AIPD : quand est-elle obligatoire, comment la conduire et comment l'articuler avec l'AI Act ?

L'Analyse d'Impact relative à la Protection des Données — AIPD en français, DPIA en anglais pour Data Protection Impact Assessment — est l'une des obligations les plus structurantes du RGPD. Et l'une des plus mal comprises. Beaucoup d'organisations pensent qu'elle s'applique à tous leurs traitements. D'autres l'ignorent complètement, y compris pour des traitements qui la rendent clairement obligatoire. Entre ces deux extrêmes, la réalité est précise : l'AIPD est obligatoire dans des cas bien définis, elle suit une méthode rigoureuse, et sa bonne conduite peut faire la différence en cas de contrôle de la CNIL. En 2026, avec la montée en puissance des systèmes d'IA dans les organisations, elle est plus que jamais au cœur de la conformité.

Qu'est-ce qu'une AIPD et pourquoi existe-t-elle ?

L'AIPD est une démarche formalisée d'évaluation des risques qu'un traitement de données personnelles fait peser sur les droits et libertés des personnes concernées. Elle est instituée par l'Article 35 du RGPD, qui en fait une obligation préalable à la mise en œuvre de tout traitement susceptible d'engendrer un risque élevé.

Sa logique est simple : avant de traiter des données personnelles dans des conditions potentiellement risquées, l'organisation doit démontrer qu'elle a mesuré ces risques, adopté des mesures pour les réduire, et que les risques résiduels restants sont acceptables au regard des finalités poursuivies. C'est une démarche de responsabilisation proactive — le cœur du principe d'accountability du RGPD.

L'AIPD n'est pas un simple formulaire à remplir. C'est une analyse substantielle qui implique les équipes métier, les équipes techniques, le DPO et parfois les personnes concernées elles-mêmes. Bien conduite, elle produit des effets concrets : elle identifie des risques qu'on n'avait pas vus, force à documenter des choix de conception qui restent souvent implicites, et constitue une protection solide en cas de contrôle ou d'incident.

Quand l'AIPD est-elle obligatoire ?

L'Article 35 du RGPD pose le principe : l'AIPD est obligatoire lorsqu'un traitement est "susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques". Il cite trois cas explicites, mais la liste n'est pas exhaustive.

Les 3 cas explicitement cités par l'Article 35

Le texte du RGPD mentionne directement :

1. L'évaluation systématique et approfondie d'aspects personnels basée sur un traitement automatisé, y compris le profilage, et sur laquelle se fondent des décisions produisant des effets juridiques ou affectant significativement les personnes — le cas typique du scoring de crédit, de la sélection automatisée de candidats ou de la tarification personnalisée
2. Le traitement à grande échelle de catégories particulières de données (Article 9 — données de santé, biométriques, génétiques, relatives aux condamnations pénales, à l'origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses, à l'orientation sexuelle) ou de données relatives à des condamnations pénales
3. La surveillance systématique à grande échelle d'une zone accessible au public — vidéosurveillance de lieux publics, surveillance de réseaux, géolocalisation à grande échelle

La liste de référence de la CNIL

La CNIL a publié une liste de 9 types de traitements pour lesquels une AIPD est requise de façon systématique. Cette liste, établie conformément aux lignes directrices du Comité européen de protection des données (CEPD), inclut :

• Les traitements de données biométriques aux fins d'identification ou d'authentification unique
• Le traitement de données génétiques
• Les traitements impliquant le profilage de personnes ou l'évaluation d'aspects personnels à grande échelle
• Les traitements impliquant la surveillance systématique
• Les traitements de données concernant des personnes vulnérables (mineurs, patients, personnes âgées)
• Les traitements à grande échelle de données de santé hors du cadre de soins
• Les croisements ou combinaisons de jeux de données allant au-delà des attentes raisonnables des personnes
• Les traitements innovants ou recourant à de nouvelles technologies susceptibles d'engendrer des risques élevés
• Les traitements qui empêchent les personnes d'exercer un droit ou de bénéficier d'un service

La règle des deux critères du CEPD

Le Comité européen de protection des données a établi une règle pratique : si un traitement remplit au moins deux des neuf critères identifiés dans ses lignes directrices, une AIPD est en principe requise. Ces critères incluent notamment : évaluation ou scoring, décision automatique avec effet légal ou similaire, surveillance systématique, données sensibles, données traitées à grande échelle, croisement de données, données de personnes vulnérables, usage innovant ou nouvelle technologie, transferts hors UE.

