[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$f7vTgnkE1E82I8ZVhEMAxSLUT7MyaR0auxz1lh-0ihZg":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":8,"wordCount":9,"readTime":10,"title":11,"nbDownloads":12,"excerpt":13,"lang":14,"url":15,"intro":16,"featured":4,"state":17,"author":18,"authorId":19,"datePublication":26,"dateCreation":27,"dateUpdate":28,"mainCategory":29,"categories":44,"metaDatas":71,"imageUrl":72,"imageThumbUrls":73,"id":81},true,"Le règlement général relatif à la protection des données à caractère personnel (RGPD) impose au responsable de traitement de réaliser, pour certains traitements, des **analyses d’impact sur la protection des données (AIPD)** afin de s’assurer de la conformité du traitement aux principes de protection des données. Ces analyses font partie intégrante de la **documentation** nécessaire à la preuve de la conformité.\r\n\r\nEn cas de non respect de ces obligations, la sanction maximale prévue est **10 000 000 euros** ou **2% du CA annuel** mondial total de l'exercice précédent, le montant le plus élevé étant retenu.\r\n\r\n**Ce guide explique ce qu’est une analyse d’impact sur la protection des données, dans quel cas il faut en réaliser une et comment celle-ci doit être réalisée.**\r\n\r\n1. Définition AIPD\r\n2. Risque sur la vie privée\r\n3. Critères de réalisation\r\n4. Quand réaliser l'AIPD ?\r\n5. Qui réalise l'AIPD ?\r\n6. Quel contenu ?\r\n7. Comment faire ?\r\n\r\n## AIPD Définition\r\n\r\nL'AIPD (Analyse d'Impact relative à la Protection des Données) est une démarche systématique visant à évaluer les risques que peuvent présenter certains traitements de données personnelles pour la vie privée des individus. Elle est également appelée en anglais DPIA (Data Protection Impact Assessment).\r\n\r\nL’analyse d’impact sur la protection des données est un mécanisme de conformité prévu par l’**article** **35 du RGPD**.\r\n\r\n**L’analyse consiste à identifier et minimiser les risques d'atteinte aux droits et libertés des personnes concernées dans un traitement de données à caractère personnel.**\r\n\r\nL'AIPD se décompose en **trois parties** :\r\n\r\n• Une **description détaillée du [traitement](https://www.dastra.eu/fr/article/traitement-donnees-personnelles/386)** mis en œuvre, comprenant tant les aspects techniques qu’opérationnels ;\r\n\r\n• L’**évaluation**, de nature plus juridique, **de la nécessité et de la proportionnalité** concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;\r\n\r\n• L’**étude**, de nature plus technique, **des risques sur la sécurité des données** (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.\r\n\r\n## Risque sur la vie privée\r\n\r\n**Un « risque sur la vie privée » est un scénario décrivant :**• un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données, et ses impacts potentiels sur les droits et libertés des personnes) ;• toutes les menaces qui permettraient qu’il survienne.\r\n\r\nIl est estimé en termes de **gravité** et de **vraisemblance**. La gravité doit être évaluée pour les personnes concernées, et non pour l’organisme.\r\n\r\nUne seule et même AIPD peut être utilisée pour évaluer plusieurs opérations de traitement similaires en termes de nature, de portée, de contexte, de finalités et de risques. Par exemple, plusieurs communes peuvent réaliser une seule et même AIPD pour un système de vidéoprotection utilisant la même technologie et ayant les mêmes finalités.\r\n\r\n## Critères de réalisation de l’AIPD\r\n\r\nUne analyse d’impact doit être obligatoirement réalisée lors que le traitement entraine un **risque élevé** pour les droits et libertés des personnes concernées.\r\n\r\nPar droits et libertés, **il faut entendre non seulement le droit au respect de la vie privée mais également les autres droits fondamentaux**, tels que la liberté de circulation, la non-discrimination, le droit à la vie etc.