L'analyse d'impact RGPD (AIPD) en entreprise : quand est-elle obligatoire ?
Vous envisagez de déployer un logiciel de tri des candidatures, un dispositif de vidéosurveillance ou un outil d’analyse des courriels de vos salariés. Avant de le mettre en œuvre, une question doit être tranchée : devez-vous réaliser une analyse d’impact relative à la protection des données ? Cette formalité, souvent désignée par son sigle AIPD, est une obligation du RGPD qui pèse directement sur l’employeur, responsable de traitement.L’enjeu est concret. Une AIPD omise sur un traitement qui l’exigeait constitue un manquement en soi, sanctionnable, et fragilise l’usage du dispositif. À l’inverse, réaliser une analyse d’impact sur un traitement anodin est une perte de temps. Tout l’objet de cet article est de vous permettre de savoir quand l’AIPD est obligatoire, en particulier pour les traitements de ressources humaines, comment la conduire, et ce que vous risquez en cas d’omission.

Par Maître Arnaud Sirven, Avocat en droit social Mis à jour le 4 juillet 2026
À retenir L’analyse d’impact relative à la protection des données (AIPD) est obligatoire, en vertu de l’article 35 du RGPD, avant tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. En droit social, plusieurs traitements RH sont visés : le profilage des salariés (détection de hauts potentiels, recrutement algorithmique, prévention des départs), la surveillance des salariés (analyse des courriels, vidéosurveillance, chronotachygraphe) et la gestion des alertes professionnelles. À l’inverse, la gestion RH courante dans les entreprises de moins de 250 salariés, le contrôle d’accès et des horaires ou les éthylotests encadrés en sont dispensés. L’AIPD se réalise avant la mise en œuvre, s’accompagne de l’information des salariés et de la consultation préalable du CSE, et son absence expose à des amendes lourdes.
Vous envisagez de déployer un logiciel de tri des candidatures, un dispositif de vidéosurveillance ou un outil d’analyse des courriels de vos salariés. Avant de le mettre en œuvre, une question doit être tranchée : devez-vous réaliser une analyse d’impact relative à la protection des données ? Cette formalité, souvent désignée par son sigle AIPD, est une obligation du RGPD qui pèse directement sur l’employeur, responsable de traitement.
L’enjeu est concret. Une AIPD omise sur un traitement qui l’exigeait constitue un manquement en soi, sanctionnable, et fragilise l’usage du dispositif. À l’inverse, réaliser une analyse d’impact sur un traitement anodin est une perte de temps. Tout l’objet de cet article est de vous permettre de savoir quand l’AIPD est obligatoire, en particulier pour les traitements de ressources humaines, comment la conduire, et ce que vous risquez en cas d’omission.
L’AIPD, une obligation de l’employeur responsable de traitement
L’analyse d’impact est une obligation qui découle directement de l’article 35 du RGPD. Depuis l’entrée en application du règlement, le 25 mai 2018, les employeurs n’ont plus à déclarer la plupart de leurs traitements à la CNIL avant de les mettre en œuvre. Cette logique déclarative a été remplacée par une logique de responsabilité : c’est désormais à l’employeur d’évaluer lui-même les risques de ses traitements et de le démontrer. L’AIPD est l’outil central de cette responsabilité.
Le principe est le suivant : le responsable de traitement doit conduire une analyse d’impact préalablement à la mise en œuvre de tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. L’AIPD se réalise donc en amont, avant le déploiement, et doit être mise à jour régulièrement au gré des évolutions du traitement. Elle peut porter sur un seul traitement ou sur plusieurs traitements similaires.
En clair : avant, on déclarait ses fichiers à la CNIL. Aujourd’hui, c’est à vous d’anticiper les risques. L’AIPD est l’exercice qui vous oblige à décrire un traitement sensible, à en peser la nécessité et à prévoir des garde-fous, avant de l’installer, pas après.
Quand l’AIPD est-elle obligatoire ? Les trois portes d’entrée
L’AIPD est obligatoire dès qu’un traitement est susceptible d’engendrer un risque élevé, et trois grilles permettent de le déterminer. Le RGPD, le Comité européen de la protection des données et la CNIL fournissent chacun une clé de lecture. Il suffit qu’une de ces grilles soit remplie pour que l’analyse d’impact s’impose.
