La vision de Cyber Academy
Une DPIA est l'analyse structurée que le GDPR impose avant tout traitement à risque élevé. Elle documente la nature, la portée, le contexte et les finalités du traitement ; évalue la nécessité et la proportionnalité ; identifie les mesures d'atténuation. La CNIL met à disposition un outil PIA gratuit à cet effet. Omettre une DPIA lorsqu'elle était obligatoire est l'un des moyens les plus sûrs d'attirer l'attention d'un régulateur.
Quand une AIPD est requise, et quand elle ne l'est pas
Une analyse d'impact relative à la protection des données n'est pas une formalité que vous produisez pour chaque projet. Le RGPD la rattache à un seul déclencheur : un traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Le texte cite quelques situations où l'analyse est obligatoire, par exemple le profilage systématique et approfondi produisant des effets juridiques ou des effets significatifs similaires, le traitement à grande échelle de données de catégories particulières, et la surveillance systématique à grande échelle d'une zone accessible au public. Les autorités de contrôle nationales publient ensuite leurs propres listes des opérations qui exigent toujours une AIPD, et des listes d'opérations qui n'en exigent pas.
En pratique, vous commencez par un filtrage préalable. Confrontez au traitement une courte liste de critères de risque, du type de celle publiée par le Comité européen de la protection des données, et comptez combien s'appliquent. Des combinaisons telles que l'évaluation ou la notation associée à une prise de décision automatisée, ou les données sensibles associées à un traitement à grande échelle, vous font franchir le seuil. Lorsque la réponse est incertaine, la position défendable consiste à documenter pourquoi vous avez conclu qu'une AIPD complète n'était pas nécessaire, et non à éluder silencieusement la question.
Ce que contient l'analyse
Le RGPD fixe un contenu minimal. Une AIPD doit contenir une description systématique des opérations de traitement et des finalités, une évaluation de la nécessité et de la proportionnalité du traitement au regard de ces finalités, une évaluation des risques pour les droits et libertés des personnes concernées, et les mesures envisagées pour faire face à ces risques, y compris les garanties et les mesures de sécurité. La CNIL met à disposition gratuitement un logiciel PIA qui vous guide précisément à travers cette structure, et il n'y a aucune raison de la reconstruire à partir de zéro.
La nécessité et la proportionnalité sont là où la plupart des analyses sont insuffisantes. Il s'agit d'un test juridique, et non d'un test de sécurité : chaque champ de données est-il réellement nécessaire à la finalité déclarée, la durée de conservation est-elle justifiée, existe-t-il une base légale, les droits des personnes concernées sont-ils assurés. L'analyse de risque est la partie à coloration sécurité, et elle emprunte directement aux pratiques de gestion des risques.
C'est là qu'ISO 27005 et EBIOS Risk Manager vous fournissent le vocabulaire des menaces, des événements redoutés, de la vraisemblance et de la gravité. Une AIPD évalue le risque pour les personnes dont les données sont traitées, et non le risque pour l'organisation, ce qui est la distinction sur laquelle on trébuche souvent.
Qui la réalise, et comment elle reste vivante
Le responsable du traitement est chargé de réaliser l'AIPD. Lorsqu'un délégué à la protection des données est désigné, le responsable du traitement doit demander son avis, et le DPO examine généralement l'analyse et en contrôle l'exécution. Vous devez également recueillir l'avis des personnes concernées ou de leurs représentants le cas échéant. Les sous-traitants ont un devoir d'assistance. Si, après atténuation, le risque résiduel reste élevé et que vous ne pouvez pas le réduire, le RGPD impose une consultation préalable de l'autorité de contrôle avant le début du traitement.
Une AIPD est un document vivant. Le responsable du traitement doit la réexaminer lorsque survient une modification du risque que représente le traitement, par exemple un nouveau flux de données, une nouvelle technologie, une nouvelle finalité ou un nouveau sous-traitant ultérieur. Traitez-la comme un exercice continu : un rythme utile consiste à réexaminer les analyses selon un cycle défini et chaque fois que la conception évolue, plutôt qu'à les classer une fois pour toutes et à les oublier.
| Dimension | AIPD | Analyse de risque de sécurité générale |
|---|---|---|
| Déclencheur | Traitement de données personnelles à risque élevé | Tout actif, système ou processus inclus dans le périmètre |
| Objet du risque | Droits et libertés des personnes | L'organisation et ses actifs |
| Statut juridique | Obligatoire au titre du RGPD lorsqu'elle est déclenchée | Pilotée par une politique ou des normes comme ISO 27001 |
| Méthode typique | Logiciel PIA de la CNIL, critères de l'EDPB, test de nécessité | ISO 27005, EBIOS Risk Manager |
| Résultat | Mesures d'atténuation et éventuelle consultation préalable | Plan de traitement et acceptation du risque résiduel |
Frequently asked questions
01Une AIPD est-elle obligatoire pour chaque activité de traitement ?
Non. Elle n'est requise que lorsque le traitement est susceptible d'engendrer un risque élevé pour les personnes. Vous procédez d'abord à un filtrage au regard des critères publiés par votre autorité de contrôle et par l'EDPB, et vous documentez la conclusion du filtrage dans un sens comme dans l'autre.
02Quelle est la différence entre une AIPD et un PIA ?
Ils décrivent le même exercice. AIPD est le terme employé dans le RGPD. PIA, Privacy Impact Assessment, est l'appellation plus large et plus ancienne, et c'est le nom que la CNIL donne à son logiciel gratuit.
03Que se passe-t-il si le risque résiduel reste élevé après atténuation ?
Le RGPD impose une consultation préalable de l'autorité de contrôle avant que vous ne commenciez le traitement. L'autorité peut formuler des recommandations et, lorsque le traitement enfreindrait le règlement, exercer ses pouvoirs correcteurs.
04Qui est responsable de la réalisation de l'AIPD ?
Le responsable du traitement. Lorsqu'un DPO est désigné, le responsable du traitement doit demander son avis et le DPO contrôle l'exécution. Les sous-traitants doivent prêter assistance, et vous devez recueillir l'avis des personnes concernées le cas échéant.
05Quand une AIPD doit-elle être réexaminée ?
Chaque fois que le risque représenté par le traitement change : une nouvelle finalité, un nouveau flux de données, une nouvelle technologie ou un nouveau sous-traitant ultérieur. Traitez-la comme un document vivant soumis à un cycle de réexamen régulier, et non comme un exercice ponctuel.