📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 35 du RGPD : Analyse d’impact relative à la protection des données

Sommaire

Introduction 

L’article 35 est une mesure préventive qui oblige le responsable du traitement à réaliser une Analyse d’Impact relative à la Protection des Données (AIPD) avant tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. Cette analyse doit évaluer la nécessité et la proportionnalité du traitement, identifier les risques spécifiques, et prévoir les mesures pour les atténuer.

Explication de l’article 

Lorsque certains traitements de données personnelles présentent un risque élevé pour les droits et libertés des personnes concernées, l’article 35 du RGPD impose la réalisation préalable d’une analyse d’impact sur la protection des données (AIPD).

Cette obligation concerne, par exemple, les traitements fondés sur une automatisation poussée, portant sur des données sensibles, ou encore sur une surveillance à grande échelle.

L’analyse doit être menée par le responsable de traitement, c’est-à-dire l’entité ou la personne qui détermine les finalités et les moyens du traitement.

Une même analyse peut couvrir plusieurs traitements si ceux-ci présentent des risques similaires.

L’analyse d’impact est obligatoire notamment dans les cas suivants :

  • Traitement automatisé, systématique et approfondi – tel que le profilage – susceptible de produire des effets juridiques ou d’affecter significativement une personne.
  • Traitement à grande échelle de données sensibles (santé, opinions politiques, religion, etc.) ou de données relatives à des infractions ou condamnations pénales.
  • Surveillance systématique à grande échelle d’espaces accessibles au public (par exemple, vidéosurveillance).

L’analyse doit inclure les éléments suivants :

  • Une description des traitements envisagés et de leurs finalités, ou de l’intérêt légitime poursuivi.
  • Une évaluation de la nécessité et de la proportionnalité du traitement au regard des objectifs fixés.
  • Une analyse des risques pour les droits et libertés des personnes concernées.
  • Les mesures envisagées pour atténuer ces risques.

L’analyse doit également tenir compte de l’éventuelle adhésion à un code de conduite, par le responsable de traitement ou ses sous-traitants. En l’absence de tels engagements, il est recommandé de consulter les personnes concernées.

Le responsable de traitement peut mettre en place un dispositif de vérification pour s’assurer que les opérations réalisées sont conformes à l’analyse initiale et n’en dévient pas.

Réaliser une AIPD est une démarche complexe qui nécessite souvent l’accompagnement d’un professionnel de la conformité. À noter : la CNIL met à disposition un téléservice en ligne pour faciliter la réalisation de cette analyse.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

1. Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.

2. Lorsqu’il effectue une analyse d’impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné.

3. L’analyse d’impact relative à la protection des données visée au paragraphe 1 est, en particulier, requise dans les cas suivants:

a) l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;

b) le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10; ou

c) la surveillance systématique à grande échelle d’une zone accessible au public.

4. L’autorité de contrôle établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise conformément au paragraphe 1. L’autorité de contrôle communique ces listes au comité visé à l’article 68.

5. L’autorité de contrôle peut aussi établir et publier une liste des types d’opérations de traitement pour lesquelles aucune analyse d’impact relative à la protection des données n’est requise. L’autorité de contrôle communique cette liste au comité

6. Avant d’adopter les listes visées aux paragraphes 4 et 5, l’autorité de contrôle compétente applique le mécanisme de contrôle de la cohérence visé à l’article 63, lorsque ces listes comprennent des activités de traitement liées à l’offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs États membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union.

7. L’analyse contient au moins:

a) une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement;

b) une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;

c) une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1; et

d) les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées

8. Le respect, par les responsables du traitement ou sous-traitants concernés, de codes de conduite approuvés visés à l’article 40 est dûment pris en compte lors de l’évaluation de l’impact des opérations de traitement effectuées par lesdits responsables du traitement ou sous-traitants, en particulier aux fins d’une analyse d’impact relative à la protection des données.

9. Le cas échéant, le responsable du traitement demande l’avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement.

10. Lorsque le traitement effectué en application de l’article 6, paragraphe 1, point c) ou e), a une base juridique dans le droit de l’Union ou dans le droit de l’État membre auquel le responsable du traitement est soumis, que ce droit règlemente l’opération de traitement spécifique ou l’ensemble des opérations de traitement en question et qu’une analyse d’impact relative à la protection des données a déjà été effectuée dans le cadre d’une analyse d’impact générale réalisée dans le cadre de l’adoption de la base juridique en question, les paragraphes 1 à 7 ne s’appliquent pas, à moins que les États membres n’estiment qu’il est nécessaire d’effectuer une telle analyse avant les activités de traitement.

11. Si nécessaire, le responsable du traitement procède à un examen afin d’évaluer si le traitement est effectué conformément à l’analyse d’impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Aucune disposition correspondante

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 62

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Le responsable du traitement effectue préalablement à la mise en œuvre du traitement une analyse d’impact des opérations de traitement envisagées sur la protection des données à caractère personnel dans les conditions prévues à l’article 35 du règlement (UE) 2016/679 du 27 avril 2016

Analyse des 3 textes qui précèdent 

Le RGPD instaure une obligation claire et ciblée : lorsqu’un traitement présente un risque élevé pour les droits et libertés des personnes (notamment par l’utilisation de nouvelles technologies ou la grande échelle de traitement), le responsable doit réaliser une Analyse d’Impact relative à la Protection des Données (AIPD) avant de lancer ce traitement.

