Lanalyse dimpact relative à la protection des données (AIPD) est un des éléments centraux du Règlement général sur la protection des données (RGPD) entré en vigueur le 25 mai 2018.
En complément de celles adoptées au niveau européen, la Commission nationale de l’informatique et des libertés (Cnil) publie ses propres lignes directrices pour préciser :
– le périmètre de lobligation deffectuer une AIPD ;
– les conditions de réalisation de lAIPD ;
– les cas dans lesquels une AIPD doit lui être transmise.
En outre, conformément à ce que prévoit larticle 35.4° du RGPD, la Cnil a élaboré une liste de quatorze types dopérations de traitement pour lesquels elle estime nécessaire quune AIPD soit réalisée. Elle précise que cette liste nest pas exhaustive, dans la mesure où des traitements qui ny figurent pas peuvent néanmoins devoir faire lobjet dune AIPD. Cest le cas des traitements susceptibles dengendrer un risque élevé pour les droits et libertés des personnes physiques au regard des critères issus des lignes directrices européennes.
La Cnil adoptera prochainement la liste des traitements pour lesquels aucune AIPD nest requise.