Les trois catégories de l’article 35 du RGPD
L’article 35.1 du RGPD identifie trois catégories de traitements présumés à risque élevé. La première regroupe les traitements ayant pour finalité l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, ce qui inclut le profilage. La deuxième vise la surveillance systématique à grande échelle d’une zone accessible au public. La troisième concerne le traitement à grande échelle de données sensibles ou de données relatives à des condamnations pénales et à des infractions. Cette liste n’est pas limitative : d’autres traitements peuvent être concernés.
Ces trois catégories trouvent un écho direct dans la vie de l’entreprise. L’évaluation systématique d’aspects personnels correspond aux dispositifs de scoring ou de profilage des salariés. La surveillance systématique renvoie aux dispositifs de contrôle de l’activité. Le traitement de données sensibles vise, par exemple, les données de santé collectées dans certains contextes RH. Dès qu’un projet relève de l’une de ces catégories, la question de l’AIPD doit être posée.
Exemple : Une entreprise déploie un logiciel qui note en continu la performance de ses salariés à partir de nombreux indicateurs, pour orienter les évolutions de carrière. Ce dispositif relève de l’évaluation systématique et approfondie d’aspects personnels : il entre dans la première catégorie de l’article 35.1 et appelle une analyse d’impact.
Les neuf critères du CEPD et la règle des deux critères
Le Comité européen de la protection des données a établi neuf critères permettant d’identifier les traitements à risque élevé. Ces critères sont : l’évaluation ou la notation, y compris le profilage (pratique dite de scoring) ; la prise de décision automatisée produisant un effet juridique ou similaire significatif ; la surveillance systématique ; le traitement de données sensibles ou à caractère hautement personnel ; le traitement de données à grande échelle ; le croisement ou la combinaison d’ensembles de données ; les données concernant des personnes vulnérables ; l’utilisation innovante ou l’application de nouvelles solutions technologiques ou organisationnelles ; enfin, les traitements pouvant exclure une personne du bénéfice d’un droit ou d’un contrat.
La règle est celle du cumul de deux critères. La CNIL a confirmé que le fait de remplir deux de ces neuf critères rend en principe l’AIPD obligatoire. Elle a toutefois apporté deux nuances. Lorsque le traitement ne présente pas de risque élevé, bien que deux critères soient remplis, le responsable peut se dispenser de l’AIPD à condition d’expliquer et de documenter sa décision. À l’inverse, lorsque le traitement présente un risque élevé alors qu’un seul critère est rempli, l’AIPD doit être réalisée (Délibération CNIL n° 2018-326 du 11 octobre 2018).
En clair : pour savoir si vous devez faire une AIPD, comptez les critères. Deux critères remplis sur les neuf, et l’analyse devient en principe obligatoire. Un seul critère mais un risque manifestement élevé, et elle l’est aussi. Et si vous vous en dispensez, gardez une trace écrite de votre raisonnement.
La liste des traitements fixée par la CNIL
La CNIL a dressé une liste de traitements pour lesquels l’AIPD est obligatoire. Faisant usage de la marge de manœuvre laissée aux autorités de contrôle par les articles 35.4 et 35.5 du RGPD, la CNIL a fixé une liste de quatorze opérations de traitement devant systématiquement faire l’objet d’une analyse d’impact. Cette liste offre un repère concret, complémentaire des grilles précédentes, et plusieurs de ses entrées concernent directement la fonction RH.
L’intérêt de cette liste est sa valeur pratique : lorsqu’un traitement y figure, la question de l’appréciation du risque ne se pose plus, l’AIPD est due. C’est pourquoi il est essentiel, pour un employeur, de confronter chacun de ses traitements RH à cette liste avant tout déploiement. Les traitements RH qu’elle vise sont examinés en détail dans la partie suivante.
En clair : vous avez trois façons de savoir si une AIPD est obligatoire, et il suffit qu’une seule s’applique. Les trois catégories du texte, la règle des deux critères du CEPD, et la liste de la CNIL. En pratique, commencez par la liste de la CNIL : si votre traitement y figure, la réponse est oui, sans discussion.
