Une AIPD est-elle obligatoire pour ma PME ?

Probablement pas pour vos traitements standards (gestion clients, administration du personnel, comptabilité). Une AIPD devient obligatoire pour les traitements à haut risque, comme le profilage à grande échelle, la surveillance systématique ou le traitement à grande échelle de catégories spéciales de données.

Que se passe-t-il si je ne réalise pas d'AIPD alors que c'est obligatoire ?

L'autorité de contrôle peut imposer une amende. En pratique, c'est aussi un risque pour votre organisation : sans AIPD, vous n'avez pas cartographié les risques et prenez peut-être des mesures insuffisantes.

Puis-je réaliser moi-même une AIPD ?

Oui, le RGPD ne prescrit pas de format spécifique. Vous pouvez réaliser une AIPD vous-même avec un modèle. Pour les traitements complexes, il est toutefois judicieux de demander conseil à un spécialiste de la vie privée.

Combien de temps prend une AIPD ?

Cela dépend de la complexité du traitement. Une AIPD simple pour un seul traitement peut être réalisée en quelques heures. Pour des systèmes complexes, cela peut prendre des semaines.

AIPD Analyse d'Impact - Quand est-elle Obligatoire ?

Une AIPD (Analyse d'Impact relative à la Protection des Données) n'est obligatoire que pour les traitements à haut risque. Cet article explique quand vous en avez besoin, quand non, et comment la réaliser.

Qu’est-ce qu’une AIPD ?

Une AIPD (Analyse d’Impact relative à la Protection des Données), en anglais “Data Protection Impact Assessment” (DPIA), est une évaluation des risques qu’un traitement de données personnelles fait peser sur les personnes concernées. Le RGPD l’exige à l’article 35 pour les traitements présentant un risque élevé pour les droits et libertés des personnes physiques.

En termes simples : vous évaluez à l’avance si un traitement peut causer des problèmes pour les personnes dont vous traitez les données, et ce que vous faites pour limiter ces risques.

Quand une AIPD est-elle obligatoire ?

Le RGPD cite trois situations où une AIPD est toujours requise :

1. Profilage systématique et approfondi avec des effets significatifs Par exemple : une banque qui décide automatiquement des demandes de crédit sur la base de données de profil, ou un assureur qui calcule des primes sur la base d’une analyse comportementale approfondie.

2. Traitement à grande échelle de catégories spéciales de données Les catégories spéciales comprennent les données de santé, les données biométriques, les données sur la race ou la religion, et les données relatives aux condamnations pénales. Un hôpital gérant des dossiers de patients en relève. Une PME qui sait fortuitement qu’un employé est diabétique, non.

3. Surveillance systématique à grande échelle d’espaces accessibles au public L’exemple classique est un système de vidéosurveillance étendu dans un centre commercial ou un centre-ville.

De plus, les autorités de contrôle publient des listes de traitements pour lesquels une AIPD est obligatoire. Celles-ci incluent généralement :

Utilisation de données biométriques pour l’identification
Fusion de bases de données de différentes sources
Surveillance systématique des employés
Traitement à grande échelle de données de personnes vulnérables (enfants, personnes âgées, patients)

Quand n’avez-vous PAS besoin d’une AIPD ?

La plupart des PME effectuent des traitements standards qui ne présentent pas de risque élevé. Quelques exemples :

Gestion de clients dans un CRM - vous stockez des coordonnées et un historique de commandes. Pas de catégories spéciales, pas de profilage. Pas d’AIPD nécessaire.
Administration du personnel - nom, adresse, données salariales, contrats. Traitement standard. Pas d’AIPD nécessaire.
Envoi de newsletters - adresses e-mail avec consentement. Pas d’AIPD nécessaire.
Comptabilité et facturation - données de facturation de clients et fournisseurs. Pas d’AIPD nécessaire.
Quelques caméras de sécurité dans vos locaux, tant que ce n’est pas à grande échelle et systématique. Généralement pas d’AIPD nécessaire (mais pour des installations plus importantes, consultez notre guide sur la vidéosurveillance).

La règle de base : si vous traitez des données d’une manière comparable à ce que font des milliers d’autres PME, il est peu probable que vous ayez besoin d’une AIPD.

Comment réaliser une AIPD ?

Si vous devez réaliser une AIPD, suivez ces étapes :

Étape 1 : Décrire le traitement

Documentez :

Quelles données personnelles vous traitez
La finalité
La base juridique (par ex. intérêt légitime, consentement)
Qui a accès
La durée de conservation des données
La technologie utilisée

Étape 2 : Évaluer la nécessité et la proportionnalité

Posez-vous ces questions :

Ce traitement est-il vraiment nécessaire pour la finalité ?
Puis-je atteindre la finalité avec moins de données ou une méthode moins intrusive ?
La durée de conservation n’est-elle pas plus longue que nécessaire ?

Étape 3 : Identifier les risques

Examinez les risques du point de vue de la personne concernée, pas de votre organisation. Considérez :

Que se passe-t-il si les données fuitent ? Quelle est la gravité pour la personne concernée ?
Que se passe-t-il si les données sont inexactes ? Quelles en sont les conséquences ?
Les personnes concernées ont-elles un contrôle suffisant sur leurs données ?

Étape 4 : Déterminer les mesures

Pour chaque risque, déterminez les mesures à prendre pour le limiter :

Mesures techniques (chiffrement, contrôle d’accès, pseudonymisation)
Mesures organisationnelles (formations, procédures, contrats)
Limitations du traitement lui-même (moins de données, durée de conservation plus courte)

Étape 5 : Documenter et maintenir

Consignez tout dans un document. Une AIPD n’est pas un exercice ponctuel ; vous devez la mettre à jour lorsque le traitement change, lorsque de nouveaux risques apparaissent ou lorsque la technologie évolue.

Conseils pratiques pour les PME

Consultez la liste de l’autorité de contrôle - vérifiez si vos traitements figurent sur la liste obligatoire
Commencez par votre registre des traitements - s’il est en ordre, vous pouvez rapidement identifier les traitements qui pourraient nécessiter une AIPD
Utilisez un modèle - pas besoin de réinventer la roue. Les autorités de contrôle fournissent des modèles
Demandez conseil en cas de doute - si vous n’êtes pas sûr d’avoir besoin d’une AIPD, mieux vaut en réaliser une que de l’ignorer

auto_awesome Savez-vous si vous avez besoin d'une AIPD ?

GDPRWise analyse vos activités de traitement et vous donne une réponse claire : AIPD nécessaire ou non. Et si c'est le cas, nous vous aidons à démarrer.

Lancer votre scan gratuit

AIPD : Quand une Analyse d'Impact est-elle Obligatoire ?