RGPD - ARTICLE 35 - ANALYSE D'IMPACT (AIPD)

Votre AIPD conforme
à la méthode CNIL

Le RGPD impose une Analyse d'Impact relative à la Protection des Données pour tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. SYAGA DPIA-Express structure et documente votre AIPD selon la méthodologie de l'article 35 et les lignes directrices du CEPD, sans improvisation et sans jargon.

35
Article RGPD (AIPD)
9
Critères CEPD (WP248 rev.01)
3
Cas d'obligation (art. 35.3)
4
Volets de méthode (art. 35.7 a-d)

L'obligation

Déterminer si votre traitement doit faire l'objet d'une AIPD, puis la conduire dans les règles

L'article 35 du RGPD impose une AIPD

Tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques doit faire l'objet d'une Analyse d'Impact relative à la Protection des Données avant sa mise en œuvre (RGPD, art. 35).

📋

La règle CNIL des « 2 critères sur 9 »

Le CEPD (ex-G29, lignes directrices WP248 rev.01) a défini 9 critères de risque élevé. Dès qu'un traitement remplit au moins deux de ces critères, une AIPD doit en principe être menée : une seule pièce mal identifiée, et le dossier est incomplet.

🔍

Des listes CNIL à confronter article par article

La CNIL publie des listes de traitements pour lesquels l'AIPD est requise ou non requise. Déterminer où se situe précisément votre traitement demande une lecture rigoureuse, pas une impression générale.

Sans méthode, le risque est double

Conduire une AIPD trop vite l'expose à l'incomplétude devant une autorité de contrôle ; ne pas la conduire quand elle est requise expose l'organisation à un manquement à l'article 35. La méthode CNIL structure ce choix et le documente.

La méthode : DPIA-Express

La structure imposée par l'article 35.7 du RGPD, appliquée à votre traitement, avec une conclusion motivée à chaque étape

1
Détermination de l'obligation

Votre traitement est-il vraiment soumis à l'AIPD ?

Analyse contre les 3 cas de l'article 35.3, la grille des 9 critères du CEPD (WP248 rev.01) et les listes CNIL des traitements requis ou non requis. Conclusion motivée, que l'AIPD soit finalement obligatoire ou non.

2
Art. 35.7.a

Description systématique du traitement

Finalités, catégories de données et de personnes concernées, destinataires, durées de conservation : la cartographie complète exigée par l'article 35.7.a, cohérente avec votre registre des activités de traitement (art. 30).

3
Art. 35.7.b

Nécessité et proportionnalité

Vérification que chaque donnée collectée est nécessaire à la finalité poursuivie, que la base légale (art. 6) est identifiée pour chaque traitement, et que le principe de minimisation (art. 5.1.c) est respecté.

4
Art. 35.7.c

Évaluation des risques pour les personnes

Pour chaque risque identifié : gravité, vraisemblance, mesures déjà en place, risque résiduel, présenté sous forme de tableau exploitable par votre direction ou votre DPO.

5
Art. 35.7.d et 5.2

Mesures et conclusion documentée

Mesures techniques et organisationnelles envisagées (art. 32), conclusion motivée et justification documentée au titre de l'accountability (art. 5.2), mobilisable en cas de contrôle de la CNIL.

Ce que vous recevez

Un document structuré, sourcé, et honnête sur ce qui reste à valider par votre juriste ou votre DPO

📝

Rapport AIPD structuré

Le document complet suivant l'article 35.7 (a à d), avec une conclusion motivée.

  • Description systématique du traitement
  • Analyse de nécessité et proportionnalité
  • Tableau des risques (gravité/vraisemblance/mesures)
  • Conclusion et justification documentée (art. 5.2)

Grille de détermination

L'analyse préalable qui tranche si votre traitement entre dans le champ de l'obligation.

  • Les 3 cas de l'article 35.3
  • Les 9 critères CEPD (WP248 rev.01)
  • Confrontation aux listes CNIL
  • Conclusion motivée et sourcée
📁

Cohérence registre art. 30

L'AIPD s'appuie sur le même socle que votre registre des activités de traitement.

  • Finalités et bases légales
  • Catégories de données et de personnes
  • Destinataires et sous-traitants
  • Durées de conservation par catégorie
🚩

Points à valider par votre juriste/DPO

Chaque point d'incertitude est signalé explicitement, jamais tranché à votre place.

  • Qualification responsable / sous-traitant
  • Bases légales par finalité
  • Transferts hors UE identifiés
  • Désignation d'un DPO (art. 37), le cas échéant
🔗

Sources et traçabilité

Chaque affirmation juridique est sourcée, pas affirmée de mémoire.

  • Texte consolidé RGPD (CELEX 32016R0679)
  • Pages et listes CNIL (AIPD, registre)
  • Lignes directrices CEPD (WP248 rev.01)
  • URL vérifiables citées dans le document
📄

Document éditable

Remis dans un format éditable, réutilisable par votre DPO ou votre juriste.

  • Structure conforme à l'article 35.7
  • Réutilisable pour vos futurs traitements
  • Prêt à être complété avant validation finale
  • Aucune mise en forme figée imposée

Références utilisées

Une méthode qui s'appuie sur les textes et les autorités, pas sur des interprétations maison

35

RGPD - Article 35

Analyse d'impact relative à la protection des données. Texte consolidé du Règlement (UE) 2016/679 (EUR-Lex, CELEX 32016R0679).

CEPD

Lignes directrices WP248 rev.01

Les 9 critères de risque élevé du CEPD (ex-G29), repris par la CNIL comme méthode de référence pour déterminer l'obligation d'AIPD.

CNIL

Listes et méthode CNIL

Listes des traitements pour lesquels l'AIPD est requise ou non requise, et méthode CNIL de conduite d'une analyse d'impact.

30

RGPD - Article 30

Registre des activités de traitement : le socle de cohérence (finalités, données, durées) sur lequel s'appuie toute AIPD.

Une AIPD sur mesure, sans prix caché

Le périmètre dépend du nombre de traitements, de leur complexité et de ce qui est déjà documenté chez vous. Devis établi après un premier échange.

Détermination d'obligation

Vous ne savez pas si votre traitement est concerné

Sur devis
selon le nombre de traitements à analyser
  • Grille des 9 critères CEPD
  • Confrontation à l'article 35.3
  • Vérification des listes CNIL
  • Conclusion motivée et sourcée
Demander un devis

Programme pluriannuel

Plusieurs traitements à risque à couvrir

Sur devis
selon le nombre de traitements et le rythme de réexamen
  • Tout AIPD complète +
  • Cadre méthodologique commun
  • Réexamen périodique (art. 35.11)
  • Cohérence maintenue avec le registre (art. 30)
Demander un devis

Une AIPD n'est jamais figée

L'article 35.11 du RGPD impose de réexaminer l'analyse en cas d'évolution significative du traitement (nouveau sous-traitant, changement d'hébergement, extension du périmètre de collecte). Un devis de réexamen est établi au cas par cas.

Questions fréquentes

Mon traitement est-il vraiment soumis à l'obligation d'AIPD ?
Cela dépend de trois éléments vérifiés méthodiquement : les 3 cas de l'article 35.3 du RGPD, la grille des 9 critères du CEPD (lignes directrices WP248 rev.01, reprises par la CNIL : dès que 2 critères sur 9 sont remplis, une AIPD doit en principe être menée), et les listes CNIL des traitements requis ou non requis. Le document livré tranche cette question et la justifie, point par point.
Que contient exactement le document livré ?
Un document structuré selon l'article 35.7 du RGPD : description systématique du traitement (a), analyse de nécessité et de proportionnalité (b), évaluation des risques pour les personnes concernées (c), mesures techniques et organisationnelles envisagées (d), puis une conclusion motivée. Chaque référence légale est sourcée (texte consolidé RGPD, CNIL, CEPD).
Et si mon traitement n'est finalement pas soumis à l'obligation d'AIPD ?
Le document est maintenu à titre volontaire et documentaire : il constitue la justification de votre décision de ne pas conduire d'AIPD formelle, au titre du principe d'accountability (art. 5.2 du RGPD), mobilisable en cas de contrôle de la CNIL.
Ce document remplace-t-il l'avis de mon avocat ou de mon DPO ?
Non. DPIA-Express est un outil d'accompagnement méthodologique qui structure et documente l'analyse ; il ne constitue pas un avis juridique. Chaque document livré liste explicitement les points restant à valider par votre juriste ou votre Délégué à la Protection des Données avant tout usage opposable.
Qui doit réaliser l'AIPD dans mon organisation ?
Le responsable de traitement reste juridiquement responsable de l'AIPD ; le DPO, lorsqu'il existe, doit être consulté (art. 35.2 du RGPD). DPIA-Express prépare la matière (description, risques, mesures) pour que cette consultation se fasse sur un dossier déjà structuré, et non sur une page blanche.
Pourquoi passer par SYAGA plutôt que le faire entièrement en interne ?
SYAGA Consulting existe depuis 2009 et applique cette même méthode à ses propres traitements, y compris à son propre produit d'audit Microsoft 365, dont l'analyse de l'obligation d'AIPD suit exactement cette structure. Nous ne livrons pas un gabarit générique : chaque document est bâti traitement par traitement, article par article.

Prêt à documenter votre AIPD ?

Décrivez-nous votre traitement, nous revenons vers vous avec un devis personnalisé.

Veille réglementaire - sources officielles

Ce que dit vraiment le texte, digéré en langage simple. Chaque point garde son lien vers le document officiel.

📋

C'est quoi une AIPD, en clair ?

Une AIPD, c'est simplement un travail d'évaluation : on regarde les risques qu'un traitement de données fait courir aux personnes, avant de le mettre en place. La CNIL la définit comme "un processus formel permettant d'évaluer les risques liés au traitement de données personnelles". Ce n'est pas une formalité administrative de plus, c'est un outil de bon sens rendu obligatoire par le RGPD dans certains cas. Source : CNIL →

🎯

Qui est vraiment concerné : la règle des « 2 critères sur 9 »

Pas besoin d'être une grande entreprise pour être concerné. La CNIL considère qu'une AIPD est obligatoire dès qu'un traitement remplit au moins deux de ces neuf situations : noter ou évaluer des personnes, prendre une décision automatisée qui a un effet réel sur elles, les surveiller de façon systématique, collecter des données sensibles (santé, origine, etc.), collecter à grande échelle, croiser plusieurs bases de données, viser des personnes vulnérables (salariés, patients, mineurs...), utiliser une technologie nouvelle, ou priver quelqu'un d'un droit ou d'un service. Source : CNIL →

Deux listes CNIL qui répondent souvent à votre place

Pour éviter de deviner, la CNIL a publié deux listes officielles : une liste de 14 types de traitements où l'AIPD est obligatoire (données de santé, profilage RH, surveillance des salariés, géolocalisation à grande échelle...), et une liste de 12 types où elle n'est pas requise (paie et gestion du personnel de moins de 250 salariés hors profilage, gestion fournisseurs, dossier patient d'un professionnel de santé isolé...). Ces listes ne couvrent pas tous les cas, mais elles répondent déjà à beaucoup de situations courantes. Source : liste CNIL des traitements requis →

🧩

Ce que l'analyse doit vraiment contenir

Le RGPD (article 35) ne demande pas un roman, mais quatre briques précises : décrire le traitement et son objectif, vérifier qu'il est vraiment nécessaire et proportionné, évaluer les risques pour les personnes concernées, puis lister les mesures prévues pour réduire ces risques. Une conclusion claire à la fin : le traitement est-il acceptable, et à quelles conditions. Source : RGPD, article 35 →

👤

Le rôle de votre DPO (si vous en avez un)

Si votre organisation a désigné un Délégué à la Protection des Données, le RGPD impose de lui demander conseil au moment de conduire l'AIPD, et de le charger de vérifier que l'analyse a bien été réalisée. C'est un garde-fou, pas une case à cocher : le DPO reste le bon réflexe avant de valider une conclusion. Source : RGPD, articles 35 et 39 →

Et si le risque reste élevé après l'analyse ?

Si, malgré les mesures prévues, le traitement présente encore un risque élevé pour les personnes, le RGPD impose de consulter la CNIL avant de démarrer. Elle dispose alors de huit semaines pour donner son avis écrit (prolongeable de six semaines si le dossier est complexe). Rassurant à savoir : ce cas reste l'exception, pas la règle. Source : RGPD, article 36 →

💰

Les sanctions, sans dramatiser

La CNIL rappelle que les amendes RGPD peuvent atteindre jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial, selon le montant le plus élevé. C'est un plafond légal, pas une fatalité : une AIPD bien menée est justement ce qui permet de montrer, en cas de contrôle, que la question a été prise au sérieux. Source : CNIL →

📢

Une actualité européenne à suivre

Le Comité européen de la protection des données (CEPD/EDPB) a mis en consultation publique, du 14 avril au 9 juin 2026, un projet de modèle unique d'AIPD destiné à harmoniser les pratiques entre pays européens. La consultation est désormais close ; nous suivons la suite donnée à ce projet pour en informer nos clients le moment venu. Source : EDPB →