En droit social : les traitements RH qui imposent une AIPD
Trois familles de traitements de ressources humaines sont expressément identifiées par la CNIL comme nécessitant une AIPD. C’est le cœur du sujet pour l’employeur, car ces traitements sont courants et leur déploiement sans analyse d’impact constitue un manquement.
La première famille est le profilage des salariés. Sont visés les traitements servant à établir des profils de personnes physiques aux fins de gestion des ressources humaines : la détection et la gestion des hauts potentiels, les traitements liés au recrutement ou visant à proposer des actions de formation personnalisées grâce à un algorithme, ou encore les dispositifs visant à détecter et prévenir les départs de salariés. Ces traitements combinent souvent plusieurs critères de risque, comme le scoring, la prise de décision automatisée et le traitement à grande échelle.
La deuxième famille est la surveillance des salariés. Sont concernés l’analyse des courriels, la vidéosurveillance et le chronotachygraphe des véhicules de transport routier. Ces dispositifs relèvent de la surveillance systématique, l’un des critères de risque, et touchent directement à la vie personnelle des salariés sur le lieu de travail.
La troisième famille est la gestion des alertes et des signalements en matière professionnelle. Les dispositifs d’alerte, qui traitent des données parfois sensibles et concernent des personnes en position de vulnérabilité, figurent également parmi les traitements pour lesquels la CNIL impose une analyse d’impact.
Exemple : Une entreprise déploie un logiciel qui note automatiquement les candidatures et présélectionne les profils. Ce traitement relève du profilage aux fins de recrutement : il figure parmi les traitements RH pour lesquels la CNIL impose une AIPD. La déployer sans analyse d’impact préalable est un manquement, indépendamment de la qualité de l’outil.
En clair : si votre projet consiste à profiler, noter, surveiller vos salariés ou à gérer des signalements, partez du principe qu’une AIPD est nécessaire. Ce sont précisément les traitements que la CNIL a ciblés en matière de ressources humaines.
Les traitements RH dispensés d’AIPD
Tous les traitements RH ne nécessitent pas une analyse d’impact, et la CNIL a précisé lesquels en sont dispensés. Cette précision est utile pour ne pas alourdir inutilement vos process. La dispense concerne quatre catégories principales.
D’abord, les traitements servant uniquement à la gestion des ressources humaines dans les entreprises de moins de 250 personnes, à l’exception du profilage. Ensuite, les traitements pour la gestion des comités d’entreprise et de leurs établissements. Puis les traitements ayant pour seule finalité le contrôle d’accès et le calcul du temps de travail, à l’exception des accès garantis par des relevés biométriques. Enfin, les éthylotests encadrés par les dispositions légales et visant uniquement à empêcher la conduite sous l’influence de l’alcool ou de stupéfiants (Délibération CNIL n° 2019-118 du 12 septembre 2019).
En clair : la paie et la gestion administrative classiques dans une PME, la pointeuse pour le temps de travail, l’éthylotest réglementaire : pas d’AIPD en principe. Mais dès que la biométrie ou le profilage entre en jeu, la dispense tombe.
Exemple : Une entreprise de 80 salariés utilise un badge pour gérer les accès et calculer le temps de travail : aucune AIPD n’est requise. Si elle remplace le badge par un dispositif de reconnaissance d’empreinte digitale, elle bascule dans le champ de la biométrie et doit réaliser une analyse d’impact avant de déployer le nouveau système.
Recrutement, intelligence artificielle et décision automatisée : le terrain le plus sensible
Le recours à l’intelligence artificielle pour recruter ou évaluer les salariés est le traitement RH qui concentre le plus de risques, et une analyse d’impact doit y être systématiquement réalisée. L’intégration de l’IA dans les pratiques RH exige une attention accrue aux droits des salariés, et une analyse d’impact doit être menée pour mesurer les risques et les bénéfices de chaque traitement recourant à l’IA. Un système d’IA utilisé à des fins de recrutement sera d’ailleurs considéré comme à haut risque au sens du règlement européen sur l’intelligence artificielle.
