Article 35 RGPD : quand et comment réaliser une AIPD

L’article 35 du RGPD est probablement la disposition la plus mal comprise de tout le règlement. Beaucoup d’entreprises pensent qu’elles « doivent faire une AIPD » par principe ; d’autres concluent qu’elles n’en ont jamais besoin parce que leurs traitements sont « simples ». Les deux postures se trompent. L’analyse d’impact relative à la protection des données est un mécanisme de gestion du risque dont le déclenchement obéit à des critères précis, listés par l’Art. 35, complétés par les listes de la CNIL et les lignes directrices du Comité européen de la protection des données (EDPB). Voici son analyse paragraphe par paragraphe, telle que je la pratique depuis 2018 dans mes missions de conseil.

Ce que dit l’article 35 du RGPD

L’Art. 35 s’intitule « Analyse d’impact relative à la protection des données ». Il compte onze paragraphes qui organisent, dans l’ordre :

• l’obligation de réaliser une AIPD quand le traitement est susceptible d’engendrer un risque élevé (Art. 35(1)) ;
• la consultation obligatoire du DPO lorsqu’il existe (Art. 35(2)) ;
• les trois cas de présomption de risque élevé (Art. 35(3)) ;
• les listes des autorités de contrôle — la liste des traitements nécessitant une AIPD (Art. 35(4)) et la liste des traitements n’en nécessitant pas (Art. 35(5)) ;
• le mécanisme de cohérence européen (Art. 35(6)) ;
• le contenu minimum de l’AIPD (Art. 35(7)) ;
• la prise en compte des codes de conduite (Art. 35(8)) ;
• la consultation des personnes concernées (Art. 35(9)) ;
• le régime dérogatoire lorsque le traitement repose sur une base juridique préalable analysée (Art. 35(10)) ;
• l’obligation de réexamen (Art. 35(11)).

Le non-respect de l’Art. 35 relève du plafond haut de l’Art. 83(4)(a) — jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. La CNIL sanctionne plus rarement l’absence d’AIPD seule que la combinaison « absence d’AIPD + manquement de fond » : c’est la documentation manquante qui révèle, à l’occasion d’un contrôle, que le risque n’a pas été pensé. Pour la méthodologie pratique, je renvoie à mon guide de l’AIPD et au modèle d’AIPD pratique — l’analyse qui suit reste centrée sur le texte juridique.

Art. 35(1) : le déclencheur du « risque élevé »

Le paragraphe 1 pose la règle générale : « Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel ».

Trois éléments structurent ce déclencheur.

D’abord, le mot « susceptible ». L’AIPD est une obligation préventive : elle s’impose avant que le risque ne se matérialise, sur la base d’une appréciation prospective. Le responsable de traitement n’a pas à attendre une violation pour réaliser l’analyse — c’est précisément ce qu’elle est censée éviter.

Ensuite, le standard du « risque élevé », qui se distingue du simple « risque » mentionné à l’Art. 32 ou à l’Art. 33. L’EDPB, dans ses Lignes directrices WP248 rev.01 (adoptées le 4 octobre 2017 et confirmées par l’EDPB le 25 mai 2018), a identifié neuf critères dont la combinaison déclenche la présomption de risque élevé : évaluation ou notation, décision automatisée avec effet juridique, surveillance systématique, données sensibles ou hautement personnelles, traitement à grande échelle, croisement de données, données concernant des personnes vulnérables, usage innovant ou nouveau de technologies, traitement empêchant l’exercice d’un droit ou l’accès à un service. La règle pratique : la présence de deux critères crée une forte présomption d’AIPD, un critère unique peut suffire selon le contexte.

Enfin, le caractère préalable — « avant le traitement ». L’AIPD réalisée après le déploiement d’un système ne respecte pas l’Art. 35. C’est ce qui justifie son intégration dans les démarches de privacy by design imposées par l’Art. 25 RGPD : l’AIPD est l’outil documentaire de la conception protectrice.

Art. 35(2) : la consultation du DPO

L’Art. 35(2) impose au responsable de traitement de demander conseil au délégué à la protection des données (DPO) « lorsqu’il en a désigné un ». La consultation n’est pas facultative : c’est l’une des missions essentielles du DPO listées à l’Art. 39(1)© RGPD.

