Skip to main content
Fondamentaux RGPD

Qu’est-ce qu’une analyse d’impact dans le cadre du RGPD ?

By 5 décembre 2025No Comments

Une analyse d’impact est un outil essentiel à votre conformité RGPD et à la protection des droits et des libertés des personnes dont vous traitez les données personnelles. Ce guide vous aide à comprendre quand elle est obligatoire et comment la réaliser efficacement.

Ce qu’il faut retenir

  • L’analyse d’impact est à la fois un document d’analyse des risques liés à un traitement et un outil d’évaluation.
  • Elle vérifie la conformité RGPD du projet et la protection des personnes concernées.
  • Elle est obligatoire pour tout traitement de données personnelles susceptible d’entraîner un risque élevé pour les droits et libertés des personnes.

S’appuyer sur un cabinet conseil RGPD comme Lexagone vous permet de transformer vos obligations légales en avantages stratégiques.

PARLER À UN EXPERT

Définition : qu’est une analyse d’impact dans le cadre du RGPD ?

analyse impact rgpd définition min

L’analyse d’impact évalue les risques du traitement permettant notamment de définir les mesures de sécurité appropriées

L’Analyse d’Impact relative à la Protection des Données (abrégée en AIPD) est une évaluation structurée des risques liés à un traitement de données personnelles. Elle vérifie la conformité du traitement au RGPD et le niveau de protection des droits et libertés des personnes concernées.

Les trois étapes d’une analyse d’impact

Une analyse d’impact se fait autant au niveau juridique qu’opérationnel. Elle se déroule en trois parties :

  1. Décrire le traitement: opérations envisagées, finalités, acteurs impliqués, cycle de vie des données,…
  2. Vérifier la conformité juridique : elle rend compte du respect des grands principes du RGPD dans le cadre de la mise en œuvre du traitement (proportionnalité des opérations de traitement au regard des finalités, minimisation des données, information des personnes,…).
  3. Vérifier les mesures de sécurités via la description des mesures de sécurité physiques, techniques, et organisationnelles.
  4. Identifier les risques et définir les mesures de réduction :  établir un plan d’action concret, permettant de limiter les risques (sensibilisation, …) ou de veiller à ce que les mesures déployées pour les limiter soit bien appliquées (audits, …).

La réalisation de ces quatre étapes donne lieu à la rédaction d’un plan d’action reprenant les risques repérés et les mesures envisagées pour y faire face, mais aussi le responsable de l’exécution ainsi que le coût et les délais estimés.

Déterminer si une analyse d’impact est nécessaire ou non

analyse d impact obligatoire min

L’analyse d’impact est obligatoire en cas de risque élevé

Selon l’article 35.1 du RGPD :

« Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires. »

Ainsi, l’analyse d’impact doit être réalisée en amont, dès qu’un traitement est susceptible d’engendrer un risque élevé.

Les critères à considérer

Un risque élevé est présumé si le traitement répond à au moins deux des neuf critères issus des lignes directrices du G29.

  • Évaluation ou notation des personnes (scoring)
  • Décision automatisée ayant des effets significatifs
  • Surveillance systématique
  • Collecte de données sensibles ou hautement personnelles
  • Collecte de données personnelles à grande échelle
  • Croisement de données
  • Traitement de données concernant des personnes vulnérables (enfants, patients, personnes âgées)
  • Usage de nouvelles technologies
  • Exclusion du bénéfice d’un droit ou d’un contrat

La CNIL a également publié des listes des types d’opérations de traitement pour lesquelles l’analyse d’impact est requise ou, au contraire, non requise.

Attention toutefois : même non-soumis à analyse d’impact, un traitement doit respecter les principes de protection des données et les droits des personnes concernées.

Exemples de cas où l’analyse d’impact est nécessaire

Exemple 1 : système de géolocalisation des salariés

Un employeur a pour projet de mettre en place un système de géolocalisation systématique des véhicules utilisés par ses employés pour les interventions.

Ce traitement implique une surveillance systématique, concerne des salariés (considérés comme des personnes vulnérables en raison de la relation de subordination) et peut porter sur une collecte à grande échelle.

  • Une analyse d’impact s’impose pour évaluer l’atteinte à la vie privée et vérifier la proportionnalité du dispositif.

Exemple2 : plateforme de notation pour l’octroi de crédit

Un établissement financier met en place une plateforme utilisant des algorithmes pour attribuer un score de solvabilité à ses clients potentiels.

La mise en place d’une telle plateforme implique l’évaluation des personnes, repose sur une décision automatisée produisant des effets significatifs (octroi ou refus de crédit) et peut entraîner l’exclusion d’un service essentiel.

  • Une analyse d’impact est indispensable pour vérifier l’équité du modèle, prévenir les risques de discrimination et garantir à la personne de pouvoir obtenir une intervention humaine et une explication de la décision.

Se faire accompagner dans la mise en place et le suivi de son analyse d’impact

accompagnement analyse d impact rgpd min

Un accompagnement expert vous aide à protéger durablement vos données et votre organisation

La CNIL met à disposition des responsables de traitement une méthode et un logiciel open source (outil PIAPrivacy Impact Assessment) dont l’objectif et de faciliter la conduite et la réalisation d’analyses d’impact telles que prévues par le RGPD. Un accompagnement personnalisé peut néanmoins grandement faciliter la démarche et apporter un regard nouveau lors de l’analyse du traitement.

Les experts RGPD de Lexagone réalisent vos AIPD/PIA avec la méthode EBIOS RM, développée par l’ANSSI et recommandée par la CNIL. Vous vous assurez ainsi de réaliser une analyse d’impact robuste, qui vous aide à renforcer la sécurité de vos systèmes d’information, à protéger les droits des personnes et à respecter la réglementation.

PARLER À UN EXPERT

Questions fréquentes

Quelle est la différence entre AIPD et PIA ?

Les acronymes AIPD (Analyse d’Impact relative à la Protection des données) et PIA (Privacy Impact Assessment) sont synonymes. On parle également parfois d’EIVP (Étude d’Impact sur la Vie Privée) ou de DPIA (Data Protection Impact Assessment).

Quelles sont les risques en cas de manquements aux dispositions relatives aux analyses d’impact ?

La sanction administrative peut s’élever jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus haut étant retenu.

Quand mettre à jour une analyse d’impact ?

La CNIL recommande de mettre à jour une analyse d’impact à chaque changement significatif du traitement ou de la réglementation, et a minima tous les trois ans.

Author Julie FERLIN

Consultante RGPD, Julie capitalise plusieurs années d’expérience au sein du cabinet Lexagone, où elle accompagne des organisations variées — secteur médico-social, médical et privé — dans leur démarche de conformité, de l’audit initial à l’accompagnement opérationnel quotidien. Elle intervient également sur des missions ponctuelles à forte expertise, telles que les analyses d’impacts.

More posts by Julie FERLIN