La décision automatisée encadrée par l’article 22 du RGPD
L’article 22 du RGPD pose un principe d’interdiction des décisions entièrement automatisées produisant des effets significatifs. Une décision prise à l’aide d’une solution d’IA, dans un processus de recrutement ou de promotion, constitue une décision automatisée dès lors qu’elle affecte un salarié. L’article 22 interdit en principe la prise de décision individuelle entièrement automatisée qui produit un effet juridique ou un effet significatif similaire, sauf exception. Le rejet automatique d’une candidature par un algorithme de présélection analysant les CV en est l’illustration typique.
Cette interdiction connaît des exceptions. Une décision entièrement automatisée reste possible lorsqu’elle est fondée sur le consentement explicite de la personne, lorsqu’elle est nécessaire à l’exécution d’un contrat, ou lorsqu’elle est autorisée par une disposition légale. Même dans ces cas, des mesures doivent être mises en place pour sauvegarder les droits et libertés de la personne concernée.
En clair : vous ne pouvez pas laisser un algorithme rejeter seul des candidatures ou décider seul du sort d’un salarié. La décision entièrement automatisée à effet significatif est interdite par principe, et les exceptions restent étroites et encadrées.
Les droits du candidat et du salarié
La personne visée par une décision automatisée bénéficie de droits spécifiques d’information et de recours. Elle doit être informée de l’existence de la décision automatisée, de la logique sous-jacente ainsi que de l’importance et des conséquences prévues de cette décision. Elle peut demander à connaître la logique et les critères employés.
Un droit à une intervention humaine lui est également reconnu. Toute personne ayant fait l’objet d’une telle décision peut demander qu’une personne intervienne, afin d’obtenir un réexamen de sa situation, d’exprimer son point de vue, d’obtenir une explication sur la décision prise ou de la contester. Cette intervention humaine doit être réelle, et non un simple geste symbolique : celui qui la conduit doit reprendre l’ensemble de l’analyse effectuée par l’algorithme.
Exemple : Un candidat écarté par un outil de présélection automatisé demande à comprendre pourquoi. L’employeur doit pouvoir lui indiquer la logique et les critères utilisés, et permettre à une personne de réexaminer réellement la candidature. Un réexamen de pure forme, qui se contenterait de valider la décision de l’algorithme, ne satisfait pas à l’exigence d’intervention humaine.
Le risque de biais algorithmiques
Les outils d’IA peuvent reproduire des discriminations, ce qui accroît encore l’exigence d’une analyse d’impact. Les algorithmes entraînés sur des données historiques peuvent perpétuer des biais et aboutir à des discriminations fondées sur le sexe, l’origine ethnique ou d’autres critères prohibés. La transparence et l’explicabilité des algorithmes sont donc essentielles, de même que la proportionnalité et l’équité des traitements. C’est précisément le rôle de l’analyse d’impact que d’identifier ces risques en amont et de prévoir les mesures pour les prévenir.
En clair : un algorithme de recrutement n’est jamais neutre par principe. S’il a appris sur des données passées, il peut reproduire les discriminations du passé. L’AIPD sert justement à repérer ce risque avant de déployer l’outil, et à documenter les garde-fous.
Information des salariés et consultation du CSE : les étapes à ne pas oublier
La mise en œuvre d’un traitement RH ne se limite pas à l’AIPD : elle suppose aussi d’informer les salariés et de consulter le CSE. Ces deux formalités relèvent respectivement du RGPD et du Code du travail, et leur omission fragilise le dispositif autant qu’une AIPD manquante.
L’information des salariés est due au titre des articles 13 et 14 du RGPD. Tout salarié dont les données font l’objet d’un traitement doit être informé, de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, conformément à l’article 12 du RGPD. Cette information doit être délivrée par un moyen permettant à l’employeur de s’en ménager la preuve.
La consultation du CSE s’impose ensuite. Le traitement envisagé doit donner lieu à une consultation préalable du comité social et économique lorsqu’il s’inscrit dans le cadre du recrutement, de la gestion du personnel ou du contrôle de l’activité des salariés, afin que le comité évalue la pertinence et la proportionnalité du dispositif (article L. 2312-38 du Code du travail).
