuf critères, parmi lesquels l'évaluation systématique, la prise de décision automatisée, le traitement à grande échelle de catégories particulières et la surveillance systématique. Le fait d'en réunir deux ou plus déclenche généralement l'obligation. En outre, chaque autorité de contrôle nationale publie une liste noire des opérations de traitement qui nécessitent toujours une AIPD.

Quelle est la différence entre une AIPD et une PIA ?

Une analyse d'impact relative à la protection des données (AIPD) est le terme spécifique utilisé à l'article 35 du RGPD et porte sur les risques pour les droits et libertés des personnes concernées. Une analyse d'impact sur la vie privée (PIA) est un terme plus large utilisé dans des référentiels tels que l'ISO/IEC 29134 et le NIST Privacy Framework. En pratique, de nombreuses organisations emploient ces termes de manière interchangeable, mais une AIPD RGPD comporte des exigences juridiques spécifiques, notamment la consultation obligatoire du DPD et la consultation préalable de l'autorité de contrôle lorsque les risques résiduels demeurent élevés.

Quelles sont les sanctions en cas d'absence d'une AIPD requise ?

En vertu de l'article 83(4)(a) du RGPD, le défaut de réalisation d'une AIPD requise peut entraîner des amendes administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Au titre de la nLPD, les personnes responsables peuvent encourir des amendes pouvant atteindre 250'000 CHF. Les autorités de contrôle ont prononcé des amendes pour des AIPD manquantes ou insuffisantes : la CNIL française et le Garante italien se sont montrés particulièrement actifs en matière de mise en application.

Combien de temps faut-il pour réaliser une AIPD ?

Une AIPD simple portant sur une seule activité de traitement prend généralement 2 à 4 semaines. Des analyses complexes impliquant des transferts transfrontaliers, plusieurs responsables conjoints du traitement ou des technologies novatrices telles que le profilage fondé sur l'IA peuvent prendre 6 à 12 semaines. Selon le rapport IAPP-EY 2023, les AIPD figurent parmi les trois activités de protection des données les plus consommatrices de ressources, ce qui rend les modèles standardisés et l'automatisation des flux déterminants pour l'efficacité.

La nLPD exige-t-elle des AIPD ?

Oui. La nouvelle loi fédérale sur la protection des données (nLPD), entrée en vigueur le 01.09.2023, exige une analyse d'impact relative à la protection des données au titre de l'article 22 lorsqu'un traitement est susceptible d'entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Contrairement au RGPD, la nLPD permet aux organisations de renoncer à l'AIPD si elles appliquent un code de conduite approuvé couvrant le traitement en question.

Qui doit participer à une AIPD ?

Au minimum, l'équipe AIPD devrait inclure le délégué à la protection des données (DPD), le responsable du processus métier, la sécurité informatique et un conseil juridique. L'article 35(2) du RGPD exige explicitement que le responsable du traitement demande l'avis du DPD. Pour les traitements impliquant de nouvelles technologies, associez des architectes techniques. Pour les traitements transfrontaliers, associez les référents protection des données locaux de chaque juridiction. Le CEPD recommande de documenter le rôle et la contribution de chaque partie prenante à l'analyse.

Une AIPD peut-elle être réalisée rétroactivement ?

Bien que l'article 35 du RGPD exige que l'AIPD soit réalisée « avant le traitement », les autorités de contrôle, dont l'ICO britannique, ont reconnu qu'une AIPD rétroactive valait mieux que pas d'AIPD du tout. Toutefois, une AIPD rétroactive n'élimine pas la responsabilité pour la période durant laquelle le traitement a eu lieu sans elle. La bonne pratique consiste à réaliser l'AIPD avant le début du traitement et à documenter clairement la chronologie.

Quel est le lien entre une AIPD et la conformité au règlement sur l'IA ?

Le règlement européen sur l'IA (règlement 2024/1689) introduit une évaluation de la conformité pour les systèmes d'IA à haut risque qui recoupe largement les exigences d'AIPD du RGPD. Lorsqu'un système d'IA traite des données personnelles, les organisations devront réaliser à la fois une AIPD au titre de l'article 35 du RGPD et une évaluation de la conformité au titre du règlement sur l'IA. Intégrer ces évaluations dans un flux de travail unique évite les doublons et garantit une évaluation cohérente des risques au regard des deux cadres réglementaires.