Article 35 du RGPD : Analyse d’impact relative à la protection des données (AIPD)

L’Article 35 du RGPD impose la réalisation d’une analyse d’impact sur la protection des données (AIPD) avant tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. L’objectif : anticiper les impacts, limiter les risques, et documenter les mesures de sécurité.

L’Article 35 du RGPD expliqué

Une AIPD est requise notamment dans les cas suivants :

Traitements à grande échelle de données sensibles ou hautement personnelles ;
Surveillance systématique de zones accessibles au public ;
Croisement massif de données, profilage, scoring automatisé…

L’AIPD comporte :

Une description du traitement et de ses finalités ;
Une évaluation de la nécessité et de la proportionnalité ;
Une évaluation des risques pour les droits et libertés ;
Les mesures envisagées pour limiter ces risques.

Pourquoi cet article est-il important pour votre conformité RGPD ?

L’AIPD permet d’anticiper les risques juridiques, éthiques et techniques, et de démontrer la conformité. Elle est exigée dans de nombreux cas et constitue un pilier de l’approche par les risques du RGPD.

Comment se mettre en conformité avec l’Article 35 du RGPD ?

Identifiez les traitements susceptibles de nécessiter une AIPD ;
Utilisez un modèle structuré validé par la CNIL ou une méthode reconnue (EBIOS, ISO…) ;
Associez les parties prenantes dès la conception du traitement ;
Documentez l’analyse, les mesures correctrices et le suivi.

Exemples d’application de l’Article 35 du RGPD

Une mairie met en place un dispositif de vidéosurveillance : une AIPD est obligatoire ;
Une banque lance une application de scoring de crédit : l’analyse d’impact est réalisée ;
Une plateforme RH recourt à l’intelligence artificielle pour trier les candidatures : elle documente les risques via une AIPD.