Skip to Content

Chapitre 11.3 — L’AIPD / DPIA (art. 35)

⏱️ TL;DR — L’AIPD (analyse d’impact relative à la protection des données, DPIA en anglais) est une étude formelle obligatoire quand un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes — typiquement : nouvelles technologies, surveillance à grande échelle, données sensibles à grande échelle, ou données de personnes vulnérables comme les mineurs. Pour savoir si elle s’impose, on croise la liste de la CNIL, les situations citées par l’article 35 et les 9 critères du CEPD (deux critères réunis, on la mène). La méthode tient en quatre temps : décrire, évaluer nécessité et proportionnalité, apprécier les risques, définir les mesures. La CNIL fournit un logiciel, l’outil PIA. Et si, malgré les mesures, un risque résiduel élevé demeure : consultation préalable de la CNIL (art. 36) avant de démarrer.

🎯 Objectifs

  • Savoir quand une AIPD est obligatoire (article 35, liste CNIL, critères CEPD).
  • Reconnaître les facteurs de risque élevé : mineurs, sensibles, grande échelle, surveillance.
  • Mener une AIPD selon sa méthode en quatre temps et avec l’outil PIA de la CNIL.
  • Savoir déclencher la consultation préalable (art. 36) en cas de risque résiduel élevé.

Qu’est-ce qu’une AIPD, et pourquoi

Une AIPD est une étude documentée qui décrit un traitement, évalue s’il est nécessaire et proportionné, identifie les risques qu’il fait peser sur les personnes, et liste les mesures pour les réduire. Ce n’est pas de la paperasse défensive : c’est la manière structurée de penser un traitement risqué avant de le construire — l’incarnation la plus poussée de la privacy by design (chapitre 11.2).

Elle n’est pas requise pour tout. Elle l’est quand le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. Toute la difficulté est de savoir reconnaître ce « risque élevé ».

Quand une AIPD est-elle obligatoire ?

Trois sources se combinent :

1. Les situations citées par l’article 35. L’article 35 nomme lui-même trois cas où l’AIPD est requise :

  • une évaluation systématique et approfondie d’aspects personnels par un traitement automatisé (profilage) qui fonde des décisions produisant des effets juridiques ou similaires ;
  • un traitement à grande échelle de données sensibles (art. 9) ou de données pénales (art. 10) ;
  • une surveillance systématique à grande échelle d’une zone accessible au public.

2. La liste de la CNIL. La CNIL publie une liste des types de traitements pour lesquels une AIPD est obligatoire (et, à l’inverse, une liste de ceux qui en sont dispensés). On la consulte avant de décider.

3. Les 9 critères du CEPD. Les lignes directrices du CEPD posent neuf critères de risque élevé. La règle pratique : dès que le traitement en réunit au moins deux, l’AIPD est en principe nécessaire. En voici plusieurs :

Critère CEPDExemple
Évaluation / scoring (profilage, prédiction)Prédire la réussite ou le décrochage d’un élève
Décision automatisée à effet juridique ou significatifOrientation automatique sans intervention humaine
Surveillance systématiqueSuivi continu de l’activité des apprenants
Données sensibles ou hautement personnellesAménagements de santé, art. 9
Données à grande échelleDes milliers d’élèves de plusieurs établissements
Croisement de jeux de donnéesFusionner scolarité et comportement de navigation
Personnes vulnérablesMineurs, patients, salariés
Usage innovant / nouvelles technologiesUn modèle d’IA de correction
Le traitement empêche d’exercer un droit ou d’accéder à un serviceRefus d’accès fondé sur un score

⚠️ Piège — Croire qu’une AIPD n’est requise que pour de la vidéosurveillance ou du « big data ». Pour une EdTech, deux critères sont souvent réunis d’emblée : on traite des mineurs (personnes vulnérables) à grande échelle, parfois avec des données de santé et un modèle d’IA. Ne pas mener l’AIPD alors qu’elle s’imposait est un manquement en soi — et prive de l’analyse de risque qui aurait évité l’incident.

Faut-il une AIPD ? L’arbre de décision

📚 Le texte — L’AIPD est l’objet de l’article 35 ; le cas particulier du risque résiduel élevé, celui de l’article 36 (consultation préalable). Le socle méthodologique vient des lignes directrices du CEPD (les 9 critères) et de la liste de la CNIL. Ne pas mener une AIPD obligatoire relève du premier palier de sanctions (jusqu’à 10 M€ ou 2 %, art. 83).

La méthode : quatre temps

Quelle que soit l’outil, une AIPD suit toujours la même structure :

  1. Décrire le traitement : finalités, données, personnes concernées, destinataires, durées, flux — bref, la fiche de registre (chapitre 11.1), en plus détaillé, avec le contexte et les enjeux.
  2. Évaluer la nécessité et la proportionnalité : le traitement est-il justifié au regard de la finalité ? Les données sont-elles minimisées ? La base légale, l’information, les droits, les durées sont-ils en place ? (les fondamentaux, art. 5 et 6.)
  3. Apprécier les risques pour les personnes : pour chaque scénario redouté (accès illégitime, modification, disparition des données), estimer la gravité et la vraisemblance, et identifier les sources de risque.
  4. Définir les mesures qui réduisent chaque risque (techniques et organisationnelles), puis réévaluer le risque résiduel.

💡 Réflexe — L’AIPD n’est pas un document qu’on fige et qu’on classe. C’est un cycle : on la révise quand le traitement évolue (nouvelle source de données, nouveau sous-traitant, nouveau modèle d’IA). Associe le DPO (pour avis) et, quand c’est pertinent, recueille le point de vue des personnes concernées ou de leurs représentants. Une AIPD vivante prévient les incidents ; une AIPD morte ne prouve qu’une chose : qu’on avait vu venir et rien fait.