Un traitement ne remplissant qu'un seul critère peut néanmoins nécessiter une AIPD si ce critère est particulièrement significatif dans le contexte — la règle des deux critères est un guide, pas un seuil automatique.

IA et AIPD : un couple quasi-systématique

Les systèmes d'intelligence artificielle constituent aujourd'hui l'une des principales sources de traitements déclenchant une AIPD obligatoire. Plusieurs raisons expliquent cette quasi-systématicité.

D'abord, la prise de décision automatisée : dès qu'un système d'IA prend ou influence des décisions ayant des effets significatifs sur des personnes — refus de crédit, recommandation de contenu, sélection de candidats, tarification différenciée —, le premier critère de l'Article 35 est rempli.

Ensuite, le profilage : la plupart des systèmes d'IA à vocation personnalisée construisent des profils comportementaux ou préférentiels à partir des données des utilisateurs. C'est par définition du profilage au sens du RGPD (Article 4, §4), ce qui active immédiatement le critère d'évaluation systématique.

Enfin, le recours aux nouvelles technologies : l'utilisation de l'IA est en elle-même considérée comme un facteur d'innovation technologique susceptible d'engendrer des risques élevés — particulièrement pour les systèmes impliquant des modèles de langage (LLM), de la vision par ordinateur ou de la reconnaissance vocale.

Un système de recommandation de contenu, un chatbot gérant des données personnelles, un outil RH d'analyse de CV, un système de détection de fraude, un outil de scoring client : tous déclenchent en pratique une AIPD. La question n'est généralement pas de savoir si une AIPD est nécessaire, mais comment la conduire efficacement.

Si votre système d'IA traite des données personnelles et est susceptible d'être classé à haut risque au sens de l'AI Act, une évaluation de conformité AI Act s'ajoute à l'AIPD RGPD. Le diagnostic gratuit AiActo vous permet d'identifier en 3 minutes si vos systèmes sont concernés et quelles obligations s'appliquent.

Comment conduire une AIPD : les 4 étapes structurantes

Le CEPD et la CNIL ont publié des lignes directrices précises sur la méthode à suivre. L'AIPD comprend quatre grandes étapes, qui doivent chacune être documentées.

Étape 1 — Description du traitement et de ses finalités

La première étape consiste à décrire précisément le traitement envisagé : quelles données sont collectées, auprès de qui, pour quelles finalités, par quels moyens techniques, avec quels sous-traitants, pendant combien de temps, avec quels transferts éventuels hors UE. Cette description doit être suffisamment détaillée pour permettre l'évaluation des risques — elle n'est pas une formalité.

Pour les systèmes d'IA, cette étape inclut la description du modèle utilisé, des données d'entraînement si pertinent, des décisions automatisées prises ou influencées par le système, et des mécanismes de supervision humaine en place.

Étape 2 — Évaluation de la nécessité et de la proportionnalité

L'organisation doit démontrer que le traitement est nécessaire et proportionné à la finalité poursuivie. Cela implique de vérifier : l'existence d'une base légale valide (Article 6), la conformité aux principes de minimisation et de limitation des finalités, la pertinence de la durée de conservation, l'information des personnes concernées et les modalités d'exercice de leurs droits, l'existence de mécanismes de contrôle humain si le traitement implique des décisions automatisées.

Pour un système d'IA, cette étape est souvent la plus délicate : il faut démontrer que les données utilisées sont réellement nécessaires aux objectifs du modèle, que des alternatives moins intrusives ont été envisagées, et que les personnes disposent de droits effectifs — y compris le droit à l'intervention humaine prévu par l'Article 22 du RGPD.

Étape 3 — Identification et évaluation des risques

C'est le cœur de l'AIPD. L'organisation doit identifier les risques potentiels pour les droits et libertés des personnes — accès non autorisé aux données, modification non désirée, perte ou destruction, utilisation détournée à des fins non prévues — et les évaluer selon deux dimensions : la vraisemblance du risque et sa gravité potentielle.

La combinaison de ces deux dimensions permet de construire une cartographie des risques et d'identifier ceux qui sont inacceptables en l'état, ceux qui peuvent être réduits à un niveau acceptable, et ceux qui sont déjà maîtrisés. Cette évaluation doit tenir compte des mesures techniques et organisationnelles déjà en place — chiffrement, pseudonymisation, contrôles d'accès, journalisation.

Pour les systèmes d'IA, des risques spécifiques doivent être documentés : biais algorithmiques discriminatoires, opacité des décisions (boîte noire), instabilité du modèle, attaques adversariales, réidentification à partir de données pseudonymisées, dérive du modèle dans le temps.

Étape 4 — Mesures pour traiter les risques et validation

Pour chaque risque identifié comme significatif, l'organisation doit définir des mesures de traitement — techniques ou organisationnelles — permettant de le réduire à un niveau acceptable. Ces mesures doivent être précises, assignées à des responsables et assorties d'un calendrier de mise en œuvre.

Une fois les mesures définies, l'AIPD doit être validée par le DPO, dont l'avis doit être recueilli et documenté. Si des risques résiduels élevés subsistent malgré les mesures, l'organisation est tenue de consulter la CNIL préalablement à la mise en œuvre du traitement (consultation préalable, Article 36 RGPD). Cette consultation n'est pas une simple formalité — la CNIL peut demander des modifications ou s'opposer au traitement.

Le rôle du DPO dans l'AIPD

Le DPO occupe une place centrale dans l'AIPD, définie précisément par le RGPD. L'Article 35, §2 dispose que le responsable de traitement "demande conseil" au DPO lorsqu'il réalise une analyse d'impact. Cet avis doit être documenté dans l'AIPD elle-même, qu'il soit suivi ou non.

Concrètement, le DPO intervient à plusieurs niveaux : il aide à déterminer si une AIPD est nécessaire, conseille sur la méthode à suivre, vérifie la complétude et la qualité de l'analyse, évalue si les mesures de traitement des risques sont suffisantes, et signale si une consultation préalable de la CNIL s'impose.

Ce rôle est consultatif — le DPO n'est pas le "propriétaire" de l'AIPD, qui reste sous la responsabilité du responsable de traitement. Mais son implication effective est une exigence légale, et son absence peut être sanctionnée. Un DPO qui n'a pas été consulté sur une AIPD, ou dont l'avis n'a pas été documenté, constitue une non-conformité en soi.

AIPD et AI Act : deux évaluations à coordonner

Depuis l'entrée en vigueur progressive de l'AI Act, les organisations qui utilisent ou développent des systèmes d'IA traitant des données personnelles se retrouvent face à deux évaluations potentiellement simultanées.

D'un côté, l'AIPD au titre du RGPD (Article 35) — centrée sur les risques pour les droits et libertés des personnes découlant du traitement de leurs données personnelles. De l'autre, l'évaluation de conformité au titre de l'AI Act — centrée sur la conception, la documentation technique et la robustesse du système d'IA lui-même. L'AI Act prévoit également, pour les déployeurs du secteur public utilisant des systèmes à haut risque, une analyse d'impact sur les droits fondamentaux (Article 27), qui se rapproche davantage de l'AIPD dans sa logique.

Ces démarches sont distinctes dans leur forme et leur finalité, mais portent sur des enjeux qui se recoupent — notamment l'identification des risques pour les personnes. Trois principes permettent de les articuler efficacement.

1. Conduire les deux en parallèle — Lorsque les deux évaluations sont nécessaires, les mener simultanément avec les mêmes parties prenantes permet d'identifier les zones de chevauchement, d'éviter les contradictions et de réduire la charge documentaire globale
2. Partager la cartographie des risques — L'identification des risques pour les personnes réalisée dans l'AIPD peut alimenter directement l'analyse des risques requise par l'Article 9 de l'AI Act. Les deux documents peuvent s'appuyer sur les mêmes données de base
3. Clarifier les responsabilités — L'AIPD est pilotée par le DPO ou sous sa supervision. L'évaluation de conformité AI Act relève du responsable conformité IA (ou de son équivalent). Ces deux fonctions doivent être coordonnées, pas cloisonnées

Les erreurs les plus fréquentes

Dans la pratique, les AIPD souffrent souvent des mêmes défauts récurrents, qui en réduisent la valeur et exposent l'organisation en cas de contrôle.

Confondre AIPD et registre des traitements. L'AIPD est une analyse approfondie d'un traitement spécifique à risque élevé. Le registre des traitements (Article 30) est un inventaire de l'ensemble des traitements. Les deux sont obligatoires, mais distincts. Inscrire un traitement dans le registre ne dispense pas d'une AIPD si celle-ci est requise.

Réaliser l'AIPD après la mise en œuvre du traitement. L'AIPD est une évaluation préalable — elle doit être conduite avant que le traitement ne commence. La réaliser a posteriori, même de bonne foi, ne satisfait pas à l'obligation légale et ne protège pas l'organisation si un incident survient entre-temps.

Ne pas consulter le DPO. L'Article 35, §2 impose explicitement de demander conseil au DPO. Omettre cette étape, ou la réduire à une signature pro forma, est une non-conformité documentée que la CNIL peut relever lors d'un contrôle.

