Qu’est ce que l’Analyse d’Impact sur la Protection des Données
Rendue obligatoire pour certains traitements par l’article 35 du Réglement Général sur la Protection des Données, l’Analyse d’Impact sur la Protection des Données (parfois abrégée AIPD / EIVP / PIA) est une analyse poussée de la conformité du traitement au RGPD et de la sécurité des données traitées.
Quels objectifs ?
L’AIPD permet d’analyser la conformité et la sécurité du traitement au RGPD afin de garantir le respect des droits des personnes concernées.
Ainsi, les analyses portent tout autant sur le traitement (fondement, données traitées, finalités) que sur son contexte et les risques qu’il fait peser sur les personnes.
L’AIPD est-elle obligatoire ?
Cela dépend des traitements.
Le RGPD impose la réalisation d’une AIPD au moins pour les traitements de données sensibles à grande échelle, les traitements de surveillance systématique et à grande échelle d’une zone accessible au public, ainsi que les traitements automatisés de profilage.
Il laisse aussi la possibilité aux autorités publiques d’ajouter des critères, ou de dresser des listes de traitements pour lesquels l’AIPD est obligatoire.
La Commission Nationale Informatique et Libertés a, pour sa part, défini 3 listes :Â
 – une liste de 9 critères (certains étant cumulatifs) permettant d’identifier si un traitement doit faire l’objet d’une AIPD ;Â
 – une liste de traitements devant obligatoirement faire l’objet d’une AIPD ;
 – une liste de traitements pour lesquels la réalisation d’une AIPD n’est jamais nécessaire.Â
De plus, les AIPD doivent être revues tous les 3 ans tant que le traitement des données est mis en œuvre.
Qui réalise l’AIPD ?
L’article 35 du RGPD prévoit que la réalisation de l’AIPD est à la charge du Responsable de traitement. Le Responsable de traitement associe à l’AIPD le Délégué à la Protection des Données (lorsqu’il en a désigné un), et, lorsque nécessaire, les sous-traitants
Attention, l’AIPD n’est pas uniquement l’affaire du Délégué à la Protection des Données ou du service juridique de l’organisme.
Les responsables métiers et / ou un responsable de la sécurité informatique sont parfois appelés à compléter une partie de l’analyse à l’aide de leurs connaissances du traitement.
Découvrez nos offres de formation AIPD / PIA
 Apprenez quels traitements doivent faire l’objet d’une AIPD.
 Apprenez pas à pas à réaliser une AIPD.
 Gagnez en temps en utilisant le logiciel PIA de la CNIL.
Démarrez dès maintenant avec Datanaos
Vous pouvez essayer gratuitement nos produits, et nous sommes là pour répondre à toutes vos questions. Vérifiez par vous-mêmes comment nous vous assistons dans la gestion de votre conformité !