\r\n\r\nEn tout état de cause, il faut réaliser une AIPD dans les situations suivantes :\r\n\r\nSoit le traitement envisagé figure dans la **liste des types d’opérations de traitement (en annexe) pour lesquelles la CNIL (pour la France) a estimé obligatoire** de réaliser une analyse d’impact relative à la protection des données.\r\n\r\nSoit le traitement remplit au moins **deux des neuf critères** issus des lignes directrices du G29 :\r\n\r\n- **évaluation/scoring (y compris le profilage)**\r\n\r\nPar exemple, un traitement d’analyse des usages d’internautes afin de créer des profils comportementaux ou marketing.\r\n\r\n- **décision automatique avec effet légal ou similaire**\r\n\r\nLe traitement conduit à une décision automatisée avec effet légal sur la personne ou a pour objet d’aider à la décision ayant un effet légal sur une personne ou qui l’affecte de manière significative. Par exemple, le traitement conduit à une discrimination ou à l’exclusion. Si le traitement ne conduit que très peu d’effet, il ne sera pas concerné.\r\n\r\n- **surveillance systématique**\r\n\r\nLe traitement est utilisé pour observer, surveiller ou contrôler les personnes concernées. Les personnes ne peuvent pas se soustraire à ce traitement. Par exemple, la surveillance systématique sur les réseaux ou dans l’espace public.\r\n\r\n- **collecte de données sensibles ou données à caractère hautement personnel**\r\n\r\nDonnées sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou de santé, données biométriques et données concernant la vie ou l’orientation sexuelle) ou données à caractère hautement personnel (données relatives à des communications électroniques, données de localisation, données financières, etc) et données relatives à des condamnations pénales, infractions ou mesures de sûreté.\r\n\r\n- **collecte de données personnelles à large échelle**\r\n\r\nIl n’existe pas de seuil, applicable à toute situation, à partir duquel le traitement serait considéré comme mis en œuvre à « grande échelle ». Il faut prendre en compte le nombre de personnes concernées, le volume de données ou le spectre des données, la durée ou la permanence du traitement et l’étendue géographique du traitement. En pratique, il convient de prendre les mêmes critères que pour la désignation du DPO.\r\n\r\n- **croisement de données**\r\n\r\nCela implique un croisement de données issues de traitements différents mis en œuvre par un ou plusieurs responsables de traitement qui outrepasserait les attentes raisonnables de la personne concernée. Autrement dit, à quel traitement la personne peut-elle s’attendre dans le contexte de la collecte des données ? Plus il sera inattendu ou surprenant, plus il dépassera les attentes raisonnables.\r\n\r\n- **personnes vulnérables (patients, personnes âgées, enfants, etc.)**\r\n\r\nIl s’agit des données relatives à des personnes qui se trouveraient dans une situation de déséquilibre accru dans la relation avec le responsable du traitement. Par exemple de données de patients, personnes âgées, enfant, demandeurs d’asile etc. Dans une certaine mesure, il peut s’agir de données relatives à des employés au regard du lien de subordination avec l’employeur.\r\n\r\n- **usage innovant (utilisation d’une nouvelle technologie)**\r\n\r\nL’usage d’une nouvelle technologie ou d’un usage innovant doit correspondre à quelque chose dont on maitrise peu ou pas les conséquences personnelles ou sociales et qu’on n’a pas assez de recul sur l’impact sur les personnes concernées. Par exemple, les applications de l’internet des objets ou la combinaison d’empreintes digitales et de reconnaissance faciale pour faire du contrôle d’accès.\r\n\r\n- **exclusion du bénéfice d’un droit/contrat**\r\n\r\nLes opérations qui conduisent à autoriser, modifier ou refuser l’accès à un service ou la conclusion d’un contrat. Par exemple, un outil de scoring dans le cadre d’un prêt bancaire.