L’outil PIA de la CNIL

La CNIL met à disposition un logiciel libre et gratuit, l’outil PIA, qui guide pas à pas à travers les quatre temps, propose des bases de connaissances (mesures, risques) et produit un rapport exploitable. Pour un dev, c’est le point de départ concret : il structure l’analyse sans qu’on parte d’une page blanche, et le rapport devient une pièce de la preuve d’accountability.

La consultation préalable (art. 36)

L’AIPD peut aboutir à un risque résiduel élevé : malgré toutes les mesures envisagées, le traitement reste risqué pour les personnes. Dans ce cas — et seulement ce cas — il faut consulter la CNIL avant de démarrer (art. 36). La CNIL peut alors formuler des recommandations, voire s’opposer au traitement. La consultation préalable n’est donc pas la règle : c’est le signal que les mesures ne suffisent pas et qu’il faut l’avis de l’autorité avant de mettre en production.

🧭 Sur FormaCampus — Deux traitements déclenchent clairement une AIPD. La scolarité : mineurs (vulnérables) + grande échelle + données de santé (aménagements) = plusieurs critères réunis, AIPD obligatoire. La correction assistée par IA : usage innovant (nouvelle technologie) + données d’apprenants dont des mineurs, avec un risque de profilage implicite — AIPD également, et vigilance particulière sur l’intervention humaine et la transparence. En revanche, la simple gestion des comptes ou le support ne réunissent, à eux seuls, pas assez de critères : on documente le raisonnement, sans mener d’AIPD complète. On détaille tout ça à l’atelier (chapitre 11.5).

✏️ Exercices

Exercice 1 — AIPD ou pas ? Pour chaque traitement, dis s’il exige (probablement) une AIPD, et cite les critères : (a) un LMS qui suit les résultats de 20 000 élèves mineurs de plusieurs collèges ; (b) le carnet d’adresses interne des 12 salariés de l’entreprise ; (c) un module d’IA qui prédit le risque de décrochage à partir du comportement des apprenants.

✅ Solution

(a) Ouimineurs (personnes vulnérables) + grande échelle + potentiellement données de santé : au moins deux critères CEPD, AIPD obligatoire. (b) Non — pas de grande échelle, pas de données sensibles, pas de profilage : on documente le raisonnement, sans AIPD complète. (c) Ouiévaluation / scoring (prédiction), usage innovant (IA), personnes vulnérables (apprenants, dont mineurs) : plusieurs critères, AIPD requise, avec une attention forte à l’intervention humaine (art. 22) et à la transparence.

Exercice 2 — Déroule la méthode. Tu dois mener l’AIPD du module d’IA de correction. Cite, pour chacun des quatre temps, une question ou une action clé.

✅ Solution

1. Décrire : quelles données le modèle voit-il, pour quelle finalité, avec quel sous-traitant d’IA, où sont-elles traitées (transferts ?), combien de temps ? 2. Nécessité / proportionnalité : la correction par IA est-elle proportionnée, les données minimisées, une base légale et une information en place, une intervention humaine garantie ? 3. Risques : que se passe-t-il si le modèle réutilise les copies pour s’entraîner, ou si une correction erronée pénalise un élève ? gravité et vraisemblance de chaque scénario. 4. Mesures : pas d’entraînement sur les données sans base, revue humaine des corrections, DPA avec le fournisseur d’IA, puis réévaluation du risque résiduel — et consultation de la CNIL (art. 36) s’il reste élevé.

🧠 Quiz de révision

1. Quand une AIPD est-elle obligatoire ?

Quand un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés. On le détermine en croisant les situations de l’article 35 (profilage à effet juridique, données sensibles à grande échelle, surveillance systématique à grande échelle), la liste de la CNIL, et les 9 critères du CEPD (deux critères réunis, on la mène).

2. Cite trois facteurs de « risque élevé » fréquents.

Par exemple : traitement de personnes vulnérables (mineurs), traitement de données sensibles à grande échelle (santé), surveillance systématique, évaluation / scoring (profilage), usage innovant ou nouvelles technologies (IA), grande échelle. Deux de ces critères réunis suffisent en général à imposer une AIPD.

3. Quelles sont les quatre étapes d’une AIPD ?

Décrire le traitement ; évaluer sa nécessité et sa proportionnalité ; apprécier les risques pour les personnes (gravité et vraisemblance des scénarios) ; définir les mesures de réduction, puis réévaluer le risque résiduel. C’est un cycle qu’on révise quand le traitement évolue.

4. Qu’est-ce que l’outil PIA de la CNIL ?

Un logiciel libre et gratuit de la CNIL qui guide la conduite d’une AIPD à travers ses quatre étapes, propose des bases de connaissances (risques, mesures) et produit un rapport. C’est un point de départ concret et une pièce de la preuve d’accountability.

5. Que faire s’il reste un risque résiduel élevé après l’AIPD ?

Déclencher la consultation préalable de la CNIL (art. 36) avant de démarrer le traitement. La CNIL peut recommander des mesures ou s’opposer au traitement. C’est l’exception, pas la règle : elle signale que les mesures envisagées ne suffisent pas à ramener le risque à un niveau acceptable.


Chapitre suivant : Gouvernance & culture conformité — registre, privacy by design et AIPD ne tiennent que s’ils s’inscrivent dans une organisation. On voit les rôles, les procédures et la revue qui font de la conformité un processus continu.

Last updated on