Analyse d'impact relative à la protection des données

Avant de lancer un traitement de données à caractère personnel vous devez vérifier, en tant que responsable du traitement, si celui-ci présente ou non un risque élevé pour les libertés et droits des personnes concernées. Auquel cas, vous êtes tenu de réaliser une AIPD préalablement au lancement de votre traitement, dont le résultat peut également aboutir à la conclusion qu’une consultation préalable de l’APD est nécessaire.


Parmi les obligations imposées au responsable du traitement, l’article 35 du RGPD impose qu’une analyse d’impact relative à la protection des données soit effectuée avant le traitement lorsque ce dernier est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Cette procédure permet d’évaluer à la fois les risques encourus et  la manière dont ils peuvent être maîtrisés.

Votre AIPD soumet votre projet de traitement à une évaluation des risques élevés potentiels que celui-ci peut présenter envers les personnes concernées, au regard de l’ensemble des droits et libertés dont celles-ci disposent. Une seule et même AIPD peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires. Vous devez évaluer la probabilité et la gravité particulières du risque élevé compte tenu de la nature, de la portée, du contexte et des finalités du traitement et des sources du risques. Votre AIPD devrait comprendre, notamment, les mesures, garanties et mécanismes envisagés pour atténuer ce risque, assurer la protection des données à caractère personnel et démontrer le respect du RGPD.

Si vous avez un DPO, consultez-le dès votre idée de traitement et au cours de la réalisation de l’AIPD. Lorsque cela le requiert, demandez également l’avis des personnes concernées ou de leurs représentants au sujet du projet de traitement.

Afin de savoir si vous devez ou non procéder à une AIPD, vous devez tenir compte, notamment, des catégories et du nombre de données à caractère personnel, des catégories et du nombre de personnes concernées, de la nature, du contexte, de la portée et de la finalité du traitement, du recours à de nouvelles technologies et des catégories de personnes pouvant y avoir accès. Pour comprendre de manière détaillée si votre projet de traitement doit ou non faire l’objet d’une AIPD, veuillez consulter notre Guide AIPD.

En dehors des cas obligatoires examinés ci-dessous, vous pouvez toujours soumettre l’ensemble de vos projets de traitements de données à caractère personnel à une AIPD, par mesure de précaution et de documentation de vos activités de traitements.

Vous y serez toutefois tenus dans 3 cas de figure.

Tout d’abord, au regard de l’article 35.3 du RGPD, si votre projet de traitement implique :

  • une évaluation d’aspects personnels tel que le profilage suivi d’une décision concernant la personnes physique concernée,
  • un traitement à grande échelle de catégories particulières de données relevant des articles 9 ou 10 du RGPD,
  • une surveillance systématique à grande échelle d’une zone accessible au public.

Ensuite, si votre projet de traitement figure dans la liste des opérations de traitement devant faire l’objet d’une AIPD, adoptée par l’APD conformément à l’article 35.4 du RGPD.

Enfin,  si votre projet de traitement ne figure pas dans les liste des catégories de traitement ci-dessus, il devra tout même faire l’objet d’une AIPD préalable s’il rencontre les critères édictés par le Groupe de Travail Article 29 pour déterminer le caractère à haut risque d’un traitement pour les droits et libertés des personnes concernées.

Vous êtes tenus de consulter l’APD préalablement au lancement de votre traitement si votre AIPD révèle un risque résiduel élevé.

Tous les traitements faisant l’objet d’une AIPD préalable ne doivent pas être soumis à l’avis préalable de l’autorité de protection des données.

Vous devez consulter l’APD, préalablement au lancement de votre traitement, lorsque votre AIPD indique que le traitement en projet présente un risque élevé résiduel. Un tel risque existe lorsque il demeure présent en dépit des mesures que vous avez mises ou aller mettre en place pour atténuer le ou les risque(s) identifiés. Si vous estimez avoir mis en place les mesures suffisantes pour atténuer le ou les  risque(s) et qu’il n’existerait pas de risque résiduel élevé, n’oubliez pas de documenter cela afin de pouvoir en faire état, le cas échéant, auprès de l’APD. De la même manière, veillez à toujours documenter votre décision de ne pas effectuer une AIPD, ou de ne pas consulter l’APD.

En cas de doute sur l’existence d’un risque résiduel élevé, n’hésitez pas à consulter préalablement l’APD avant le lancement de votre traitement.

Il vous appartient de compléter le formulaire de demande de consultation réservé à cet effet en fournissant à l’APD l’ensemble des informations utiles à son analyse. L’APD se prononcera par voie d’avis quant au risque(s) identifié(s) et aux mesures proposée(s) au regard du traitement envisagé. Notez que l’APD ne se prononce par voie d’avis qu’en cas d’existence d’un risque d’infraction aux règles du RGPD si le traitement projeté devait être lancé en tant que tel. Elle formulera dès lors dans cet avis des recommandations dont il faudra tenir compte. A nouveau, ces recommandations, les corrections prises à leurs suite ou l’absence de suivi donné à l’avis de l’APD devront être consignées, documentées et mises à disposition à première demande.

Liens intéressants