La DPIA (Data Protection Impact Assessment) — ou AIPD en français (Analyse d'Impact relative à la Protection des Données) — est l'un des outils les plus structurants du RGPD. Obligatoire dans certains cas, elle vous force à documenter les risques de vos traitements avant de les déployer. Voici le guide complet pour la réaliser correctement.
Qu'est-ce qu'une DPIA et pourquoi est-elle obligatoire ?
L'Article 35 du RGPD impose une DPIA avant tout traitement "susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques". C'est une évaluation systématique des risques liés à un traitement de données personnelles, documentée et maintenue à jour.
L'objectif n'est pas de remplir une case bureaucratique, mais de concevoir la vie privée dès la conception (privacy by design) et d'identifier les risques avant qu'ils se matérialisent — pas après.
Quand faire une DPIA ? (Article 35 — critères)
La CNIL a établi une liste de 9 critères. Si votre traitement répond à au moins 2 d'entre eux, une DPIA est obligatoire :
- Évaluation ou scoring de personnes (solvabilité, comportement, localisation)
- Décision automatisée avec effet significatif sur les personnes
- Surveillance systématique (vidéosurveillance, tracking comportemental à grande échelle)
- Données sensibles (santé, biométrie, opinions politiques, religion)
- Traitement à grande échelle (clients nationaux d'une grande banque, données de millions d'utilisateurs)
- Croisement de données issues de sources distinctes
- Données de personnes vulnérables (mineurs, patients, salariés)
- Usage innovant d'une nouvelle technologie (IA, IoT, reconnaissance faciale)
- Transfert hors UE avec accès à des données sensibles
En dehors de ces critères obligatoires, la DPIA reste recommandée pour tout traitement dont vous n'êtes pas certain qu'il présente un risque faible.
Les 9 étapes CNIL pour une DPIA complète
La CNIL recommande une méthodologie en 9 étapes, articulées autour de trois grandes phases.
Phase 1 : Description du traitement
Étape 1 — Décrire le traitement
Documentez exhaustivement le traitement : données collectées, finalités, base légale (consentement, contrat, intérêt légitime...), acteurs impliqués (responsable de traitement, sous-traitants), flux de données, durées de conservation.
Étape 2 — Identifier les données et les traitements
Listez chaque catégorie de données (nom, email, données bancaires, etc.), les personnes concernées (clients, salariés, visiteurs), les supports utilisés (serveurs, cloud, papier), et les accès autorisés.
Phase 2 : Évaluation des risques
Étape 3 — Évaluer la nécessité et la proportionnalité
Le traitement est-il limité à ce qui est strictement nécessaire ? La durée de conservation est-elle justifiée ? Les personnes ont-elles été informées ? Peuvent-elles exercer leurs droits ?
Étape 4 — Identifier les sources de risque
Qui peut accéder aux données de façon illégitime ? Internes (employés malveillants), externes (hackers), accidentels (erreur humaine) ?
Étape 5 — Évaluer les menaces et leur impact
Pour chaque source de risque, identifiez les menaces (vol de données, divulgation accidentelle, altération) et leur impact potentiel sur les personnes concernées.
Étape 6 — Évaluer les risques
Combinaison de la vraisemblance (probabilité que la menace se réalise) et de la gravité (impact sur les personnes). Résultat : une matrice de risques avec des niveaux (négligeable, limité, important, maximal).
Phase 3 : Mesures et validation
Étape 7 — Identifier les mesures existantes
Listez les mesures déjà en place : chiffrement, contrôle d'accès, pseudonymisation, sauvegardes, procédures de réponse aux incidents.
Étape 8 — Évaluer si les risques résiduels sont acceptables
Les mesures réduisent-elles les risques à un niveau acceptable ? Si des risques importants ou maximaux subsistent, vous devez consulter la CNIL avant de lancer le traitement.
Étape 9 — Valider et documenter
La DPIA doit être validée par le responsable de traitement. Si vous avez un DPO (Délégué à la Protection des Données), sa consultation est obligatoire. Le document doit être maintenu à jour à chaque changement significatif du traitement.
Exemple concret : DPIA pour un site e-commerce
Prenons l'exemple d'un site e-commerce souhaitant déployer un système de recommandations personnalisées basé sur l'historique d'achat et de navigation.
Critères déclenchants : scoring/profilage (critère 1) + croisement de données (critère 6) = DPIA obligatoire.
Données traitées : historique d'achat, pages visitées, clics, données démographiques, localisation approximative.
Risques identifiés :
- Divulgation des habitudes d'achat à des tiers non autorisés (gravité : importante)
- Profilage excessif révélant des données sensibles (préférences de santé déduites d'achats) (gravité : maximale)
- Fuite de données via le prestataire de recommandations (vraisemblance : limitée, gravité : importante)
Mesures retenues :
- Anonymisation des données après 12 mois d'inactivité
- Accord de traitement des données avec le prestataire (Article 28)
- Droit d'opposition facile à exercer depuis le compte utilisateur
- Audit sécurité annuel du prestataire
- Chiffrement des données en transit et au repos
Risques résiduels : limités — consultation CNIL non requise.
Modèle simplifié pour PME
Voici les 12 champs minimum d'une DPIA pour une PME :
| Champ | Contenu | |-------|---------| | Nom du traitement | Ex : "Newsletter marketing" | | Responsable | Nom, fonction, coordonnées | | Finalité | Ce à quoi servent les données | | Base légale | Consentement / Contrat / Intérêt légitime | | Données concernées | Liste des catégories | | Personnes concernées | Clients / Salariés / Prospects | | Sous-traitants | Liste avec pays d'hébergement | | Durée de conservation | Délai précis et justification | | Mesures de sécurité | Chiffrement, accès, sauvegardes | | Risques identifiés | Nature, vraisemblance, gravité | | Mesures de réduction | Actions pour chaque risque | | Date de validation | Et prochaine revue |
Les erreurs à éviter
Faire la DPIA après le lancement : L'Article 35 exige une évaluation avant la mise en œuvre. Une DPIA rétrospective est non-conforme et ne protège pas en cas de contrôle.
Confondre DPIA et registre des traitements : Le registre liste tous vos traitements. La DPIA analyse en profondeur les traitements à risque élevé. Les deux sont complémentaires.
Ne pas la mettre à jour : Une DPIA n'est pas un document figé. Tout changement significatif (nouveau prestataire, nouvelles données, modification des finalités) impose une mise à jour.
Sous-estimer les risques : Soyez honnêtes dans l'évaluation. Une DPIA qui conclut que tout va bien sans analyse sérieuse ne protège pas juridiquement et peut aggraver votre responsabilité.
WarDek et le module DPIA
WarDek analyse automatiquement les éléments techniques de votre traitement lors d'un scan : transferts de données vers des tiers, cookies déposés, niveau de chiffrement des communications, sous-traitants identifiés. Ces données alimentent directement votre DPIA en pré-remplissant les sections techniques.
Pour les sections organisationnelles, WarDek propose des modèles structurés selon les recommandations CNIL.
Commencez par un scan de votre site pour identifier les traitements qui pourraient nécessiter une DPIA.