Une analyse d'impact (PIA) est-elle obligatoire pour un dispositif de contrôle ?
Réponse courte
L'analyse d'impact relative à la protection des données (AIPD) est obligatoire pour un dispositif de contrôle dès lors que le traitement présente un risque élevé pour les droits et libertés des salariés (article 35 du RGPD applicable en entreprise). La CNPD publie une liste des traitements y soumis qui inclut la plupart des dispositifs de contrôle automatisé : vidéosurveillance, géolocalisation, biométrie, surveillance informatique systématique.
L'AIPD doit être réalisée avant la mise en œuvre du dispositif, documentée et présentable à la CNPD, sous la supervision du délégué à la protection des données. Si elle révèle un risque résiduel élevé non maîtrisé, la consultation préalable de la CNPD est obligatoire (article 36 du RGPD). L'absence d'AIPD ou d'une consultation préalable lorsqu'elle est requise expose l'employeur à une amende administrative jusqu'à 2 % du chiffre d'affaires mondial.
Définition
L'analyse d'impact relative à la protection des données (AIPD) est une procédure formalisée d'évaluation des risques qu'un traitement fait peser sur les droits et libertés des personnes concernées, prévue par l'article 35 du RGPD.
Elle s'impose pour les traitements à risque élevé : suivi systématique de salariés, traitement à grande échelle de données sensibles, dispositifs nouveaux. Elle structure le principe d'accountability et conditionne la licéité de tout dispositif de surveillance significatif.
Questions fréquentes
Conditions d’exercice
L'AIPD est de fait obligatoire pour la quasi-totalité des dispositifs de surveillance des salariés ; la CNPD a publié une liste de référence dont l'usage exonère l'employeur d'une appréciation au cas par cas.
| Condition | Exigence |
|---|---|
| Risque élevé | Suivi systématique, données sensibles, traitement à grande échelle |
| Liste CNPD | Référence aux types de traitements requérant une AIPD |
| Préalable | AIPD réalisée avant le début du traitement |
| Documentée | Description, nécessité, risques, mesures d'atténuation |
| Mise à jour | Réévaluée à chaque modification substantielle |
| Consultation préalable | CNPD si risque résiduel élevé (article 36 RGPD) |
Modalités pratiques
L'AIPD suit la méthodologie en quatre étapes prévue par l'article 35(7) du RGPD : description, nécessité, identification des risques, mesures d'atténuation. Elle est conservée pour démontrer l'accountability.
| Démarche | Précision |
|---|---|
| Description du traitement | Finalités, moyens, durée, données, destinataires |
| Nécessité et proportionnalité | Démonstration de l'absence d'alternative moins intrusive |
| Évaluation des risques | Probabilité et gravité pour les droits et libertés |
| Mesures d'atténuation | Techniques et organisationnelles, documentées |
| Avis du DPO | Article 35(2) RGPD : consultation et trace écrite |
| Consultation préalable | CNPD si risque résiduel élevé (article 36 RGPD) |
| Mise à jour | Réévaluation à chaque modification du dispositif |
Pratiques et recommandations
Associer le DPO à toutes les étapes de l'AIPD et conserver son avis écrit.
Utiliser un modèle structuré (par exemple celui de la CNPD) pour standardiser la démarche.
Consulter les représentants du personnel pour recueillir leur avis sur le dispositif (article L.414-9).
Documenter chaque mesure d'atténuation et son impact sur le risque résiduel.
Réviser l'AIPD à chaque modification substantielle du dispositif ou de l'environnement juridique.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.261-1 du Code du travail | Traitement de données pour surveillance des salariés |
| Art. L.414-9 du Code du travail | Consultation/co-décision de la délégation du personnel |
| Loi modifiée du 1er août 2018 | Protection des données à caractère personnel |
| Règlement (UE) 2016/679 (RGPD) | Articles 35, 36, 83(4) |
| Lignes directrices CNPD | Liste des traitements soumis à AIPD |
| Lignes directrices CEPD | Méthodologie AIPD (ex-G29 WP248) |
Note
L'absence d'AIPD lorsqu'elle est requise constitue un manquement sanctionné jusqu'à 2 % du chiffre d'affaires mondial. Réaliser une AIPD ne dispense pas l'employeur d'informer les salariés, de consulter la délégation du personnel et de tenir à jour le registre des traitements.