Ces deux formalités se cumulent avec l’AIPD et ne se confondent pas avec elle. L’analyse d’impact est un exercice interne d’évaluation des risques, réalisé sous la responsabilité de l’employeur. L’information des salariés est une obligation individuelle, due à chaque personne concernée. La consultation du CSE est une obligation collective, préalable à la mise en œuvre du dispositif. Omettre l’une n’est pas rattrapé par l’accomplissement des autres : les trois doivent être menées à bien.
En clair : avant de lancer un dispositif de surveillance ou de gestion RH, trois réflexes : réaliser l’AIPD si le traitement l’exige, informer les salariés et pouvoir le prouver, et consulter le CSE. Sauter l’une de ces étapes suffit à exposer l’entreprise.
Comment réaliser une AIPD ? La méthode en pratique
L’AIPD suit une méthode structurée, dont la CNIL a détaillé le contenu minimal. L’article 35.7 du RGPD fixe les éléments qu’elle doit comporter, que la CNIL a décomposés en quatre parties. L’analyse doit indiquer, a minima, une description technique détaillée du traitement et de ses finalités ; une évaluation juridique portant sur le caractère nécessaire et proportionné des opérations au regard de leurs finalités ; une étude pratique des risques de sécurité pour les droits et libertés des personnes concernées ; et les mesures envisagées pour faire face à ces risques.
Cette démarche peut se décliner en plusieurs étapes concrètes. La première consiste à décrire le traitement, son contexte et ses finalités. La deuxième évalue la nécessité et la proportionnalité, en vérifiant que les données collectées sont adéquates, pertinentes et limitées à ce qui est nécessaire. La troisième identifie et évalue les risques pour les droits et libertés des personnes, compte tenu de la nature, de la portée et du contexte du traitement. La quatrième détermine les mesures propres à atténuer ces risques, comme la pseudonymisation, le chiffrement ou la minimisation des données. La cinquième associe le délégué à la protection des données pour bénéficier de son expertise. La sixième consigne l’ensemble des décisions et des mesures adoptées, afin de démontrer la conformité.
Deux points complètent cette méthode. Le délégué à la protection des données doit être associé à la démarche lorsqu’il en existe un, et l’ensemble des décisions doit être documenté pour démontrer la conformité. Surtout, lorsque l’analyse d’impact révèle des risques résiduels particuliers pour la vie privée des salariés que l’employeur ne parvient pas à réduire, le traitement doit faire l’objet d’une consultation préalable de la CNIL avant sa mise en œuvre (article 36.1 du RGPD).
Certains projets sont, par nature, des candidats à l’AIPD. La vidéosurveillance, les caméras à vision panoramique, l’analyse d’images, la reconnaissance faciale ou encore les transferts de données de salariés vers des clients ou des filiales hors de l’Union européenne constituent autant de scénarios à risque qui justifient, le plus souvent, une analyse d’impact préalable.
Exemple : Avant d’installer un dispositif d’analyse des courriels professionnels, une entreprise décrit le traitement et sa finalité, évalue sa nécessité et sa proportionnalité, identifie les risques pour la vie privée des salariés et prévoit des mesures (limitation du périmètre, durée de conservation courte, accès restreint). Si un risque élevé subsiste malgré ces mesures, elle doit consulter la CNIL avant de déployer l’outil.
En clair : une AIPD, ce n’est pas une case à cocher. C’est un document en quatre temps qui décrit le traitement, en pèse la nécessité, identifie les risques et prévoit des mesures. S’il reste un risque élevé que vous ne savez pas réduire, vous devez en parler à la CNIL avant de vous lancer.
AIPD, registre et délégué à la protection des données : un dispositif d’ensemble
L’analyse d’impact ne se conçoit pas isolément : elle s’inscrit dans le dispositif global de responsabilité de l’employeur. Le RGPD repose sur une logique d’accountability, qui impose non seulement de respecter les règles, mais aussi de pouvoir le démontrer. L’AIPD est l’un des outils de cette démonstration, aux côtés du registre des activités de traitement et, le cas échéant, du délégué à la protection des données.