En pratique, cette consultation produit une trace écrite — avis du DPO joint à l’AIPD — qui sera vérifiée en cas de contrôle. Ne pas tracer cet avis revient, dans la lecture qu’en fait la CNIL, à ne pas l’avoir sollicité. Pour les organisations qui hésitent encore sur l’opportunité de désigner un DPO, voir mon analyse des trois cas où le DPO est obligatoire.

L’avis du DPO ne lie pas le responsable de traitement. Mais le responsable doit motiver tout écart par rapport aux recommandations du DPO et conserver cette motivation. Cette obligation d’arbitrage écrit est l’une des manifestations les plus concrètes du principe d’accountability posé par l’Art. 5(2) du RGPD.

Art. 35(3) : les trois cas de présomption

Le paragraphe 3 énumère trois familles de traitements pour lesquels l’AIPD est « en particulier » requise. La formulation indique qu’il s’agit d’exemples non limitatifs, mais pour ces trois cas, la présomption de risque élevé est légalement posée.

a) L’évaluation systématique avec décision automatisée

L’Art. 35(3)(a) vise « l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ».

On retrouve ici les éléments de l’Art. 22 RGPD : décision exclusivement automatisée et effet significatif. Sont concernés : scoring de crédit, analyse comportementale RH (productivité, risque de départ), ciblage publicitaire individualisé fondé sur du profilage approfondi, dispositifs anti-fraude algorithmiques.

b) Le traitement à grande échelle de données sensibles

L’Art. 35(3)(b) couvre « le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ».

La notion de « grande échelle » n’est pas chiffrée. L’EDPB, dans ses lignes directrices DPO (WP243), retient quatre critères : nombre de personnes concernées (en valeur absolue ou en proportion de la population), volume de données, durée du traitement, étendue géographique. Un cabinet médical individuel ne traite pas de données sensibles « à grande échelle » ; un hôpital ou une plateforme de téléconsultation, oui. Pour le cadre des données sensibles, voir aussi mon analyse de l’Art. 9 RGPD.

c) La surveillance systématique d’une zone publique

L’Art. 35(3)© cible « la surveillance systématique à grande échelle d’une zone accessible au public ». La vidéosurveillance de centre commercial, la vidéoprotection municipale étendue, les dispositifs de comptage ou de reconnaissance faciale dans l’espace public entrent dans ce cas. C’est la disposition qui fonde l’AIPD obligatoire pour la plupart des projets de smart city.

Art. 35(4) : la liste positive des autorités de contrôle

Le paragraphe 4 impose à chaque autorité de contrôle d’établir et de publier une liste des types de traitements pour lesquels une AIPD est obligatoire. La CNIL a publié sa liste par la délibération n° 2018-327 du 11 octobre 2018, modifiée. Elle contient quatorze catégories, parmi lesquelles :

• les traitements de données de santé mis en œuvre par les établissements de santé ;
• les traitements de données génétiques ;
• les traitements de données biométriques pour identifier de manière unique une personne ;
• les traitements ayant pour finalité le profilage des personnes ;
• les traitements à des fins de surveillance constante des employés ;
• les traitements ayant pour effet d’exclure des personnes d’un droit, d’un service ou d’un contrat ;
• les traitements mutualisés entre plusieurs responsables de traitement ;
• les traitements innovants ou recourant à de nouvelles technologies — disposition centrale pour les systèmes d’IA, désormais articulée avec le règlement européen sur l’IA.

Le fait qu’un traitement figure sur cette liste vaut présomption d’obligation d’AIPD, sans qu’il soit nécessaire de procéder à l’analyse des neuf critères de l’EDPB.

Art. 35(5) : la liste négative

Symétriquement, le paragraphe 5 autorise les autorités de contrôle à publier une « liste blanche » des traitements pour lesquels une AIPD n’est pas requise. La CNIL a publié sa liste par la délibération n° 2019-118 du 12 septembre 2019, qui couvre douze catégories — gestion classique RH d’une PME sans profilage, comptabilité fournisseurs, gestion de la relation associative locale, etc.

Attention : la dispense d’AIPD ne dispense pas du registre des activités de traitement, ni de l’analyse de risque informelle, ni des autres obligations RGPD. Elle indique simplement que le formalisme lourd de l’AIPD n’est pas requis.