Traiter l'évaluation des risques comme une formalité. L'étape d'évaluation des risques est souvent bâclée — risques génériques, vraisemblance et gravité estimées sans justification, mesures de traitement vagues. Une telle AIPD ne résiste pas à l'examen d'un contrôleur et ne protège pas réellement les personnes concernées.

Ne pas mettre à jour l'AIPD. Une AIPD n'est pas un document figé. Elle doit être révisée dès que le traitement évolue de façon significative — nouveaux sous-traitants, nouvelles finalités, nouvelles données collectées, nouvelles technologies utilisées. Pour les systèmes d'IA, la dérive du modèle dans le temps peut elle-même justifier une révision.

Questions fréquentes

Toutes les organisations doivent-elles réaliser des AIPD ?

Toutes les organisations qui réalisent des traitements de données personnelles susceptibles d'engendrer un risque élevé doivent conduire une AIPD pour ces traitements spécifiques — quelle que soit leur taille. La taille de l'organisation n'est pas un critère d'exemption. En revanche, une petite entreprise dont les traitements sont simples et sans risque élevé n'est pas tenue de réaliser des AIPD. C'est la nature du traitement, pas celle de l'organisation, qui détermine l'obligation.

Combien de temps faut-il pour conduire une AIPD ?

La durée varie considérablement selon la complexité du traitement. Une AIPD pour un traitement relativement simple peut prendre 2 à 4 semaines. Pour un système d'IA complexe ou un traitement multi-acteurs avec des transferts hors UE, il faut compter 2 à 3 mois. Les délais sont souvent allongés par le temps nécessaire pour réunir les informations techniques auprès des équipes produit ou des prestataires — raison pour laquelle il faut commencer tôt.

L'AIPD doit-elle être transmise à la CNIL ?

Non, dans la plupart des cas. L'AIPD est un document interne qui doit être conservé et présenté à la CNIL en cas de contrôle. Elle n'est transmise à la CNIL que dans deux cas : en cas de consultation préalable (Article 36) — lorsque des risques résiduels élevés subsistent après les mesures de traitement — et en cas de contrôle par la CNIL qui en fait la demande explicite.

Un prestataire externe peut-il conduire l'AIPD à notre place ?

Oui. Il est tout à fait possible de confier la conduite de l'AIPD à un cabinet spécialisé ou à un DPO externe. Mais la responsabilité de l'AIPD reste celle du responsable de traitement — pas du prestataire. L'organisation doit être suffisamment impliquée pour valider les descriptions, comprendre les risques identifiés et s'engager sur les mesures de traitement. Une AIPD produite entièrement par un tiers et signée sans lecture réelle n'a pas de valeur réelle.

Qu'est-ce que la consultation préalable et quand est-elle obligatoire ?

La consultation préalable (Article 36 RGPD) est une démarche par laquelle l'organisation soumet son AIPD à la CNIL avant de mettre en œuvre un traitement qui présente encore des risques résiduels élevés après les mesures de traitement. La CNIL dispose de 8 semaines (prolongeables à 14) pour rendre un avis. Elle peut formuler des recommandations, demander des modifications ou, dans les cas les plus graves, s'opposer au traitement. Cette procédure est rare en pratique — elle suppose que l'organisation n'ait pas trouvé de mesures permettant de ramener les risques à un niveau acceptable.

Comment l'AIPD s'articule-t-elle avec la documentation technique requise par l'AI Act ?

Les deux documents répondent à des logiques différentes mais complémentaires. L'AIPD se concentre sur les risques pour les personnes liés au traitement de leurs données. La documentation technique AI Act (Annexe IV) porte sur la conception, les performances et la robustesse du système d'IA. Dans la pratique, la section "évaluation des risques" de l'AIPD et le "système de gestion des risques" de l'Article 9 AI Act peuvent partager une base commune. Des outils comme AiActo permettent de structurer la partie AI Act de cette documentation en complément de l'AIPD RGPD.

L'AIPD est l'un des piliers de la conformité RGPD — pas une procédure accessoire. Bien conduite, elle protège réellement les personnes, structure la réflexion sur les risques et constitue une preuve d'accountability solide en cas de contrôle. Mal conduite ou ignorée, elle expose l'organisation à des sanctions et, plus concrètement, laisse des risques réels non traités. RGPDkit vous accompagne dans la structuration et la documentation de vos AIPD — et AiActo prend le relais pour l'évaluation de conformité de vos systèmes d'IA au titre de l'AI Act.