Le RGPD impose une Analyse d'Impact relative à la Protection des Données pour tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. SYAGA DPIA-Express structure et documente votre AIPD selon la méthodologie de l'article 35 et les lignes directrices du CEPD, sans improvisation et sans jargon.
Déterminer si votre traitement doit faire l'objet d'une AIPD, puis la conduire dans les règles
Tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques doit faire l'objet d'une Analyse d'Impact relative à la Protection des Données avant sa mise en œuvre (RGPD, art. 35).
Le CEPD (ex-G29, lignes directrices WP248 rev.01) a défini 9 critères de risque élevé. Dès qu'un traitement remplit au moins deux de ces critères, une AIPD doit en principe être menée : une seule pièce mal identifiée, et le dossier est incomplet.
La CNIL publie des listes de traitements pour lesquels l'AIPD est requise ou non requise. Déterminer où se situe précisément votre traitement demande une lecture rigoureuse, pas une impression générale.
Conduire une AIPD trop vite l'expose à l'incomplétude devant une autorité de contrôle ; ne pas la conduire quand elle est requise expose l'organisation à un manquement à l'article 35. La méthode CNIL structure ce choix et le documente.
La structure imposée par l'article 35.7 du RGPD, appliquée à votre traitement, avec une conclusion motivée à chaque étape
Analyse contre les 3 cas de l'article 35.3, la grille des 9 critères du CEPD (WP248 rev.01) et les listes CNIL des traitements requis ou non requis. Conclusion motivée, que l'AIPD soit finalement obligatoire ou non.
Finalités, catégories de données et de personnes concernées, destinataires, durées de conservation : la cartographie complète exigée par l'article 35.7.a, cohérente avec votre registre des activités de traitement (art. 30).
Vérification que chaque donnée collectée est nécessaire à la finalité poursuivie, que la base légale (art. 6) est identifiée pour chaque traitement, et que le principe de minimisation (art. 5.1.c) est respecté.
Pour chaque risque identifié : gravité, vraisemblance, mesures déjà en place, risque résiduel, présenté sous forme de tableau exploitable par votre direction ou votre DPO.
Mesures techniques et organisationnelles envisagées (art. 32), conclusion motivée et justification documentée au titre de l'accountability (art. 5.2), mobilisable en cas de contrôle de la CNIL.
Un document structuré, sourcé, et honnête sur ce qui reste à valider par votre juriste ou votre DPO
Le document complet suivant l'article 35.7 (a à d), avec une conclusion motivée.
L'analyse préalable qui tranche si votre traitement entre dans le champ de l'obligation.
L'AIPD s'appuie sur le même socle que votre registre des activités de traitement.
Chaque point d'incertitude est signalé explicitement, jamais tranché à votre place.
Chaque affirmation juridique est sourcée, pas affirmée de mémoire.
Remis dans un format éditable, réutilisable par votre DPO ou votre juriste.
Une méthode qui s'appuie sur les textes et les autorités, pas sur des interprétations maison
Analyse d'impact relative à la protection des données. Texte consolidé du Règlement (UE) 2016/679 (EUR-Lex, CELEX 32016R0679).
Les 9 critères de risque élevé du CEPD (ex-G29), repris par la CNIL comme méthode de référence pour déterminer l'obligation d'AIPD.
Listes des traitements pour lesquels l'AIPD est requise ou non requise, et méthode CNIL de conduite d'une analyse d'impact.
Registre des activités de traitement : le socle de cohérence (finalités, données, durées) sur lequel s'appuie toute AIPD.
Le périmètre dépend du nombre de traitements, de leur complexité et de ce qui est déjà documenté chez vous. Devis établi après un premier échange.
Vous ne savez pas si votre traitement est concerné
Traitement identifié à risque élevé
Plusieurs traitements à risque à couvrir
Une AIPD n'est jamais figée
L'article 35.11 du RGPD impose de réexaminer l'analyse en cas d'évolution significative du traitement (nouveau sous-traitant, changement d'hébergement, extension du périmètre de collecte). Un devis de réexamen est établi au cas par cas.
Décrivez-nous votre traitement, nous revenons vers vous avec un devis personnalisé.
Ce que dit vraiment le texte, digéré en langage simple. Chaque point garde son lien vers le document officiel.
Une AIPD, c'est simplement un travail d'évaluation : on regarde les risques qu'un traitement de données fait courir aux personnes, avant de le mettre en place. La CNIL la définit comme "un processus formel permettant d'évaluer les risques liés au traitement de données personnelles". Ce n'est pas une formalité administrative de plus, c'est un outil de bon sens rendu obligatoire par le RGPD dans certains cas. Source : CNIL →
Pas besoin d'être une grande entreprise pour être concerné. La CNIL considère qu'une AIPD est obligatoire dès qu'un traitement remplit au moins deux de ces neuf situations : noter ou évaluer des personnes, prendre une décision automatisée qui a un effet réel sur elles, les surveiller de façon systématique, collecter des données sensibles (santé, origine, etc.), collecter à grande échelle, croiser plusieurs bases de données, viser des personnes vulnérables (salariés, patients, mineurs...), utiliser une technologie nouvelle, ou priver quelqu'un d'un droit ou d'un service. Source : CNIL →
Pour éviter de deviner, la CNIL a publié deux listes officielles : une liste de 14 types de traitements où l'AIPD est obligatoire (données de santé, profilage RH, surveillance des salariés, géolocalisation à grande échelle...), et une liste de 12 types où elle n'est pas requise (paie et gestion du personnel de moins de 250 salariés hors profilage, gestion fournisseurs, dossier patient d'un professionnel de santé isolé...). Ces listes ne couvrent pas tous les cas, mais elles répondent déjà à beaucoup de situations courantes. Source : liste CNIL des traitements requis →
Le RGPD (article 35) ne demande pas un roman, mais quatre briques précises : décrire le traitement et son objectif, vérifier qu'il est vraiment nécessaire et proportionné, évaluer les risques pour les personnes concernées, puis lister les mesures prévues pour réduire ces risques. Une conclusion claire à la fin : le traitement est-il acceptable, et à quelles conditions. Source : RGPD, article 35 →
Si votre organisation a désigné un Délégué à la Protection des Données, le RGPD impose de lui demander conseil au moment de conduire l'AIPD, et de le charger de vérifier que l'analyse a bien été réalisée. C'est un garde-fou, pas une case à cocher : le DPO reste le bon réflexe avant de valider une conclusion. Source : RGPD, articles 35 et 39 →
Si, malgré les mesures prévues, le traitement présente encore un risque élevé pour les personnes, le RGPD impose de consulter la CNIL avant de démarrer. Elle dispose alors de huit semaines pour donner son avis écrit (prolongeable de six semaines si le dossier est complexe). Rassurant à savoir : ce cas reste l'exception, pas la règle. Source : RGPD, article 36 →
La CNIL rappelle que les amendes RGPD peuvent atteindre jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial, selon le montant le plus élevé. C'est un plafond légal, pas une fatalité : une AIPD bien menée est justement ce qui permet de montrer, en cas de contrôle, que la question a été prise au sérieux. Source : CNIL →
Le Comité européen de la protection des données (CEPD/EDPB) a mis en consultation publique, du 14 avril au 9 juin 2026, un projet de modèle unique d'AIPD destiné à harmoniser les pratiques entre pays européens. La consultation est désormais close ; nous suivons la suite donnée à ce projet pour en informer nos clients le moment venu. Source : EDPB →