Art. 35(6) : le mécanisme de cohérence

Lorsqu’un traitement transfrontalier est en cause, les listes des autorités de contrôle doivent être communiquées au CEPD avant publication, qui peut intervenir si une liste contredit une autre. Cette disposition technique vise à éviter le forum shopping entre États membres. En pratique, elle a peu d’effet quotidien sur les responsables de traitement français, mais elle explique pourquoi les listes CNIL sont harmonisées avec celles d’autres autorités sur les sujets transversaux (santé, biométrie, IA).

Art. 35(7) : le contenu minimum de l’AIPD

Le paragraphe 7 est la disposition la plus opérationnelle. Il fixe quatre éléments minimum que doit contenir une AIPD :

• a) une description systématique des opérations de traitement et des finalités, y compris, le cas échéant, l’intérêt légitime poursuivi ;
• b) une évaluation de la nécessité et de la proportionnalité des opérations au regard des finalités ;
• c) une évaluation des risques pour les droits et libertés des personnes concernées ;
• d) les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données.

Une AIPD qui se limite à décrire le traitement sans identifier de risques concrets, ou qui identifie des risques sans proposer de mesures, ne respecte pas l’Art. 35(7). C’est l’une des erreurs que je rencontre le plus souvent : la confusion entre AIPD et fiche de registre. Le registre décrit l’existant ; l’AIPD interroge le risque et arbitre les mesures.

L’évaluation des risques de l’Art. 35(7)© doit s’attacher à des risques pour les personnes concernées — usurpation d’identité, atteinte à la réputation, perte de contrôle, discrimination — et non pour l’organisation. C’est le contre-pied de l’analyse de risque cyber classique (où l’organisation est le sujet). Les méthodologies CNIL et ANSSI/EBIOS RM ont convergé sur ce point depuis 2021.

Art. 35(8) à (11) : codes de conduite, consultation, dérogation, réexamen

Les derniers paragraphes ajoutent quatre précisions opérationnelles.

Art. 35(8) — codes de conduite. Le respect d’un code de conduite approuvé peut être pris en compte dans l’AIPD comme élément de preuve de la conformité. Cela facilite les AIPD sectorielles (santé, marketing direct, hébergement cloud) lorsque des codes existent.

Art. 35(9) — consultation des personnes concernées. Le responsable doit, « le cas échéant », demander l’avis des personnes concernées ou de leurs représentants. Cette obligation est rarement déclenchée en pratique, sauf pour les traitements impliquant des personnes vulnérables ou des comités sociaux et économiques (CSE) en contexte RH.

Art. 35(10) — dérogation pour base juridique préalablement analysée. Lorsque le traitement repose sur une obligation légale ou une mission d’intérêt public et que la base juridique a déjà fait l’objet d’une AIPD lors de son adoption, une nouvelle AIPD peut ne pas être requise. Cas typique : application d’un texte législatif récent ayant intégré sa propre étude d’impact.

Art. 35(11) — réexamen. L’AIPD n’est pas un document « one shot ». Le responsable doit la réexaminer si « un changement du risque présenté par les opérations de traitement intervient ». La CNIL recommande une revue tous les trois ans pour les traitements stables, et immédiate dès qu’un changement substantiel intervient — nouveau sous-traitant, extension géographique, ajout d’une finalité, intégration d’une brique d’IA. C’est le pendant procédural du caractère « vivant » de l’AIPD.

Art. 35 et consultation préalable de la CNIL : le pont vers l’Art. 36

Lorsque l’AIPD révèle un risque résiduel élevé que les mesures envisagées ne permettent pas d’atténuer, l’Art. 36(1) impose une consultation préalable de la CNIL. La CNIL dispose alors de huit semaines (prorogeables de six semaines) pour rendre un avis écrit, qu’il faut joindre au dossier.

Dans mon expérience de conseil, cette consultation est rarissime — non parce que les risques résiduels sont rares, mais parce que les organisations préfèrent revoir leurs mesures plutôt que se soumettre à une analyse externe contraignante. C’est pourtant un mécanisme protecteur : la consultation transforme un risque juridique latent en validation préalable explicite.

Art. 35 et AI Act : l’AIPD à l’ère des systèmes d’IA

Avec l’entrée en application du règlement européen sur l’intelligence artificielle, la question de l’articulation entre AIPD et FRIA (Fundamental Rights Impact Assessment de l’AI Act) devient centrale pour tout déploiement de système d’IA traitant des données personnelles. Pour les systèmes à haut risque au sens de l’AI Act, les deux analyses se cumulent — mais peuvent être conduites dans un document intégré, à condition que le contenu minimum de l’Art. 35(7) soit respecté. Voir à ce sujet AIPD et intelligence artificielle et les recommandations CNIL sur l’IA.

Sanctions et contrôles CNIL

L’absence d’AIPD est rarement sanctionnée seule. Mais elle aggrave systématiquement la sanction d’autres manquements. Dans la délibération SAN-2023-009 (Cityscoot, 100 000 €), la CNIL relève l’absence d’AIPD pour la géolocalisation à haute fréquence. Dans SAN-2022-009 (Discord), la CNIL retient l’absence d’AIPD comme circonstance aggravante. La logique est simple : si une AIPD avait été conduite, le manquement de fond aurait été identifié et corrigé en amont. L’absence d’AIPD prive donc le responsable de l’argument de bonne foi. Voir aussi mon analyse des sanctions RGPD à connaître.

Ce qu’il faut retenir

• L’Art. 35 RGPD impose l’AIPD avant tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes — l’analyse est préventive, pas curative.
• Trois cas de présomption sont posés par l’Art. 35(3) : profilage avec décision automatisée, traitement à grande échelle de données sensibles ou pénales, surveillance systématique d’une zone publique.
• La CNIL publie deux listes : la liste positive (délibération 2018-327, 14 catégories) déclenche la présomption ; la liste négative (délibération 2019-118, 12 catégories) en dispense.
• Le contenu minimum de l’Art. 35(7) — description, nécessité/proportionnalité, risques pour les personnes, mesures — distingue l’AIPD du registre des traitements.
• Le DPO doit obligatoirement être consulté, et l’avis tracé. L’écart par rapport à son avis doit être motivé.
• L’AIPD se réexamine en cas de changement substantiel du risque ; à défaut, la CNIL recommande une revue tous les trois ans.

Recevez nos analyses conformité chaque semaine. Notre newsletter décrypte la jurisprudence CNIL, les lignes directrices EDPB et les obligations RGPD avec un angle pratique. Inscription gratuite, désinscription en un clic.

FAQ

Quand l’AIPD est-elle obligatoire selon l’article 35 RGPD ?

L’AIPD est obligatoire dès que le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. L’Art. 35(3) liste trois cas de présomption : profilage avec décision automatisée, traitement à grande échelle de données sensibles, surveillance systématique d’une zone publique. La CNIL ajoute quatorze catégories par délibération 2018-327 (santé, biométrie, profilage, surveillance des employés, technologies innovantes, etc.).

Quel est le contenu minimum d’une AIPD ?

L’Art. 35(7) impose quatre éléments : description systématique du traitement et des finalités ; évaluation de la nécessité et de la proportionnalité ; évaluation des risques pour les droits et libertés des personnes ; mesures envisagées pour traiter les risques. Une AIPD qui se limite à décrire le traitement, sans identifier de risques concrets ni proposer de mesures, ne respecte pas l’Art. 35(7).

Le DPO doit-il être consulté lors de l’AIPD ?

Oui, l’Art. 35(2) RGPD impose au responsable de traitement de demander conseil au DPO lorsqu’il en a désigné un. L’avis du DPO ne lie pas le responsable, mais doit être tracé par écrit. Tout écart par rapport aux recommandations du DPO doit être motivé et conservé. Cette traçabilité est vérifiée en cas de contrôle CNIL.

Faut-il refaire l’AIPD régulièrement ?

L’Art. 35(11) impose de réexaminer l’AIPD lorsqu’un changement du risque intervient — nouveau sous-traitant, extension géographique, ajout d’une finalité, intégration d’une brique d’IA, modification substantielle du système. À défaut de changement, la CNIL recommande une revue tous les trois ans pour vérifier que les mesures restent adaptées et que l’analyse de risque reste pertinente.