Décryptage complet de l’article 35 du RGPD
Lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement réalise, avant traitement, une analyse d’impact sur la protection des données. Une même analyse peut porter sur un ensemble d’opérations similaires.
Le responsable du traitement demande conseil au DPO, s’il a été désigné, lorsqu’il effectue une AIPD.
Une analyse est notamment requise dans les cas suivants :
- Évaluation systématique fondée sur un traitement automatisé (y compris profilage) ayant des effets juridiques ou significatifs.
- Traitement à grande échelle de données sensibles (article 9) ou pénales (article 10).
- Surveillance systématique à grande échelle de zones accessibles au public.
L’autorité de contrôle :
- Établit et publie la liste des traitements nécessitant une AIPD.
- Peut aussi publier une liste des traitements pour lesquels une AIPD n’est pas requise.
- Transmet ces listes au comité (article 68) et applique le mécanisme de cohérence (article 63) si nécessaire.
L’AIPD comprend au minimum :
- Une description systématique des traitements et finalités, incluant l’intérêt légitime le cas échéant ;
- Une évaluation de la nécessité et de la proportionnalité ;
- Une évaluation des risques pour les droits et libertés des personnes concernées ;
- Les mesures envisagées pour atténuer les risques et démontrer la conformité au RGPD.
Le respect de codes de conduite approuvés (article 40) est pris en compte dans l’AIPD.
Le responsable peut consulter les personnes concernées ou leurs représentants, sauf si cela porte atteinte à la sécurité ou aux intérêts commerciaux.
Les paragraphes 1 à 7 ne s’appliquent pas lorsque :
- Le traitement est basé sur une disposition légale (article 6.1.c ou e) ;
- Une AIPD a déjà été effectuée dans le cadre de l’adoption de cette base juridique ;
- Mais un État membre peut exiger une AIPD spécifique.
Si nécessaire, le responsable du traitement procède à un réexamen de l’AIPD, notamment en cas de modification du risque lié au traitement.
L’essentiel à comprendre de l’article 35
Vous êtes DPO, juriste, RSSI ou pilote RGPD dans votre entreprise ? L’article 35 du RGPD est sans appel : dans certains cas, une AIPD est obligatoire. Pas un bonus. Pas un document “au cas où”. Une vraie exigence réglementaire, à produire avant tout traitement à risque.
👉 Et si vous l’oubliez, vous exposez votre entreprise à des sanctions… et à de vrais impacts sur les personnes concernées.
L’article 35 pose un principe simple et exigeant :
“Lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, une AIPD est obligatoire avant toute mise en œuvre.”
Ce que vous devez évaluer, c’est le risque pour les personnes, pas pour votre entreprise.
👉 Une AIPD, c’est une analyse structurée de votre traitement de données, de ses impacts potentiels, et des mesures mises en place pour les limiter. Et cette documentation doit être solide, traçable et exploitable à tout moment, notamment en cas de contrôle.
AIPD obligatoire : dans quels cas ?
Pas besoin d’un traitement futuriste ou de reconnaissance faciale pour tomber dans le champ de l’article 35. L’obligation d’AIPD s’applique dès lors qu’un traitement est « susceptible d’engendrer un risque élevé » pour les personnes. Et certains cas sont clairement identifiés comme sensibles par la CNIL :
- Vidéosurveillance généralisée : surveillance permanente dans des lieux accessibles, y compris pour les salariés.
- Traitements de données sensibles : données de santé, biométrie, orientation sexuelle… soit des informations particulièrement protégées.
- Profilage automatisé : système qui évalue, prédit ou influence des comportements individuels (ex : scoring de crédit, tri automatique de candidatures).
- Suivi géolocalisé en temps réel : suivi constant de véhicules ou d’employés, sans pause ni anonymisation.
- Traitement massif de données RH : gestion des absences, évaluations, contrôles d’activité, à large échelle.
- Traitements concernant des mineurs à grande échelle : portails éducatifs, plateformes ludo-éducatives, outils numériques scolaires…
⚠️ Erreur fréquente : croire qu’un traitement en place depuis longtemps n’est pas concerné. Faux. L’obligation dépend du risque actuel, pas de l’ancienneté ni de l’habitude.
Comment faire une AIPD efficace
Une bonne AIPD, c’est une analyse claire, documentée, et structurée en 6 étapes. Ni trop légère, ni trop complexe. Voici comment procéder :
1. Décrivez le traitement
Commencez par cadrer le traitement dans ses moindres détails.
Cela implique de répondre à des questions simples mais fondamentales :
- Quelle est la finalité du traitement ?
- Quelles catégories de données sont concernées ?
- Qui y a accès (en interne, en externe) ?
- Quelle est la durée de conservation ?
- Existe-t-il un transfert hors UE ?
Objectif : poser les bases factuelles, sans ambiguïté.
📝 Exemple : vidéosurveillance continue à l’entrée d’un bâtiment accessible au public.
2. Vérifiez la base légale
Tout traitement de données personnelles doit reposer sur un fondement juridique solide. Vous devez l’identifier et l’expliquer :
- Consentement libre et éclairé ?
- Obligation légale prévue par un texte ?
- Intérêt légitime clairement argumenté ?
📌 Conseil : évitez les bases “de confort” non documentées. La CNIL regarde de près cette étape.
