AIPD : le guide pour réaliser votre analyse d'impact
Qu'est-ce qu'une AIPD, quand est-elle obligatoire et comment la mener étape par étape ? Le guide clair pour réaliser votre analyse d'impact RGPD.
Par L'équipe mydari · 11 juillet 2026 · 10 min de lecture

Un nouveau logiciel RH, une application qui suit la géolocalisation de vos livreurs, un dispositif de vidéosurveillance étendu : certains projets touchent aux données personnelles de façon sensible. Avant de les lancer, le RGPD peut vous imposer une AIPD, l'analyse d'impact relative à la protection des données. Beaucoup de dirigeants découvrent cette obligation trop tard, une fois le projet déjà livré et le budget consommé.
Cet article vous explique ce qu'est une AIPD, dans quels cas elle devient obligatoire, comment la mener étape par étape et qui doit la piloter. L'objectif : vous permettre d'intégrer ce réflexe au bon moment, sans en faire une usine à gaz.
Points clés
- Une AIPD est une étude qui évalue les risques d'un traitement de données pour les personnes concernées, et les mesures pour les réduire.
- Elle est obligatoire dès qu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes.
- Trois cas la rendent systématique : le profilage à grande échelle, le traitement massif de données sensibles et la surveillance systématique d'un lieu public.
- La méthode tient en cinq étapes : décrire, évaluer la nécessité, identifier les risques, définir les mesures, valider.
- Le responsable de traitement porte la responsabilité de l'AIPD, avec l'appui du DPO et de la CNIL en cas de doute.
Qu'est-ce qu'une AIPD ?
Une AIPD est une démarche documentée qui décrit un traitement de données, en évalue les risques pour les personnes concernées et définit les mesures pour ramener ces risques à un niveau acceptable. On parle aussi de PIA (privacy impact assessment) ou d'analyse d'impact sur la protection des données. Le terme officiel en français reste AIPD.
Son but n'est pas de cocher une case. Il est de vous forcer à vous poser une question simple avant de lancer un projet : que se passe-t-il pour un client, un salarié ou un usager si ces données fuitent, sont détournées ou utilisées à mauvais escient ? Une AIPD sérieuse anticipe ces scénarios et prévoit des garde-fous concrets.
L'AIPD est encadrée par l'article 35 du RGPD, qui en fixe le principe et le contenu minimal. Elle s'inscrit dans une logique plus large de privacy by design, où la protection des données est pensée dès la conception d'un service, et non ajoutée après coup.
Définition — L'AIPD, ou analyse d'impact relative à la protection des données, est l'étude qui identifie et réduit les risques qu'un traitement fait peser sur les droits et libertés des personnes dont les données sont collectées.
Quand une AIPD est-elle obligatoire ?
Une AIPD devient obligatoire dès qu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. Le RGPD cite trois situations où elle s'impose d'office :
- l'évaluation ou le profilage à grande échelle des personnes, avec des effets juridiques ou similaires (scoring, décisions automatisées) ;
- le traitement à grande échelle de données sensibles (santé, opinions, données biométriques ou judiciaires) ;
- la surveillance systématique à grande échelle d'une zone accessible au public (vidéosurveillance étendue, par exemple).
En complément, la CNIL retient une liste de neuf critères (données sensibles, collecte à grande échelle, croisement de fichiers, personnes vulnérables, usage innovant d'une technologie, etc.). Dès qu'un traitement en réunit au moins deux, une AIPD est en principe requise. La CNIL publie aussi une liste des traitements soumis à AIPD et une liste de ceux qui en sont dispensés.
Attention — Ne pas réaliser une AIPD quand elle est obligatoire est un manquement en soi, indépendamment de tout incident. En cas de contrôle, l'absence d'analyse sur un traitement à risque est l'un des premiers points examinés.
Dans le doute, mieux vaut trancher tôt. Une analyse de risque même rapide vaut mieux qu'une obligation ignorée. Si vous hésitez sur un traitement précis, demandez un devis pour un premier avis cadré.