Le registre des activités de traitement, prévu par l’article 30 du RGPD, recense l’ensemble des traitements de l’entreprise avec leurs finalités, leurs catégories de données, leurs destinataires et leurs durées de conservation. C’est lui qui permet d’identifier, parmi tous les traitements, ceux qui présentent un risque élevé et appellent une analyse d’impact. Un registre bien tenu est donc le point de départ naturel de la démarche d’AIPD : sans cartographie des traitements, l’employeur ne peut pas savoir lesquels doivent être analysés.
Le délégué à la protection des données joue un rôle central lorsqu’il a été désigné. Sa désignation est obligatoire dans trois cas prévus par l’article 37 du RGPD, notamment lorsque les activités de base impliquent un suivi régulier et systématique à grande échelle des personnes, ou le traitement à grande échelle de données sensibles. Le délégué doit être associé à la réalisation des analyses d’impact, qu’il aide à conduire, et il conseille l’employeur sur les traitements à risque. Son avis fait d’ailleurs partie des éléments que l’AIPD doit consigner.
En clair : l’AIPD n’est pas un document isolé. Elle découle de votre registre, qui vous dit quels traitements analyser, et elle s’appuie sur votre délégué à la protection des données quand vous en avez un. Ces trois briques forment le socle qui vous permet de prouver votre conformité.
L’échéance souvent oubliée : les traitements antérieurs au RGPD
L’obligation d’AIPD ne concerne pas seulement les nouveaux traitements, mais aussi certains traitements plus anciens. Les traitements régulièrement mis en œuvre avant l’application du RGPD, c’est-à-dire ceux qui étaient conformes au droit antérieur et avaient fait l’objet d’une déclaration ou d’une autorisation préalable auprès de la CNIL, bénéficiaient d’un délai. La CNIL avait accordé aux responsables de traitement un délai de trois ans pour réaliser l’analyse d’impact de ces traitements (Délibération n° 2018-326 du 11 octobre 2018).
Cette échéance est expirée depuis le 25 mai 2021. Depuis cette date, tout traitement susceptible d’engendrer un risque élevé, même s’il avait été régulièrement déclaré par le passé, doit avoir fait l’objet d’une analyse d’impact. Les entreprises qui s’appuient encore sur d’anciens dispositifs de surveillance ou de gestion RH sans avoir refait cet exercice sont en situation d’irrégularité, et une intensification des contrôles est à prévoir.
En pratique, cela invite à un audit des traitements existants. Un dispositif de vidéosurveillance installé avant 2018, une géolocalisation ancienne ou un outil d’analyse des connexions déployé de longue date peuvent parfaitement relever aujourd’hui de l’obligation d’AIPD sans qu’aucune analyse n’ait jamais été réalisée. Le fait que le dispositif ait été déclaré à la CNIL sous l’empire du droit antérieur ne suffit plus : c’est le niveau de risque actuel du traitement qui commande l’obligation. Reprendre le registre des traitements et identifier ceux qui présentent un risque élevé est le meilleur moyen de repérer ces angles morts.
En clair : ne présumez pas qu’un dispositif ancien est en règle parce qu’il fonctionne depuis des années et avait été déclaré à l’époque. S’il présente aujourd’hui un risque élevé, il devait avoir été analysé depuis le 25 mai 2021. Un audit de vos traitements permet d’identifier ces situations avant un contrôle.
En clair : un dispositif installé il y a des années et jamais réexaminé n’est pas forcément en règle. Si ce dispositif présente aujourd’hui un risque élevé, il devait avoir fait l’objet d’une AIPD depuis le 25 mai 2021. C’est un angle mort fréquent dans les entreprises.
Les sanctions en l’absence d’AIPD
Le défaut d’analyse d’impact expose l’entreprise à des amendes administratives lourdes. Le manquement à l’obligation d’AIPD relève des sanctions prévues par l’article 83.4 du RGPD, avec des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.
Au-delà de l’amende, l’absence d’AIPD fragilise le traitement lui-même. Un dispositif de surveillance déployé sans analyse d’impact, sans information des salariés et sans consultation du CSE est exposé à la contestation, et les preuves qui en sont issues peuvent être discutées devant le juge. La réalisation d’une AIPD est donc autant une obligation de conformité qu’un investissement de sécurisation.
