Skip to main content

L'Analyse d’Impact Relative à la Protection des Données (AIPD)

Lexagone vous accompagne dans la mise en place et le suivi de votre Analyse d’Impact sur la Protection des Données (AIPD).

Identifiez vos traitements à risque, sécurisez vos processus, et assurez la conformité RGPD pour protéger durablement vos données et votre organisation.

Demandez une consultation gratuite dès aujourd’hui !

aipd
aipd lexagone min

Nos experts RGPD réalisent vos AIPD avec la méthode EBIOS RM

Dès 2018, Lexagone a réalisé des AIPD pour des traitements innovants dont certains ont été soumis à la CNIL en tant que DPO externe ou cabinet de conseil RGPD.

Ces missions ont permis à nos experts RGPD d’identifier très tôt les exigences de la CNIL et d’éprouver la méthode EBIOS Risk Manager.

Ainsi pour la réalisation de vos AIPD nous collaborons étroitement avec les métiers, le RSSI et la direction des systèmes d’information (DSI) afin de cartographier très précisément les aspects techniques et organisationnels du traitement à risque afin d’évaluer la gravité et la vraisemblance des évènements redoutés.

Est-ce que les AIPD sont obligatoires ?

Les AIPD sont obligatoires pour tout traitement de données à caractère personnel présentant un risque élevé pour les droits et libertés des personnes concernées.

La CNIL a établi la liste des types d’opérations de traitement pour lesquelles il est obligatoire de réaliser une AIPD. Voici un extrait de la liste :

Les traitements « de santé » mis en œuvre par les établissements de santé (hôpital, CHU, cliniques, etc.).
Les traitements visant à faciliter le recrutement, notamment grâce à un algorithme de sélection.
Les traitements de détection et de gestion de «hauts potentiels».
La vidéosurveillance d’un entrepôt stockant des biens de valeur au sein duquel travaillent des manutentionnaires.
Les dispositifs de recueil d’alertes professionnelles.
Les applications pour mobile permettant de collecter les données de géolocalisation des utilisateurs.

Les AIPD sont également obligatoires pour les traitements comprenant au moins deux des neuf critères issus des lignes directrices du G29 :

  • Evaluation ou scoring (y compris le profilage).
  • Décision automatique avec effet légal ou similaire.
  • Surveillance systématique.
  • Collecte de données sensibles ou données à caractère hautement personnel.
  • Collecte de données personnelles à grande échelle.
  • Croisement de données.
  • Personnes vulnérables (patients, personnes âgées, enfants, etc.).
  • Usage innovant (utilisation d’une nouvelle technologie).
  • Exclusion du bénéfice d’un droit ou d’un contrat.
aipd pia lexagone min

NOS REFERENCES

iess.2023 min
efs.2025 min min
fcj copie min
aphm.2025 min
3251cee7 4bd7 4c06 866a 800e2619822d min
smatis min min

Témoignages clients : notre approche des missions d’AIPD/PIA

Le groupement d’intérêt public « Innovation e-Santé Sud » portant la mission d’appui au développement de l’e-santé en région PACA, a sélectionné le cabinet Lexagone pour réaliser son audit de maturité RGPD et le PIA de son portail régional de santé. Ce choix a été motivé par l’expérience des consultants spécialisés dans les domaines de la santé et de la cybersécurité.
Nous avons ainsi été accompagnés par une équipe pluridisciplinaire, organisée, efficace et bienveillante qui a su mener à bien sa prestation et ce, en lien étroit avec nos collaborateurs.

Tatiana RAKResponsable juridique et DPO du GIP ieSS

Le Centre Hospitalier dans lequel je suis le DSI, a désigné auprès de la CNIL le cabinet Lexagone comme DPO externe pour l'ensemble de ses établissements (sanitaire et médico-sociaux).
Leur équipe de consultants spécialisés a mis en place notre gouvernance RGPD aux côtés de la DSl en étroite collaboration avec les référents métiers et le RSSI.
Grace à leur organisation, leur disponibilité et leur pédagogie, les consultants de Lexagone ont pu mener à bien toutes les missions qui leur ont été confiées, y compris les plus complexes telles que les AIPD.
Je vous les recommande pour vos « chantiers » RGPD. Ils sauront s'adapter à vos exigences tout en restant dans la conformité.