3. Évaluez la proportionnalité
Le RGPD impose de collecter uniquement ce qui est nécessaire. Posez-vous les bonnes questions :
- Les données sont-elles utiles pour atteindre la finalité ?
- Sont-elles excessives ou redondantes ?
- Combien de temps les conservez-vous, et pourquoi ?
Exemple : enregistrer les conversations téléphoniques des clients “par défaut”, sans finalité précise, est disproportionné.
4. Analysez les risques
C’est le cœur de l’analyse. Vous devez réfléchir aux conséquences possibles pour les personnes, si les données étaient détournées, perdues ou mal utilisées :
- Risque de surveillance ou de fichage abusif
- Usurpation d’identité ou fraude
- Discrimination ou exclusion
- Atteinte à la réputation ou à la vie privée
💡 Astuce : appuyez-vous sur des scénarios concrets. Le but n’est pas d’imaginer le pire, mais de réfléchir sérieusement aux impacts réels.
5. Décrivez les mesures de sécurité
Face à chaque risque identifié, il faut démontrer les mesures prises pour limiter les dommages. Cela peut inclure :
- Des mesures techniques : chiffrement, pseudonymisation, journalisation des accès…
- Des mesures organisationnelles : contrôle des habilitations, procédures internes, politique de confidentialité…
- Des mesures contractuelles : clauses RGPD dans les contrats avec les sous-traitants
🎯 Objectif : prouver que le traitement est encadré et sécurisé à tous les niveaux.
6. Décidez… ou consultez la CNIL
Une fois l’analyse terminée, deux cas de figure :
✅ Les risques sont maîtrisés : vous validez l’AIPD, vous la datez, vous l’archivez, et vous l’intégrez dans votre registre de conformité.
📤 Le risque reste élevé malgré les mesures : vous devez obligatoirement consulter la CNIL avant de démarrer le traitement.
Pour compléter cette approche étape par étape, la CNIL propose une infographie claire et synthétique qui visualise l’ensemble du processus d’analyse d’impact.
Elle résume, en un coup d’œil :
- le rôle des acteurs,
- les grands principes à respecter,
- et les points de vigilance avant toute mise en œuvre.
Checklist AIPD – 9 étapes pour ne rien oublier
Pour sécuriser votre AIPD et rester conforme à l’article 35 du RGPD, voici la checklist à valider point par point avant tout traitement à risque.
✅ AIPD – Les 9 points à valider
Outils et modèles pour faire une AIPD
Voici les meilleurs outils pour rédiger une AIPD claire et conforme :
| Outil | Avantages | Pour qui ? |
|---|---|---|
| 🛡️ PIA CNIL | Gratuit, structuré, conforme RGPD | PME, collectivités |
| 📊 Excel ou Google Sheets | Libre, personnalisable | Entreprises agiles |
| 🔐 OneTrust / DataGalaxy | Pro, automatisé, intégration SI | Groupes et grands comptes |
FAQ – Les questions fréquentes
Faut-il faire une AIPD pour un traitement existant, jamais évalué jusqu’ici ?
Oui, si le risque actuel est toujours élevé. Le RGPD ne regarde ni l’ancienneté du traitement ni sa stabilité apparente, mais son impact potentiel aujourd’hui. Un traitement « ancien » peut toujours poser problème si ses usages, données ou contextes ont évolué (ex : IA, open data, interconnexion SI).
👉 Astuce : déclenchez une AIPD rétroactive et stratégique, intégrée à une revue de conformité annuelle, pour limiter les angles morts.
Peut-on mutualiser une AIPD pour plusieurs traitements similaires ?
Oui, à condition que les traitements soient vraiment homogènes en finalité, base légale, données, acteurs et mesures de sécurité. Sinon, vous risquez une AIPD trop générique qui masque les risques réels.
🧩 Exemple : vous pouvez mutualiser l’AIPD de plusieurs outils RH de suivi de performance si les processus, les accès et les données sont alignés. Mais distinguez-les si certains outils traitent des données de santé ou s’appuient sur l’IA.
L’AIPD doit-elle être validée par un comité interne ?
Ce n’est pas obligatoire, mais c’est une excellente pratique. Mettre en place un comité AIPD (compliance, DPO, sécurité, métier, juridique) permet de :
- Renforcer l’adhésion métier,
- Réduire les angles morts,
- Documenter une gouvernance responsable.
📌 Conseil : fixez un seuil de déclenchement (ex. traitements sur données sensibles + évaluation algorithmique), et formalisez la validation via procès-verbal ou workflow RGPD.
Que faire si l’AIPD révèle un risque élevé malgré les mesures prévues ?
Il est illégal de lancer le traitement sans avoir consulté la CNIL. La consultation est une obligation, pas une formalité. Tenter de contourner en « allégeant artificiellement le risque » est une stratégie risquée, repérable par l’autorité.
👉 Bon réflexe : préparez le dossier CNIL comme une revue critique, pas une plaidoirie. Incluez les limites connues, arbitrages internes et raisons du maintien du projet.
Peut-on confier l’AIPD à un prestataire externe ?
Oui, mais le responsable du traitement reste juridiquement responsable. Externaliser l’AIPD peut apporter méthode, recul et expertise technique, mais vous devez :
- Vérifier que l’analyse est adaptée à votre réalité,
- Documenter la participation de vos équipes,
- Impliquer le DPO en continu.
🎯 Objectif : rester maître du fond, même si la forme est déléguée.