La CNIL sanctionne d’ailleurs concrètement les dispositifs de surveillance mal maîtrisés. Elle a prononcé une amende à l’encontre d’une société pour un dispositif de vidéosurveillance plaçant une salariée sous une surveillance permanente et constante, dont les images étaient de surcroît accessibles de manière non sécurisée (Délib. CNIL, 15 juin 2017, n° SAN-2017-009). Une analyse d’impact aurait précisément conduit à s’interroger sur la proportionnalité d’une surveillance permanente et sur la sécurité des accès aux images, et donc à corriger le dispositif avant qu’il n’expose l’entreprise.
En clair : les manquements sanctionnés par la CNIL portent souvent sur des dispositifs de surveillance disproportionnés ou mal sécurisés. Ce sont exactement les points qu’une AIPD met en lumière. L’analyse d’impact n’est donc pas un risque de plus, c’est un moyen d’éviter la sanction.
En clair : ne pas faire d’AIPD quand elle est obligatoire, c’est risquer une amende qui se chiffre en millions, mais aussi voir tomber un dispositif de surveillance et les preuves qu’il produit. Le coût de l’analyse est sans commune mesure avec celui du manquement.
L’AIPD, un atout en cas de contentieux prud’homal
Au-delà de la conformité, l’AIPD renforce la position de l’employeur dans un litige. Les dispositifs de surveillance des salariés servent fréquemment à établir une faute et à fonder une sanction ou un licenciement. Or la recevabilité d’une preuve issue d’un tel dispositif dépend de sa régularité. Une preuve obtenue par un traitement irrégulier peut être écartée, et le juge apprécie, en cas d’illicéité, si la production de la preuve est indispensable et proportionnée au but poursuivi (Cass. soc., 25 novembre 2020, n° 17-19.523).
Dans ce contexte, l’AIPD joue un double rôle. Elle démontre que l’employeur a évalué en amont la proportionnalité du dispositif, ce qui est précisément l’objet du contrôle du juge. Elle matérialise aussi la conformité du traitement, condition de la licéité de la preuve. Un dispositif de vidéosurveillance ou d’analyse des courriels précédé d’une AIPD, d’une information des salariés et d’une consultation du CSE est bien plus difficile à contester qu’un dispositif opaque et non documenté.
La jurisprudence sociale illustre l’importance de la finalité et de l’information, deux éléments que l’AIPD formalise. En matière de géolocalisation, la Cour de cassation a jugé que l’utilisation d’un système de géolocalisation pour contrôler la durée du travail n’est pas justifiée lorsque le salarié dispose d’une liberté dans l’organisation de son travail, la finalité du dispositif ne visant que la sécurité et l’allocation des moyens (Cass. soc., 3 novembre 2011, n° 10-18.036). Les relevés de géolocalisation ne pouvaient alors valoir comme preuve du temps de travail ni pour justifier les motifs du licenciement (CA Metz, 28 février 2017, n° 15/02550). En matière de vidéosurveillance, l’employeur ne peut pas utiliser les enregistrements comme preuve si les salariés n’ont pas été préalablement informés de l’existence du dispositif (Cass. soc., 20 septembre 2018, n° 16-26.482).
Ces décisions montrent que le juge contrôle exactement ce que l’AIPD documente : la finalité réelle du traitement, sa proportionnalité et l’information des personnes. Réaliser l’analyse d’impact, c’est donc préparer, par avance, la défense de la recevabilité de ses preuves.
En clair : l’AIPD n’est pas qu’une contrainte administrative. Le jour où vous voudrez produire une image de vidéosurveillance ou un courriel devant le conseil de prud’hommes, avoir réalisé l’analyse d’impact en amont vous aidera à démontrer que votre dispositif était proportionné et licite, donc que la preuve est recevable.
Récapitulatif
Les points essentiels sur l’AIPD en entreprise :
- L’AIPD est obligatoire avant tout traitement susceptible d’engendrer un risque élevé (article 35 du RGPD).
