L’analyse d’impact (AIPD) n’est pas necessaire pour tous les traitements de donnees personnelles. En revanche, certains traitements l’exigent obligatoirement. Comment savoir si vous etes concerne ? La CNIL et le CEPD ont defini 9 criteres precis pour vous guider en 2025.
Le principe : risque eleve pour les personnes
L’article 35 du RGPD impose la realisation d’une AIPD lorsqu’un traitement est « susceptible d’engendrer un risque eleve pour les droits et libertes des personnes physiques ». Cette notion de risque eleve est le declencheur. Mais comment l’evaluer concretement ? C’est la que les 9 criteres interviennent.
Les 9 criteres du CEPD (ex-G29)
Critere 1 : Evaluation ou scoring
Ce critere vise les traitements qui evaluent des aspects personnels : notation de credit, profilage comportemental, evaluation des performances professionnelles. Des qu’un traitement attribue un « score » a une personne, ce critere est rempli.
Critere 2 : Decision automatisee avec effet significatif
Les decisions prises de maniere automatisee sans intervention humaine et produisant des effets sur les personnes declenchent ce critere. Exemples : refus automatique de credit, tri automatique de candidatures, tarification personnalisee automatique.
Critere 3 : Surveillance systematique
La surveillance a grande echelle d’un espace public ou d’un comportement repond a ce critere : videosurveillance, geolocalisation des vehicules, surveillance des communications electroniques, analyse des flux de personnes.
Critere 4 : Donnees sensibles ou hautement personnelles
Le traitement de donnees de sante, opinions politiques, appartenance syndicale, donnees biometriques, donnees penales ou encore donnees de localisation est concerne. Ces categories de donnees meritent une protection renforcee.
Critere 5 : Traitement a grande echelle
Le volume de donnees, le nombre de personnes concernees, la couverture geographique et la duree du traitement sont evalues. Un fichier national de patients ou une base marketing de millions de contacts repondent a ce critere.
Critere 6 : Croisement de jeux de donnees
Combiner des donnees issues de sources differentes (enrichissement de base, rapprochement de fichiers) augmente les risques car les personnes ne s’attendent pas necessairement a ce croisement.
Critere 7 : Personnes vulnerables
Lorsque les personnes concernees sont en situation de vulnerabilite : enfants, patients, personnes agees, salaries, demandeurs d’asile. Le desequilibre de pouvoir rend l’exercice de leurs droits plus difficile.
Critere 8 : Usage innovant de technologies
L’utilisation de nouvelles technologies comme l’intelligence artificielle, la reconnaissance faciale, l’Internet des objets ou la blockchain pour traiter des donnees personnelles declenche ce critere.
Critere 9 : Blocage d’un droit ou d’un acces
Quand le traitement peut empecher les personnes d’exercer un droit ou d’acceder a un service : refus d’acces a un batiment, exclusion d’un service public, interdiction de contracter.
La regle des 2 criteres
En pratique, si votre traitement remplit au moins 2 de ces 9 criteres, une AIPD est generalement necessaire. Un seul critere peut suffire dans certains cas, mais la combinaison de 2 criteres est l’indicateur le plus fiable.
La liste de la CNIL : 14 traitements necessitant une AIPD
La CNIL a publie une liste de 14 types de traitements pour lesquels l’AIPD est obligatoire : donnees de sante a grande echelle, profilage de personnes physiques, videosurveillance intelligente, traitement de donnees biometriques pour le controle d’acces, entre autres. Consultez cette liste sur le site de la CNIL pour verifier si votre traitement y figure.
Cas pratiques : AIPD necessaire ou non ?
Un medecin liberal gerant les dossiers de ses patients : pas d’AIPD necessaire (pas de grande echelle). Un hopital mettant en place un dossier patient informatise : AIPD obligatoire (donnees de sante a grande echelle). Une PME utilisant un CRM classique : pas d’AIPD. Une plateforme de e-commerce avec profilage et recommandations personnalisees : AIPD necessaire.
Conclusion
Les 9 criteres du CEPD offrent un cadre clair pour determiner si votre traitement necessite une AIPD. En cas de doute, il est toujours preferable de realiser l’analyse : mieux vaut une AIPD de trop qu’une AIPD manquante en cas de controle de la CNIL en 2025.