Les étapes pour réaliser une AIPD
Réaliser une AIPD suit une méthode en cinq étapes, que la CNIL structure dans sa propre approche. Voici le déroulé que nous appliquons chez nos clients :
- Décrire le traitement. Finalités, données collectées, destinataires, durées de conservation, flux et sous-traitants. C'est la photographie précise de ce que vous faites des données.
- Évaluer la nécessité et la proportionnalité. Chaque donnée collectée est-elle utile à la finalité ? Les personnes sont-elles informées et leurs droits garantis ? On vérifie ici la conformité de fond au RGPD.
- Identifier et coter les risques. Pour chaque scénario (accès illégitime, modification non désirée, disparition des données), on estime la gravité et la vraisemblance du risque pour les personnes.
- Définir les mesures. Chiffrement, contrôle des accès, minimisation, anonymisation, clauses avec les sous-traitants : on liste les actions qui réduisent les risques identifiés.
- Valider et faire vivre l'analyse. Le responsable de traitement approuve l'AIPD, et celle-ci est révisée dès qu'un changement notable touche le traitement.
Bon à savoir — Une AIPD n'est jamais figée. Un changement de prestataire, une nouvelle fonctionnalité ou un élargissement des données collectées justifie de la mettre à jour. Prévoyez une revue régulière plutôt qu'un document classé une fois pour toutes.
Qui réalise l'AIPD ? Le rôle du DPO
La responsabilité de l'AIPD revient au responsable de traitement, c'est-à-dire à votre organisation, jamais à un tiers seul. C'est vous qui décidez du traitement, donc vous qui répondez de son analyse. Mais vous n'êtes pas censé la mener isolément.
Le DPO joue ici un rôle de pilote et de conseil. Il aide à décider si une AIPD est nécessaire, propose la méthode, formule un avis sur les mesures retenues et vérifie leur suivi. Sa vision transversale évite l'angle mort classique : une analyse conduite par une seule équipe technique, qui sous-estime le risque côté personnes concernées. Si vous n'avez pas cette compétence en interne, un DPO externe peut porter cette fonction sans mobiliser un poste à plein temps.
Les métiers concernés participent aussi : la DSI sur la sécurité, les équipes opérationnelles sur les usages réels, la direction juridique sur la base légale. L'AIPD est un travail collectif, coordonné par une personne qui garde la vue d'ensemble.
Conseil — Associez le DPO en amont, quand le projet est encore sur le papier. Une AIPD lancée après le développement coûte plus cher à corriger. Pour cadrer votre démarche, prenez contact avec notre équipe.
Quels outils pour mener votre AIPD ?
La CNIL met à disposition un logiciel PIA gratuit qui guide l'analyse étape par étape et produit un rapport structuré. C'est un bon point de départ, en particulier pour une première AIPD ou pour une PME qui internalise sa démarche. L'outil reprend la méthodologie officielle et facilite la traçabilité, un atout en cas de contrôle.
Le logiciel PIA de la CNIL ne fait pas tout, cependant. Il structure la réflexion, mais la qualité de l'analyse dépend de la justesse des scénarios de risque et de la cotation. Un outil bien rempli avec de mauvaises hypothèses reste une mauvaise AIPD.
Au-delà du logiciel, votre registre des traitements et votre cartographie des données alimentent directement l'AIPD. Plus votre mise en conformité RGPD est structurée en amont, plus l'analyse d'impact se fait vite, car l'essentiel de la matière existe déjà.
L'AIPD, un réflexe de privacy by design
Bien menée, l'AIPD n'est pas une contrainte ajoutée en fin de projet : c'est un outil de pilotage qui éclaire vos décisions avant qu'elles ne coûtent cher. Elle vous dit, chiffres et scénarios à l'appui, où concentrer vos efforts de sécurité et lesquels des traitements méritent une attention prioritaire.
C'est aussi une démarche qui rejoint notre approche générale de la conformité : viser l'impact réel plutôt que la perfection formelle. Nous accompagnons plus de dix clients, de la start-up au grand groupe, avec cette logique de priorisation par les risques. Chez l'un d'eux, cette méthode a permis de diviser par trois le budget RGPD et d'économiser 45 jours-homme, en concentrant l'énergie là où elle comptait.