\r\n\r\nIl également recommandé de prendre en compte le critère suivant :\r\n\r\n**Les transferts de données hors de l’UE** : le transfert de données hors de l’Union européenne en prenant en considération le pays de destination, la possibilité de transferts ultérieurs (considérant 116 du RGPD).\r\n\r\nChaque autorité de contrôle dans l'UE a publié une **liste d’opérations de traitement pour lesquelles une AIPD n’est pas obligatoire** (voir liste de la CNIL en annexe). Cela concerne les **traitements les plus courants**, en particulier pour les entreprises de moins de 250 salariés.\r\n\r\nUne AIPD n’est pas non plus requise si le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable de traitement est soumis, ou nécessaire à l'exercice d'une mission de service public confié au responsable de traitement et qu’une AIPD a été réalisée par l’autorité publique.\r\n\r\n## Quand réaliser l’AIPD ?\r\n\r\nL’AIPD doit être réalisée dans la mesure du possible avant la mise en œuvre du traitement. En effet, elle permet d’anticiper les mesures à prendre pour assurer la conformité au RGPD.\r\n\r\n**La meilleure pratique est de la commencer au stade du projet de traitement.** Par exemple, en cas d’installation d’un système de vidéosurveillance nécessitant une AIPD (surveillance systématique de personnes vulnérables par exemple), il faut la démarrer avant l’intervention de l’installateur et effectuer la démarche avec lui.\r\n\r\n## Qui réalise l’AIPD ?\r\n\r\nLe **sous-traitant a l’obligation d’assister le responsable du traitement** pour réaliser l’AIPD.\r\n\r\n**L’AIPD doit être réalisée par le responsable du traitement** (ou pour son compte). En pratique, il faudra impliquer les personnes suivantes :\r\n\r\n- Le DPO\r\n- L’équipe métier (la maîtrise d'ouvrage et la maîtrise d'œuvre en fonction du contexte)\r\n- Le RSSI\r\n- Les sous-traitants intervenant dans le traitement\r\n- Le cas échéant, en cas de complexité, un conseil extérieur\r\n- Le CSE en cas de traitements relatifs aux salariés\r\n- Les personnes concernées via des enquêtes publiques le cas échéant\r\n\r\nLes actions des personnes impliquées doivent être documentées dans l’analyse.\r\n\r\n## Contenu de l’AIPD\r\n\r\nL’analyse doit contenir les éléments suivants :\r\n\r\n1. Description du traitement envisagé et des finalités\r\n2. Une analyse de la nécessité et de la proportionnalité du traitement\r\n3. Une analyse des risques pour les droits et libertés des personnes\r\n4. Les mesures envisagées pour :\r\n   - Faire face aux risques\r\n   - Démontrer la conformité au RGPD\r\n\r\n## Comment réaliser l’AIPD ?\r\n\r\nL'AIPD consiste en un document. Ce document peut être papier, sous la forme d'un rapport d'analyse par exemple, ou numérique, à travers un logiciel.Ce qui est importe est que les risques soient identifiés et analysés.\r\n\r\nDe nombreux outils permettent d’aider à la réalisation de l’analyse d’impact.La CNIL a développé un outil permettant de les documenter ([**accessible ici**](https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil)). De nombreuses méthodes sont proposées, en particulier par les régulateurs.\r\n\r\n> DASTRA a développé une méthode inspirée de la méthode de la CNIL pour réaliser ces analyses d'impact. Elle en reprend l'architecture **mais l'améliore et la rend surtout collaborative !** Pour en savoir plus, [n'hésitez pas à nous contacter ](https://www.dastra.eu/fr/contacts)!\r\n\r\n## Quelle conclusion de l'AIPD ?\r\n\r\nL'AIPD permet d'identifier des mesures permettant d'atténuer le risque élevé. Ainsi, le risque doit passer de élevé à acceptable (ou faible).\r\n\r\nSi et seulement **si le risque est acceptable (ou faible), alors le traitement peut être mis en oeuvre**.