36.1.4 L’analyse d’impact relative à la protection des données (AIPD) : Quand est-ce qu’une analyse d’impact n’est pas obligatoire ?

Vous êtes dans une zone habituellement réservée aux stagiaires RGPD de « LE NET EXPERT FORMATIONS ». Afin des fins pédagogiques d’intérêt général, nous avons libéré l’accès à cette page et avons le plaisir de partager avec vous ce contenu.
Vous souhaitez suivre une formation sur le RGPD ou la CYBER ? Contactez-nous


L’AIPD un outil qui permet de construire un traitement conforme au RGPD et respectueux de la vie privée, lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Quand est-ce qu’une analyse d’impact n’est pas obligatoire ?

Une AIPD  n’est pas nécessaire dans les cas suivants :

  • quand le traitement figure sur la liste des exceptions adoptée par la CNIL après consultation du CEPD (Comité européen de protection des données) ;
  • quand le traitement ne présente pas de risque élevé pour les droits et libertés des personnes concernées ;
  • lorsque la nature, la portée, le contexte et les finalités du traitement envisagé sont très similaires à un traitement pour lequel une AIPD a déjà été menée ;
  • quand le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public (article 6 du RGPD), sous réserve que les conditions suivantes soient remplies : 
    1. qu’il ait une base légale dans le droit de l’UE ou le droit de l’État membre ;
    2. que ce droit règlemente cette opération de traitement ;
    3. et qu’une AIPD ait déjà été menée lors de l’adoption de cette base légale.


Sommaire du Chapitre « 36. L’ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNÉES »


Source : CNIL : Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD)