Analyse d'impact relative à la protection des données

Avant de lancer un traitement de données à caractère personnel vous devez vérifier, en tant que responsable du traitement, si celui-ci présente ou non un risque élevé pour les libertés et droits des personnes concernées. Auquel cas, vous êtes tenu de réaliser une AIPD préalablement au lancement de votre traitement, dont le résultat peut également aboutir à la conclusion qu’une consultation préalable de l’APD est nécessaire.


Parmi les obligations imposées au responsable du traitement, l’article 35 du RGPD impose qu’une analyse d’impact relative à la protection des données soit effectuée avant le traitement lorsque ce dernier est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Cette procédure permet d’évaluer à la fois les risques encourus et  la manière dont ils peuvent être maîtrisés.

Votre AIPD soumet votre projet de traitement à une évaluation des risques élevés potentiels que celui-ci peut présenter envers les personnes concernées, au regard de l’ensemble des droits et libertés dont celles-ci disposent. Une seule et même AIPD peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires. Vous devez évaluer la probabilité et la gravité particulières du risque élevé compte tenu de la nature, de la portée, du contexte et des finalités du traitement et des sources du risques. Votre AIPD devrait comprendre, notamment, les mesures, garanties et mécanismes envisagés pour atténuer ce risque, assurer la protection des données à caractère personnel et démontrer le respect du RGPD.

Pour réaliser votre AIPD, faites-vous aider, le cas échéant, par votre DPO mais également, lorsque cela le requiert, demandez l’avis des personnes concernées ou de leurs représentants au sjet du traitement prévu.

Afin de savoir si vous devez ou non procéder à une AIPD, vous devez tenir compte, notamment, des types et du nombre de données à caractère personnel, des catégories et du nombre de personnes concernées, de la nature, du contexte, de la portée et de la finalité du traitement, du recours à de nouvelles technologies et des catégories de personnes pouvant y avoir accès. 

Vous pouvez soumettre l’ensemble de vos projets de traitements de données à caractère personnel à une AIPD, par mesure de précaution et de documentation de vos activités de traitements.

Vous y serez toutefois tenus dans 3 cas de figure.

Tout d’abord, au regard de l’article 35.3 du RGPD, si votre projet de traitement implique :

  • une évaluation d’aspects personnels tel que le profilage suivi d’une décision concernant la personnes physique concernée,
  • un traitement à grande échelle de catégories particuloères de données relevant des articles 9 ou 10 du RGPD,
  • une surveillance systématique à grande échele d’une zone accessible au public.

Ensuite, si votre projet de traitement figure dans la liste des opérations de traitement devant faire l’objet d’une AIPD, adoptée par l’APD confomément à l’article 35.4 du RGPD.

Enfin,  si votre projet de traitement ne figure pas dans les liste sde catégories de traitement ci-dessus, il devra tout même faire l’objet d’une AIPD préalable s’il rencontre les critères édictés par le Groupe de Travail Article 29 pour déterminer le caractère à haut risque d’un traitement pour les droits et libertés des personnes concernées.

Vous êtes tenus de consulter l’APD préalablement au lancement de votre traitements si votre AIPD révèle un risque résiduel élevé.

Tous les traitements faisant l’objet d’une AIPD préalable ne doivent pas être soumis à l’avis préalable de l’autorité de protection des données.

Vous devez consulter l’APD, préalablement au lancement de votre traitement, lorsque votre AIPD indique que le traitement en projet présente un risque élevé résiduel. Un tel risque existe lorsque il demeure présent en dépit des mesures que vous avez mis ou aller mettre en place pour atténuer le risque.

Il vous appartient de compléter le formulaire de demande de consultation réservé à cet effet en fournissant à l’APD l’ensemble des informations utiles à son analyse. L’APD se prononcera par voie d’avis quant au risque(s) identifié(s) et aux mesures proposée(s) au regard du traitement envisagé.

Liens intéressants