\r\n\r\nSi après l'analyse, le risque dit résiduel est encore considéré comme élevé malgré les mesures envisagées, alors il faut **consulter l'autorité de contrôle, la CNIL en France**. Celle-ci donnera un avis dans un délai de 2 mois (qui peut être prolongé d'un mois et demi) pour statuer sur le sort du traitement et le cas échéant, indiquer les mesures à mettre en oeuvre pour qu'il soit réalisé.Pour transmettre une AIPD, c'est [**ici**](https://teleservices.cnil.fr/tsgen/all/dispatch/aipd).\r\n\r\n## Notre webinar\r\n\r\nNous avons fait un webinar sur le sujet qui vous explique tout en détail ! Vous pouvez le [**visionner depuis notre page webinar**](https://www.dastra.eu/fr/article/chantier-rgpd-comment-aborder-etape-pia-avec-un-outil/1515).\r\n\r\n---\r\n\r\n[Liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise](https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-requise.pdf)\r\n\r\n[Liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise](https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-non-requise.pdf)","\u003Cp>Le règlement général relatif à la protection des données à caractère personnel (RGPD) impose au responsable de traitement de réaliser, pour certains traitements, des \u003Cstrong>analyses d’impact sur la protection des données (AIPD)\u003C/strong> afin de s’assurer de la conformité du traitement aux principes de protection des données. Ces analyses font partie intégrante de la \u003Cstrong>documentation\u003C/strong> nécessaire à la preuve de la conformité.\u003C/p>\n\u003Cp>En cas de non respect de ces obligations, la sanction maximale prévue est \u003Cstrong>10 000 000 euros\u003C/strong> ou \u003Cstrong>2% du CA annuel\u003C/strong> mondial total de l'exercice précédent, le montant le plus élevé étant retenu.\u003C/p>\n\u003Cp>\u003Cstrong>Ce guide explique ce qu’est une analyse d’impact sur la protection des données, dans quel cas il faut en réaliser une et comment celle-ci doit être réalisée.\u003C/strong>\u003C/p>\n\u003Col>\n\u003Cli>Définition AIPD\u003C/li>\n\u003Cli>Risque sur la vie privée\u003C/li>\n\u003Cli>Critères de réalisation\u003C/li>\n\u003Cli>Quand réaliser l'AIPD ?\u003C/li>\n\u003Cli>Qui réalise l'AIPD ?\u003C/li>\n\u003Cli>Quel contenu ?\u003C/li>\n\u003Cli>Comment faire ?\u003C/li>\n\u003C/ol>\n\u003Ch2 id=\"aipd-definition\">AIPD Définition\u003C/h2>\n\u003Cp>L'AIPD (Analyse d'Impact relative à la Protection des Données) est une démarche systématique visant à évaluer les risques que peuvent présenter certains traitements de données personnelles pour la vie privée des individus. Elle est également appelée en anglais DPIA (Data Protection Impact Assessment).\u003C/p>\n\u003Cp>L’analyse d’impact sur la protection des données est un mécanisme de conformité prévu par l’\u003Cstrong>article\u003C/strong> \u003Cstrong>35 du RGPD\u003C/strong>.\u003C/p>\n\u003Cp>\u003Cstrong>L’analyse consiste à identifier et minimiser les risques d'atteinte aux droits et libertés des personnes concernées dans un traitement de données à caractère personnel.\u003C/strong>\u003C/p>\n\u003Cp>L'AIPD se décompose en \u003Cstrong>trois parties\u003C/strong> :\u003C/p>\n\u003Cp>• Une \u003Cstrong>description détaillée du \u003Ca href=\"https://www.dastra.eu/fr/article/traitement-donnees-personnelles/386\">traitement\u003C/a>\u003C/strong> mis en œuvre, comprenant tant les aspects techniques qu’opérationnels ;\u003C/p>\n\u003Cp>• L’\u003Cstrong>évaluation\u003C/strong>, de nature plus juridique, \u003Cstrong>de la nécessité et de la proportionnalité\u003C/strong> concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;\u003C/p>\n\u003Cp>• L’\u003Cstrong>étude\u003C/strong>, de nature plus technique, \u003Cstrong>des risques sur la sécurité des données\u003C/strong> (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.\u003C/p>\n\u003Ch2 id=\"risque-sur-la-vie-privee\">Risque sur la vie privée\u003C/h2>\n\u003Cp>\u003Cstrong>Un « risque sur la vie privée » est un scénario décrivant :\u003C/strong>• un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données, et ses impacts potentiels sur les droits et libertés des personnes) ;• toutes les menaces qui permettraient qu’il survienne.\u003C/p>\n\u003Cp>Il est estimé en termes de \u003Cstrong>gravité\u003C/strong> et de \u003Cstrong>vraisemblance\u003C/strong>. La gravité doit être évaluée pour les personnes concernées, et non pour l’organisme.\u003C/p>\n\u003Cp>Une seule et même AIPD peut être utilisée pour évaluer plusieurs opérations de traitement similaires en termes de nature, de portée, de contexte, de finalités et de risques. Par exemple, plusieurs communes peuvent réaliser une seule et même AIPD pour un système de vidéoprotection utilisant la même technologie et ayant les mêmes finalités.\u003C/p>\n\u003Ch2 id=\"criteres-de-realisation-de-laipd\">Critères de réalisation de l’AIPD\u003C/h2>\n\u003Cp>Une analyse d’impact doit être obligatoirement réalisée lors que le traitement entraine un \u003Cstrong>risque élevé\u003C/strong> pour les droits et libertés des personnes concernées.\u003C/p>\n\u003Cp>Par droits et libertés, \u003Cstrong>il faut entendre non seulement le droit au respect de la vie privée mais également les autres droits fondamentaux\u003C/strong>, tels que la liberté de circulation, la non-discrimination, le droit à la vie etc.\u003C/p>\n\u003Cp>En tout état de cause, il faut réaliser une AIPD dans les situations suivantes :\u003C/p>\n\u003Cp>Soit le traitement envisagé figure dans la \u003Cstrong>liste des types d’opérations de traitement (en annexe) pour lesquelles la CNIL (pour la France) a estimé obligatoire\u003C/strong> de réaliser une analyse d’impact relative à la protection des données.\u003C/p>\n\u003Cp>Soit le traitement remplit au moins \u003Cstrong>deux des neuf critères\u003C/strong> issus des lignes directrices du G29 :\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>évaluation/scoring (y compris le profilage)\u003C/strong>\u003C/li>\n\u003C/ul>\n\u003Cp>Par exemple, un traitement d’analyse des usages d’internautes afin de créer des profils comportementaux ou marketing.\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>décision automatique avec effet légal ou similaire\u003C/strong>\u003C/li>\n\u003C/ul>\n\u003Cp>Le traitement conduit à une décision automatisée avec effet légal sur la personne ou a pour objet d’aider à la décision ayant un effet légal sur une personne ou qui l’affecte de manière significative. Par exemple, le traitement conduit à une discrimination ou à l’exclusion. Si le traitement ne conduit que très peu d’effet, il ne sera pas concerné.\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>surveillance systématique\u003C/strong>\u003C/li>\n\u003C/ul>\n\u003Cp>Le traitement est utilisé pour observer, surveiller ou contrôler les personnes concernées. Les personnes ne peuvent pas se soustraire à ce traitement. Par exemple, la surveillance systématique sur les réseaux ou dans l’espace public.\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>collecte de données sensibles ou données à caractère hautement personnel\u003C/strong>\u003C/li>\n\u003C/ul>\n\u003Cp>Données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou de santé, données biométriques et données concernant la vie ou l’orientation sexuelle) ou données à caractère hautement personnel (données relatives à des communications électroniques, données de localisation, données financières, etc) et données relatives à des condamnations pénales, infractions ou mesures de sûreté.\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>collecte de données personnelles à large échelle\u003C/strong>\u003C/li>\n\u003C/ul>\n\u003Cp>Il n’existe pas de seuil, applicable à toute situation, à partir duquel le traitement serait considéré comme mis en œuvre à « grande échelle ». Il faut prendre en compte le nombre de personnes concernées, le volume de données ou le spectre des données, la durée ou la permanence du traitement et l’étendue géographique du traitement. En pratique, il convient de prendre les mêmes critères que pour la désignation du DPO.