- Trois grilles permettent de le déterminer : les trois catégories de l’article 35.1, les neuf critères du CEPD (deux critères suffisent), et la liste de la CNIL.
- En droit social, l’AIPD s’impose pour le profilage des salariés, leur surveillance (courriels, vidéosurveillance, chronotachygraphe) et la gestion des alertes.
- Sont dispensés : la gestion RH courante de moins de 250 salariés hors profilage, la gestion des comités, le contrôle d’accès et des horaires hors biométrie, les éthylotests encadrés.
- Le traitement suppose aussi l’information des salariés (articles 12 à 14) et la consultation préalable du CSE (article L. 2312-38 du Code du travail).
- L’AIPD comporte quatre parties et doit être réalisée avant la mise en œuvre ; un risque résiduel élevé impose de consulter la CNIL (article 36.1).
- Les traitements antérieurs au RGPD devaient être régularisés avant le 25 mai 2021.
- L’absence d’AIPD expose à des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial.
FAQ : vos questions sur l’analyse d’impact (AIPD)
Quand une AIPD est-elle obligatoire ?
Dès qu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes (article 35 du RGPD). Trois grilles le déterminent : les trois catégories de l’article 35.1, les neuf critères du Comité européen de la protection des données dont deux suffisent, et la liste des traitements fixée par la CNIL. En pratique, le profilage et la surveillance des salariés imposent une AIPD.
Qui doit réaliser l’AIPD ?
Le responsable de traitement, c’est-à-dire l’employeur pour les traitements RH. Il conduit l’analyse, en associant le délégué à la protection des données lorsqu’il en existe un. La responsabilité de l’AIPD, et donc du risque en cas d’omission, pèse sur l’employeur, y compris lorsqu’un prestataire intervient sur le traitement.
Comment faire une AIPD ?
En quatre parties, selon le contenu détaillé par la CNIL à partir de l’article 35.7 du RGPD : une description technique du traitement et de ses finalités, une évaluation juridique de la nécessité et de la proportionnalité, une étude des risques de sécurité pour les personnes, et les mesures pour y faire face. L’analyse se réalise avant la mise en œuvre et se met à jour régulièrement.
Faut-il une AIPD pour la vidéosurveillance des salariés ?
Oui, la vidéosurveillance des salariés figure parmi les traitements de surveillance pour lesquels la CNIL impose une analyse d’impact. Le déploiement d’un dispositif de vidéosurveillance sur les lieux de travail doit donc être précédé d’une AIPD, en plus de l’information des salariés et de la consultation du CSE.
Faut-il une AIPD pour un logiciel de recrutement ?
Oui lorsque le logiciel établit des profils. Les traitements de profilage aux fins de gestion des ressources humaines, dont le recrutement algorithmique et la présélection automatisée des candidatures, sont expressément visés par la CNIL comme nécessitant une AIPD. Un simple outil de suivi administratif des candidatures sans profilage n’est en revanche pas concerné au même titre.
Une PME est-elle concernée par l’AIPD ?
Cela dépend du traitement. La gestion RH courante dans une entreprise de moins de 250 salariés est dispensée d’AIPD, sauf en cas de profilage. Mais une PME qui déploie de la vidéosurveillance, un dispositif biométrique ou un outil de profilage doit réaliser une AIPD, quelle que soit sa taille. Le critère déterminant est le risque du traitement, pas l’effectif.
Quels traitements RH sont dispensés d’AIPD ?
Quatre catégories. La gestion RH des entreprises de moins de 250 salariés hors profilage, la gestion des comités d’entreprise et de leurs établissements, le contrôle d’accès et des horaires hors biométrie, et les éthylotests encadrés par la loi (Délibération CNIL n° 2019-118 du 12 septembre 2019). Ces dispenses tombent dès qu’un facteur de risque, comme la biométrie, est présent.
Faut-il consulter le CSE avant de mettre en place un traitement de données ?
Oui lorsque le traitement concerne le recrutement, la gestion du personnel ou le contrôle de l’activité des salariés. L’article L. 2312-38 du Code du travail impose la consultation préalable du CSE, qui évalue la pertinence et la proportionnalité du dispositif. