Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Quand faut-il faire une AIPD ? (guide 2026)

AIPD obligatoire ou pas ? Les déclencheurs de l'article 35, la liste CNIL, les 9 critères du CEPD et l'arbre de décision complet.

L’essentiel. Une AIPD est obligatoire dès qu’un traitement est « susceptible d’engendrer un risque élevé » pour les personnes (art. 35 RGPD). Concrètement, vous devez en faire une si votre traitement figure sur la liste CNIL des traitements soumis à AIPD, ou s’il remplit au moins deux des neuf critères définis par le CEPD (ex-G29). En cas de doute, l’AIPD est présumée nécessaire.

L’analyse d’impact relative à la protection des données (AIPD, ou DPIA en anglais) est l’une des obligations les plus mal comprises du RGPD. Beaucoup d’organismes la font quand elle n’est pas requise, ou l’oublient quand elle est indispensable. Or, ne pas réaliser une AIPD obligatoire constitue un manquement sanctionnable de manière autonome, indépendamment de tout incident. Cet article vous donne la méthode exacte pour trancher : votre traitement exige-t-il, oui ou non, une analyse d’impact ?

Si vous cherchez ensuite comment la mener, consultez notre guide pratique de l’AIPD. Ici, nous répondons uniquement à la question du déclenchement.

Le principe de l’article 35 RGPD

L’article 35 RGPD pose le critère fondateur au paragraphe 1 : une AIPD est requise lorsqu’un type de traitement, « en particulier par le recours à de nouvelles technologies », est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ».

Le mot-clé est susceptible. Vous n’avez pas besoin de la certitude qu’un risque élevé existe. Il suffit que le traitement soit de nature à en engendrer un. C’est une logique de précaution : l’AIPD est l’outil qui sert précisément à mesurer le risque et à décider des mesures. On ne peut donc pas s’en dispenser au motif qu’on estime le risque faible, puisque c’est justement ce qu’il faut démontrer.

L’article 35(3) énumère trois cas où l’AIPD est toujours requise :

  • Évaluation systématique et approfondie d’aspects personnels fondée sur un traitement automatisé, y compris le profilage, servant de base à des décisions produisant des effets juridiques ou affectant significativement la personne ;
  • Traitement à grande échelle de données sensibles (art. 9) ou de données relatives à des condamnations et infractions (art. 10) ;
  • Surveillance systématique à grande échelle d’une zone accessible au public (vidéosurveillance étendue, par exemple).

Si votre traitement relève clairement de l’un de ces trois cas, la question est réglée : l’AIPD est obligatoire.

La liste CNIL des traitements soumis à AIPD

Au-delà des trois cas du RGPD, chaque autorité de contrôle publie sa propre liste de traitements pour lesquels une AIPD est systématiquement exigée. En France, la CNIL a adopté cette liste par la délibération n° 2018-327 du 11 octobre 2018. Elle comporte quatorze types de traitements. Parmi les plus fréquents :

Type de traitement Exemples courants
Données de santé par les établissements de santé/médico-sociaux Dossier patient informatisé
Données génétiques de personnes vulnérables Recherche médicale sur mineurs
Surveillance constante des salariés Vidéosurveillance des postes, keyloggers, géolocalisation
Gestion des alertes en matière sociale et sanitaire Dispositifs de signalement RH
Traitements de profilage à effet juridique Scoring de crédit, sélection automatisée
Données biométriques de personnes vulnérables Contrôle d’accès biométrique en établissement scolaire
Interconnexions de fichiers de finalités différentes Croisement de bases hétérogènes
Données de personnes vulnérables à grande échelle Traitements concernant enfants, patients, personnes âgées

Si votre traitement figure sur cette liste, l’AIPD est obligatoire, point final. La CNIL a également publié une liste des traitements dispensés d’AIPD (délibération n° 2019-118), à consulter en miroir.

Les 9 critères du CEPD (lignes directrices WP248)

Votre traitement ne relève ni des trois cas du RGPD, ni de la liste CNIL ? Il faut alors appliquer la grille des neuf critères définis par le Comité européen de la protection des données (CEPD), issue des lignes directrices WP248 du G29 :

  1. Évaluation ou scoring, y compris le profilage et la prédiction ;
  2. Décision automatisée avec effet juridique ou similaire significatif ;
  3. Surveillance systématique des personnes ;
  4. Données sensibles ou à caractère hautement personnel ;
  5. Traitement à grande échelle ;
  6. Croisement ou combinaison d’ensembles de données ;
  7. Données de personnes vulnérables (salariés, enfants, patients, etc.) ;
  8. Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
  9. Traitement empêchant les personnes d’exercer un droit ou de bénéficier d’un service/contrat.

La règle opérationnelle du CEPD : dès que deux critères sont remplis, l’AIPD est en principe nécessaire. Un seul critère peut suffire dans certains cas particulièrement sensibles ; le responsable de traitement qui décide de ne pas faire d’AIPD alors qu’un critère est rempli doit documenter et justifier ce choix.

L’arbre de décision

Pour trancher rapidement, déroulez ces questions dans l’ordre :

  1. Le traitement relève-t-il d’un des trois cas de l’article 35(3) ? → Oui : AIPD obligatoire.
  2. Figure-t-il sur la liste CNIL (délib. 2018-327) ? → Oui : AIPD obligatoire.
  3. Remplit-il au moins deux des neuf critères du CEPD ? → Oui : AIPD requise.
  4. Un seul critère, mais sensible (profilage lourd, données de santé) ? → AIPD recommandée, décision à documenter.
  5. Aucun critère, ou traitement figurant sur la liste des dispenses CNIL ? → Pas d’AIPD, mais tracez votre analyse dans le registre des activités de traitement.

Dans tous les cas, l’absence d’AIPD est une décision qui se justifie et se documente. C’est la logique d’accountability : vous devez pouvoir prouver que vous vous êtes posé la question.

Les exemptions

Deux mécanismes dispensent d’AIPD :

  • La base légale antérieure encadrée (art. 35(10)). Si le traitement a une base légale dans le droit de l’UE ou national, et qu’une analyse d’impact a déjà été réalisée lors de l’adoption de cette base juridique, une nouvelle AIPD n’est pas exigée — sauf disposition contraire.
  • La liste des dispenses de la CNIL. Certains traitements courants (paie, gestion des ressources humaines classique, comptabilité fournisseurs) en sont explicitement exemptés lorsqu’ils ne présentent pas de caractéristique aggravante.

Attention : une exemption ne vous dispense pas des autres obligations (registre, information des personnes, sécurité). Elle concerne uniquement l’AIPD.

AIPD et nouvelles technologies : le déclencheur qui monte

L’article 35(1) cite expressément le « recours à de nouvelles technologies » comme facteur déclenchant. En 2026, cela vise en premier lieu l’intelligence artificielle, la biométrie, l’Internet des objets et les dispositifs de suivi comportemental. La logique du CEPD est claire : plus une technologie est innovante, moins ses effets sur les personnes sont connus et maîtrisés, donc plus le risque potentiel est élevé.

Un système d’IA qui trie des candidats, un dispositif de reconnaissance faciale à l’entrée d’un site, un objet connecté qui collecte des données de santé en continu : chacun cumule presque toujours plusieurs des neuf critères (usage innovant + profilage + données sensibles ou vulnérables). L’AIPD y est donc quasi systématique. Le CEPD recommande même, en cas d’incertitude sur une technologie émergente, de faire l’AIPD par précaution — elle sert précisément à documenter ce qu’on ne sait pas encore. C’est cette prudence qui distingue une organisation mature d’une organisation exposée.

Le lien entre AIPD, registre et consultation préalable

L’AIPD ne vit pas isolément. Elle s’articule avec deux autres obligations. En amont, le registre des activités de traitement recense chaque traitement et permet d’identifier ceux qui appellent une AIPD : c’est votre point de départ pour cartographier les risques. En aval, si l’AIPD révèle un risque élevé que vous ne parvenez pas à réduire, vous devez saisir la CNIL au titre de la consultation préalable (art. 36). Cette chaîne — registre → AIPD → consultation — structure toute la gestion des risques du RGPD. Négliger un maillon fragilise l’ensemble.

Cas pratiques

Cas 1 — PME qui installe la vidéosurveillance de son entrepôt. Caméras filmant des zones de stockage sans surveillance permanente des salariés à leur poste : pas de risque élevé automatique. Un seul critère (surveillance) potentiellement rempli. AIPD non systématiquement obligatoire, mais recommandée si les salariés sont filmés en continu → là, le critère « surveillance constante des salariés » de la liste CNIL s’active et l’AIPD devient obligatoire.

Cas 2 — Start-up qui déploie un algorithme de scoring des candidats. Profilage (critère 1) + décision affectant significativement (critère 2) + données de personnes en position vulnérable, les candidats (critère 7). Trois critères. AIPD obligatoire.

Cas 3 — Association qui gère un simple fichier d’adhérents. Nom, adresse, cotisation, sans donnée sensible ni profilage. Aucun critère rempli. Pas d’AIPD. Voir nos obligations spécifiques aux associations.

Cas 4 — Cabinet de santé qui informatise ses dossiers patients. Données de santé à grande échelle par un établissement de santé : figure sur la liste CNIL. AIPD obligatoire, sans discussion.

Erreurs fréquentes

  • Confondre « risque faible perçu » et « absence de risque élevé ». Le critère de l’article 35 est la susceptibilité, pas votre appréciation subjective a posteriori.
  • Oublier le seuil « à grande échelle ». Un cabinet médical individuel ne traite pas « à grande échelle » ; un centre hospitalier, si. Le CEPD évalue ce seuil selon le volume, le nombre de personnes, la durée et l’étendue géographique.
  • Faire une AIPD pour tout. L’inflation d’AIPD dilue l’attention sur les traitements réellement à risque. Ciblez.
  • Ne pas refaire l’AIPD après un changement. L’AIPD est un document vivant : un nouvel usage, une nouvelle technologie (comme l’IA — voir l’AIPD appliquée à l’intelligence artificielle) impose une réévaluation.
  • Ne pas consulter le DPO. L’article 35(2) impose de demander conseil au délégué à la protection des données lorsqu’il existe.

En résumé

L’AIPD n’est ni facultative ni universelle : elle se déclenche sur des critères précis. Vérifiez d’abord les trois cas de l’article 35(3), puis la liste CNIL, puis la grille des neuf critères du CEPD. Deux critères remplis, et vous basculez dans l’obligation. Documentez toujours votre décision, qu’elle soit positive ou négative — c’est le cœur de l’accountability RGPD.

Pour aller plus loin sur vos obligations RGPD et rester informé des évolutions réglementaires, abonnez-vous à notre newsletter. Vous recevez chaque semaine une analyse claire, signée d’un docteur en droit, des textes et décisions qui comptent.

Sur le plan outillage, une plateforme comme Legiscope permet d’automatiser le pré-diagnostic AIPD en confrontant chaque traitement de votre registre aux critères CEPD et à la liste CNIL — utile pour ne pas passer à côté d’un déclencheur.

FAQ

Une AIPD est-elle obligatoire pour tous les traitements RGPD ?

Non. Elle n’est requise que pour les traitements susceptibles d’engendrer un risque élevé. La majorité des traitements courants (paie, gestion clients basique, fichier adhérents) n’en nécessite pas. Mais vous devez pouvoir justifier pourquoi vous ne l’avez pas faite.

Que risque-t-on à ne pas faire une AIPD obligatoire ?

Le défaut d’AIPD est un manquement autonome à l’article 35, sanctionnable jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial (art. 83(4) RGPD), indépendamment de toute violation de données.

Qui doit réaliser l’AIPD ?

Le responsable de traitement en assume la responsabilité. Il la réalise avec l’appui du DPO (dont l’avis est requis) et, si nécessaire, du sous-traitant et d’experts techniques. Voir notre guide AIPD pour la méthode.

Faut-il consulter la CNIL après une AIPD ?

Uniquement si l’AIPD révèle un risque élevé résiduel que vous ne parvenez pas à réduire par des mesures. C’est la consultation préalable de l’article 36 RGPD. Dans l’immense majorité des cas, elle n’est pas nécessaire.

Faut-il une AIPD pour un traitement utilisant l’intelligence artificielle ?

Souvent oui, car l’IA cumule fréquemment plusieurs critères (usage innovant, profilage, décision automatisée). Nous détaillons ce point dans notre article dédié à l’AIPD et l’intelligence artificielle.

Une AIPD faite une fois est-elle valable définitivement ?

Non. L’AIPD doit être réexaminée régulièrement et systématiquement en cas d’évolution du risque (nouvelle finalité, nouvel outil, changement d’échelle). Le RGPD recommande un réexamen au moins tous les trois ans à titre indicatif.