\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>croisement de données\u003C/strong>\u003C/li>\n\u003C/ul>\n\u003Cp>Cela implique un croisement de données issues de traitements différents mis en œuvre par un ou plusieurs responsables de traitement qui outrepasserait les attentes raisonnables de la personne concernée. Autrement dit, à quel traitement la personne peut-elle s’attendre dans le contexte de la collecte des données ? Plus il sera inattendu ou surprenant, plus il dépassera les attentes raisonnables.\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>personnes vulnérables (patients, personnes âgées, enfants, etc.)\u003C/strong>\u003C/li>\n\u003C/ul>\n\u003Cp>Il s’agit des données relatives à des personnes qui se trouveraient dans une situation de déséquilibre accru dans la relation avec le responsable du traitement. Par exemple de données de patients, personnes âgées, enfant, demandeurs d’asile etc. Dans une certaine mesure, il peut s’agir de données relatives à des employés au regard du lien de subordination avec l’employeur.\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>usage innovant (utilisation d’une nouvelle technologie)\u003C/strong>\u003C/li>\n\u003C/ul>\n\u003Cp>L’usage d’une nouvelle technologie ou d’un usage innovant doit correspondre à quelque chose dont on maitrise peu ou pas les conséquences personnelles ou sociales et qu’on n’a pas assez de recul sur l’impact sur les personnes concernées. Par exemple, les applications de l’internet des objets ou la combinaison d’empreintes digitales et de reconnaissance faciale pour faire du contrôle d’accès.\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>exclusion du bénéfice d’un droit/contrat\u003C/strong>\u003C/li>\n\u003C/ul>\n\u003Cp>Les opérations qui conduisent à autoriser, modifier ou refuser l’accès à un service ou la conclusion d’un contrat. Par exemple, un outil de scoring dans le cadre d’un prêt bancaire.\u003C/p>\n\u003Cp>Il également recommandé de prendre en compte le critère suivant :\u003C/p>\n\u003Cp>\u003Cstrong>Les transferts de données hors de l’UE\u003C/strong> : le transfert de données hors de l’Union européenne en prenant en considération le pays de destination, la possibilité de transferts ultérieurs (considérant 116 du RGPD).\u003C/p>\n\u003Cp>Chaque autorité de contrôle dans l'UE a publié une \u003Cstrong>liste d’opérations de traitement pour lesquelles une AIPD n’est pas obligatoire\u003C/strong> (voir liste de la CNIL en annexe). Cela concerne les \u003Cstrong>traitements les plus courants\u003C/strong>, en particulier pour les entreprises de moins de 250 salariés.\u003C/p>\n\u003Cp>Une AIPD n’est pas non plus requise si le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable de traitement est soumis, ou nécessaire à l'exercice d'une mission de service public confié au responsable de traitement et qu’une AIPD a été réalisée par l’autorité publique.\u003C/p>\n\u003Ch2 id=\"quand-realiser-laipd\">Quand réaliser l’AIPD ?\u003C/h2>\n\u003Cp>L’AIPD doit être réalisée dans la mesure du possible avant la mise en œuvre du traitement. En effet, elle permet d’anticiper les mesures à prendre pour assurer la conformité au RGPD.\u003C/p>\n\u003Cp>\u003Cstrong>La meilleure pratique est de la commencer au stade du projet de traitement.\u003C/strong> Par exemple, en cas d’installation d’un système de vidéosurveillance nécessitant une AIPD (surveillance systématique de personnes vulnérables par exemple), il faut la démarrer avant l’intervention de l’installateur et effectuer la démarche avec lui.\u003C/p>\n\u003Ch2 id=\"qui-realise-laipd\">Qui réalise l’AIPD ?\u003C/h2>\n\u003Cp>Le \u003Cstrong>sous-traitant a l’obligation d’assister le responsable du traitement\u003C/strong> pour réaliser l’AIPD.\u003C/p>\n\u003Cp>\u003Cstrong>L’AIPD doit être réalisée par le responsable du traitement\u003C/strong> (ou pour son compte). En pratique, il faudra impliquer les personnes suivantes :\u003C/p>\n\u003Cul>\n\u003Cli>Le DPO\u003C/li>\n\u003Cli>L’équipe métier (la maîtrise d'ouvrage et la maîtrise d'œuvre en fonction du contexte)\u003C/li>\n\u003Cli>Le RSSI\u003C/li>\n\u003Cli>Les sous-traitants intervenant dans le traitement\u003C/li>\n\u003Cli>Le cas échéant, en cas de complexité, un conseil extérieur\u003C/li>\n\u003Cli>Le CSE en cas de traitements relatifs aux salariés\u003C/li>\n\u003Cli>Les personnes concernées via des enquêtes publiques le cas échéant\u003C/li>\n\u003C/ul>\n\u003Cp>Les actions des personnes impliquées doivent être documentées dans l’analyse.\u003C/p>\n\u003Ch2 id=\"contenu-de-laipd\">Contenu de l’AIPD\u003C/h2>\n\u003Cp>L’analyse doit contenir les éléments suivants :\u003C/p>\n\u003Col>\n\u003Cli>Description du traitement envisagé et des finalités\u003C/li>\n\u003Cli>Une analyse de la nécessité et de la proportionnalité du traitement\u003C/li>\n\u003Cli>Une analyse des risques pour les droits et libertés des personnes\u003C/li>\n\u003Cli>Les mesures envisagées pour :\n\u003Cul>\n\u003Cli>Faire face aux risques\u003C/li>\n\u003Cli>Démontrer la conformité au RGPD\u003C/li>\n\u003C/ul>\n\u003C/li>\n\u003C/ol>\n\u003Ch2 id=\"comment-realiser-laipd\">Comment réaliser l’AIPD ?\u003C/h2>\n\u003Cp>L'AIPD consiste en un document. Ce document peut être papier, sous la forme d'un rapport d'analyse par exemple, ou numérique, à travers un logiciel.Ce qui est importe est que les risques soient identifiés et analysés.\u003C/p>\n\u003Cp>De nombreux outils permettent d’aider à la réalisation de l’analyse d’impact.La CNIL a développé un outil permettant de les documenter (\u003Ca href=\"https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil\" rel=\"nofollow\">\u003Cstrong>accessible ici\u003C/strong>\u003C/a>). De nombreuses méthodes sont proposées, en particulier par les régulateurs.\u003C/p>\n\u003Cblockquote>\n\u003Cp>DASTRA a développé une méthode inspirée de la méthode de la CNIL pour réaliser ces analyses d'impact. Elle en reprend l'architecture \u003Cstrong>mais l'améliore et la rend surtout collaborative !\u003C/strong> Pour en savoir plus, \u003Ca href=\"https://www.dastra.eu/fr/contacts\">n'hésitez pas à nous contacter \u003C/a>!\u003C/p>\n\u003C/blockquote>\n\u003Ch2 id=\"quelle-conclusion-de-laipd\">Quelle conclusion de l'AIPD ?\u003C/h2>\n\u003Cp>L'AIPD permet d'identifier des mesures permettant d'atténuer le risque élevé. Ainsi, le risque doit passer de élevé à acceptable (ou faible).\u003C/p>\n\u003Cp>Si et seulement \u003Cstrong>si le risque est acceptable (ou faible), alors le traitement peut être mis en oeuvre\u003C/strong>.\u003C/p>\n\u003Cp>Si après l'analyse, le risque dit résiduel est encore considéré comme élevé malgré les mesures envisagées, alors il faut \u003Cstrong>consulter l'autorité de contrôle, la CNIL en France\u003C/strong>. Celle-ci donnera un avis dans un délai de 2 mois (qui peut être prolongé d'un mois et demi) pour statuer sur le sort du traitement et le cas échéant, indiquer les mesures à mettre en oeuvre pour qu'il soit réalisé.Pour transmettre une AIPD, c'est \u003Ca href=\"https://teleservices.cnil.fr/tsgen/all/dispatch/aipd\" rel=\"nofollow\">\u003Cstrong>ici\u003C/strong>\u003C/a>.\u003C/p>\n\u003Ch2 id=\"notre-webinar\">Notre webinar\u003C/h2>\n\u003Cp>Nous avons fait un webinar sur le sujet qui vous explique tout en détail ! Vous pouvez le \u003Ca href=\"https://www.dastra.eu/fr/article/chantier-rgpd-comment-aborder-etape-pia-avec-un-outil/1515\">\u003Cstrong>visionner depuis notre page webinar\u003C/strong>\u003C/a>.