Naky La LouzeDirecteur des Systèmes d'Information CH LA FERTE BERNARD

Foire Aux Questions

Qu’est-ce qu’une analyse d’impact relative à la protection des données ?

Une AIPD se décompose en trois parties :

  • Une description précise du traitement de données mis en œuvre détaillant précisément ses aspects techniques et opérationnels.
  • Une évaluation juridique de la conformité concernant la finalité, les données et durées de conservation, l’information et droits des personnes, etc.).
  • Une évaluation technique des risques liée à la sécurité des données (confidentialité, intégrité et disponibilité) avec leurs impacts potentiels sur la vie privée des personnes concernées.

Le rapport de l’AIPD devra déterminer les mesures techniques et organisationnelles nécessaires pour supprimer ou atténuer la vraisemblance de réalisation des risques de violation de données et le niveau d’impact matériel et moral sur les personnes.

NB : Analyse d’Impact Relative à la Protection des données (AIPD), Etude d’Impact sur la Vie Privée (EIVP), Data Protection Impact Assessment (DPIA) et PIA (Privacy Impact Assessment) sont des termes synonymes.

Qui doit réaliser l’analyse d’impact ?

Le responsable de traitement (RT) a l’obligation de s’assurer de la conformité de ses traitements de données personnelles.

Si le RT a désigné un délégué à la protection des données, il lui demande conseil et le charge de s’assurer de l’exécution de l’AIPD.

Si un sous-traitant intervient dans le traitement, il doit fournir son aide et les informations nécessaires à la réalisation de l’AIPD.

Enfin, le responsable de traitement devrait également demander l’avis des personnes concernées par le traitement à risque ou dans le cas contraire justifier cette non-sollicitation.

Pour que votre AIPD soit complète, il faut que les métiers (maîtrise d’ouvrage) et les personnes en charge de la sécurité des systèmes d’information participent au processus de réalisation de l’AIPD et à sa validation.

Y-a-t-il une méthode imposée pour faire son analyse d’impact ?

A titre préliminaire, une AIPD doit obligatoirement contenir :

  • Une description détaillée des opérations de traitement envisagées et des finalités poursuivies
  • Une évaluation de la proportionnalité des données collectées au regard des finalités du traitement.
  • Une évaluation des risques sur les droits et libertés des personnes concernées.
  • La liste des mesures envisagées pour faire face aux risques de violation de données afin d’assurer la protection des données à caractère personnel et à apporter la preuve du respect du RGPD.

Pour répondre à ces obligations, plusieurs méthodes sont possibles. En effet, le responsable de traitement est libre de la choisir mais quelle que soit la méthode retenue, celle-ci devra respecter les critères définis dans l’annexe 2 des lignes directrices du G29.

Toutefois, par souci d’efficacité et de pragmatisme, il est fortement conseillé d’utiliser la méthode EBIOS Rick Manager retenue par la CNIL et l’ANSSI que Lexagone utilise aussi.

Parlons de votre conformité


Informations de contact

Email : contact@lexagone.fr
Téléphone : +33 (0)972 169 310

Lexagone est présent à :

  • Biarritz
  • Bordeaux
  • Grenoble
  • Lille
  • Lyon
  • Marseille
  • Montpellier
  • Paris
  • Nantes
  • Toulon
lexagone logo

Notre cabinet de conseil RGPD propose des prestations de DPO externe orchestrées par des équipes de juristes spécialisés pour une gouvernance RGPD maîtrisée.

Membre de :

afcdp min
logo apssis h100 min
club decision dsi min

Référencé par :

logo caih 400 copie 0 0 1 min
53a58cfd 2d9c 4a08 84ac f80456cd147b
logo csirt blue
logo footer@2x