L'AIPD s'inscrit enfin dans un mouvement réglementaire plus large. Les logiques d'analyse de risque se retrouvent dans l'AI Act, qui impose des évaluations comparables pour certains systèmes d'intelligence artificielle. Anticiper ces analyses, c'est aussi préparer votre organisation à la conformité à l'AI Act.
Conseil — Si vous démarrez tout juste votre conformité, commencez par cartographier vos traitements avant de vous lancer dans une AIPD. Notre guide sur le RGPD pour les TPE et PME pose les premières bases, et vous pouvez demander un devis pour être accompagné.
FAQ
Quelle est la différence entre AIPD, PIA et DPIA ?
Ces trois termes désignent la même démarche. AIPD est le sigle français officiel, analyse d'impact relative à la protection des données. PIA (privacy impact assessment) et DPIA (data protection impact assessment) sont les appellations anglaises. En France, mieux vaut employer AIPD dans vos documents de conformité.
L'AIPD est-elle obligatoire pour toutes les entreprises ?
Non. Elle n'est obligatoire que pour les traitements susceptibles d'engendrer un risque élevé pour les personnes concernées. Une TPE qui gère seulement un fichier clients courant n'a en général pas à en réaliser. Dès que vous manipulez des données sensibles ou surveillez des personnes à grande échelle, la question se pose sérieusement.
Qui doit réaliser l'AIPD ?
Le responsable de traitement en porte la responsabilité, c'est-à-dire votre organisation. Le DPO conseille, propose la méthode et vérifie les mesures, mais ne se substitue pas au décideur. Les équipes techniques, juridiques et métiers y contribuent selon leur périmètre. C'est un travail coordonné, pas une tâche isolée.
Que risque-t-on si on ne fait pas d'AIPD obligatoire ?
L'absence d'AIPD sur un traitement à risque est un manquement au RGPD en tant que tel, même sans incident. En cas de contrôle de la CNIL, c'est un des points vérifiés en priorité, et il peut exposer à une mise en demeure puis à une sanction financière. Le risque juridique s'ajoute au risque pour les personnes.
Combien de temps prend une AIPD ?
La durée dépend de la complexité du traitement et de la maturité de votre conformité. Un traitement simple, avec un registre déjà tenu, s'analyse en quelques jours. Un projet complexe, avec des sous-traitants multiples et des données sensibles, demande plusieurs semaines de travail réparti entre les équipes concernées.
Faut-il envoyer l'AIPD à la CNIL ?
Pas systématiquement. L'AIPD reste un document interne que vous devez pouvoir présenter en cas de contrôle. Vous ne consultez la CNIL que dans un cas précis : quand l'analyse révèle un risque élevé résiduel que vous ne parvenez pas à réduire. Cette consultation préalable est alors obligatoire avant de lancer le traitement.
Quel outil utiliser pour réaliser une AIPD ?
Le logiciel PIA gratuit de la CNIL est un bon point de départ. Il guide l'analyse selon la méthode officielle et produit un rapport traçable. Votre registre des traitements et votre cartographie des données complètent l'outil. La qualité finale dépend surtout de la justesse des scénarios de risque que vous y saisissez.
Une AIPD se met-elle à jour ?
Oui. Une AIPD n'est pas un document définitif. Elle doit être révisée dès qu'un changement notable touche le traitement : nouveau prestataire, nouvelle finalité, élargissement des données ou évolution technique. Prévoyez une revue régulière pour qu'elle reflète toujours la réalité de vos usages.
Conclusion
L'AIPD n'est pas un exercice bureaucratique : c'est le moment où vous regardez en face les risques d'un projet avant qu'ils ne deviennent un incident ou une sanction. Bien intégrée, au bon moment, elle éclaire vos décisions et concentre vos efforts là où ils protègent réellement les personnes.
Vous avez un projet qui manipule des données sensibles et vous vous demandez si une AIPD s'impose ? C'est exactement le type de question que nous cadrons au quotidien. Prendre contact avec notre équipe, ou découvrir le cabinet mydari et le blog pour aller plus loin.
L'équipe mydari
L'équipe mydari
Cabinet de conseil RGPD & AI Act