\u003C/p>\n\u003Chr />\n\u003Cp>\u003Ca href=\"https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-requise.pdf\" rel=\"nofollow\">Liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise\u003C/a>\u003C/p>\n\u003Cp>\u003Ca href=\"https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-non-requise.pdf\" rel=\"nofollow\">Liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise\u003C/a>\u003C/p>\n","Analyse d'impact relative à la protection des données (AIPD)","L'AIPD est un outil essentiel pour concevoir un traitement des données à la fois conforme au RGPD et respectueux de la vie privée.",1931,11,"L'analyse d'impact sur la protection des données (AIPD ou PIA ou DPIA)",0,"Fiche pratique","fr","guide-pratique-analyse-impact-protection-des-donnees","Ce guide explique ce qu’est une analyse d’impact sur la protection des données, dans quel cas il faut en réaliser une et comment celle-ci doit être réalisée.","Published",{"id":19,"displayName":20,"avatarUrl":21,"bio":22,"blogUrl":23,"color":24,"userId":19,"creationDate":25},31,"Jérôme de Mercey","https://static.dastra.eu/tenant-10/avatar/31/Zuh7XFZe5EnnTo/design-sans-titre-2-150.png","COO/cofounder","https://www.dastra.eu",null,"2021-11-15T12:57:57","2024-09-02T15:17:00","2021-12-27T23:05:31.4135393","2026-04-20T12:25:59.9664815",{"id":30,"name":31,"description":32,"url":33,"color":34,"parentId":24,"count":24,"imageUrl":24,"parent":24,"order":12,"translations":35},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[36,38,41],{"lang":14,"name":31,"description":37},"Une liste d'articles rédigés par la communauté",{"lang":39,"name":31,"description":40},"es","Una lista de artículos escritos por la comunidad",{"lang":42,"name":31,"description":43},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[45,50],{"id":30,"name":31,"description":32,"url":33,"color":34,"parentId":24,"count":24,"imageUrl":24,"parent":24,"order":12,"translations":46},[47,48,49],{"lang":14,"name":31,"description":37},{"lang":39,"name":31,"description":40},{"lang":42,"name":31,"description":43},{"id":51,"name":52,"description":53,"url":54,"color":55,"parentId":30,"count":24,"imageUrl":24,"parent":56,"order":61,"translations":62},69,"Expertise","Gain insights from our experts on GDPR compliance, data protection, and privacy challenges. In-depth articles, professional analysis, and real-world best practices.","indepth","#000000",{"id":30,"name":31,"description":32,"url":33,"color":34,"parentId":24,"count":24,"imageUrl":24,"parent":24,"order":12,"translations":57},[58,59,60],{"lang":14,"name":31,"description":37},{"lang":39,"name":31,"description":40},{"lang":42,"name":31,"description":43},5,[63,65,68],{"lang":14,"name":52,"description":64},"Bénéficiez des conseils de nos experts sur la conformité RGPD, la protection des données et les enjeux privacy. Articles de fond, analyses et retours d’expérience métier.",{"lang":42,"name":66,"description":67},"Fachwissen","Entdecken Sie die Artikel unserer DSGVO-Experten",{"lang":39,"name":69,"description":70},"Experiencia","Descubre los artículos de nuestros expertos en Privacy",[],"https://static.dastra.eu/content/beac28cb-1a71-414b-bd9b-608d02c77e1e/article-jeje-1000.png",[74,75,76,77,78,79,80],"https://static.dastra.eu/content/beac28cb-1a71-414b-bd9b-608d02c77e1e/article-jeje-1000.webp","https://static.dastra.eu/content/beac28cb-1a71-414b-bd9b-608d02c77e1e/article-jeje.webp","https://static.dastra.eu/content/beac28cb-1a71-414b-bd9b-608d02c77e1e/article-jeje-1500.webp","https://static.dastra.eu/content/beac28cb-1a71-414b-bd9b-608d02c77e1e/article-jeje-800.webp","https://static.dastra.eu/content/beac28cb-1a71-414b-bd9b-608d02c77e1e/article-jeje-600.webp","https://static.dastra.eu/content/beac28cb-1a71-414b-bd9b-608d02c77e1e/article-jeje-300.webp","https://static.dastra.eu/content/beac28cb-1a71-414b-bd9b-608d02c77e1e/article-jeje-100.webp",499]