Cette analyse est conçue pour évaluer de manière systématique et approfondie :

  • L’origine, la nature, la portée, le contexte, la particularité et la gravité du risque encouru.
  • La nécessité et la proportionnalité des opérations de traitement.
  • Le type de données et le nombre de personnes potentiellement affectées, notamment en cas de Big Data ou profils intensifs.
  • Les mesures techniques et organisationnelles envisagées pour atténuer les risques et garantir la conformité.

Le RGPD prévoit également que :

  • Le Délégué à la Protection des Données (DPO) doit être consulté lors de cette analyse.
  • Le sous-traitant doit assister le responsable le cas échéant.
  • Des listes de traitements soumis ou exemptés de cette obligation peuvent être établies par les autorités de contrôle.
  • En cas de risque non atténuable, le responsable doit consulter préalablement l’autorité de contrôle.
  • L’analyse doit être revue régulièrement, notamment en cas d’évolution du traitement.

Cette démarche vise à remplacer l’approche plus générale et parfois inefficace de notification préalable des traitements par un système plus ciblé et responsable, centré sur la prévention des risques spécifiques les plus importants.

Avant le RGPD, la Loi Informatique et Libertés ne prévoyait pas d’obligation d’analyse d’impact similaire à celle introduite par l’article 35.

  • La Loi Informatique et Libertés  reposait surtout sur des principes généraux de sécurité et de conformité mais ne comportait pas de mécanisme explicite et obligatoire de réalisation d’une analyse en amont pour les traitements à risque élevé.
  • L’accent était davantage mis sur la déclaration préalable à la CNIL de certains traitements (opérées avant 2018), sans méthode systématique d’évaluation des risques liés, comme le fait aujourd’hui l’AIPD.
  • Cette absence pouvait limiter la capacité des responsables de traitement à anticiper efficacement les risques majeurs.

Jurisprudences 

Européennes 

Affaire SIDECU, S.A

Sanction de 96 000 euros d’amende 

L’affaire SIDECU, S.A., sanctionnée le 26 juin 2025 par l’Agence espagnole de protection des données (AEPD) avec une amende de 96 000 euros, parle de l’article 35 du RGPD pour les raisons suivantes :

  • L’article 35 RGPD impose au responsable de traitement l’obligation de réaliser une Analyse d’Impact relative à la Protection des Données (AIPD) lorsqu’un traitement présente un risque élevé pour les droits et libertés des personnes concernées.
  • SIDECU a mis en place un système d’accès aux centres sportifs basé sur la reconnaissance faciale, un traitement de données biométriques, qui sont des données sensibles nécessitant une protection renforcée.
  • L’AEPD a constaté que SIDECU n’avait pas effectué cette analyse d’impact préalable, ni pris en compte les risques pour les droits des personnes liés à ce traitement particulièrement intrusif.
  • Cette absence d’AIPD constitue une violation de l’article 35, qui exige une évaluation systématique et documentée de la nécessité, la proportionnalité et des mesures d’atténuation des risques, notamment pour les données biométriques.

Affaire Département de la Sécurité Sociale d’Irlande 

Sanction de 550,000 euros d’amende

Cette affaire concernant le Département de la Sécurité Sociale d’Irlande porte sur l’article 35 du RGPD en raison des points suivants :

  • Le Département utilisait une technologie de reconnaissance faciale (« facial matching ») dans le cadre du processus d’enregistrement SAFE 2 pour la carte des services publics, impliquant la collecte et le traitement à grande échelle de données biométriques, qui sont des données sensibles au sens du RGPD.
  • L’enquête de la Data Protection Commission (DPC) a établi que le Département n’avait pas réalisé une Analyse d’Impact relative à la Protection des Données (AIPD) conforme aux exigences de l’article 35, notamment en omettant certaines informations clés dans l’évaluation d’impact.
  • L’article 35 (§7 b) et c)) impose notamment que l’AIPD inclue une évaluation complète des risques pour les droits et libertés des personnes, ainsi que des mesures envisagées pour atténuer ces risques, ce que le Département n’a pas suffisamment assuré.
  • Le DPC a également relevé d’autres manquements, comme l’absence de base juridique suffisante pour ce traitement (articles 5, 6, 9 RGPD), ainsi que le défaut d’information transparente aux personnes concernées (article 13 RGPD).

Françaises 

Délibération SAN-2024-021 du 19 décembre 2024

Sanction de 40,000 euros d’amende 

Cette entreprise a été sanctionnée pour mise en place d’un système de surveillance excessive des salariés, impliquant une absence d’évaluation d’impact sur la protection des données personnelles (AIPD).

Délibération SAN-2022-020 du 10 novembre 2022

Sanction de 800,000 euros d’amende

Discord Inc. a été sanctionnée pour de multiples violations, incluant le non-respect de l’article 35, car aucune AIPD n’avait été réalisée pour des traitements importants de données de ses utilisateurs.

Recommandations 

CEPD 

Responsabilisation sur le terrain – Partie II: analyses d’impact relatives à la protection des données et consultation préalable

CNIL

L’analyse d’impact relative à la protection des données (AIPD)

Analyse d’impact (AIPD)

Les guides AIPD (analyse d’impact relative à la protection des données)

Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD

Dois-je faire une AIPD ?

Analyse d’impact relative à la protection des données: les modèles (février 2018)

Listes des traitements pour lesquels une AIPD est requise ou non

Liste des types d’opérations de traitement pour lesquelles une analyse 

https://www.cnil.fr/sites/cnil/files/atoms/files/wp248_rev.01_fr.pdf

Le RGPD peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne de A à Z.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.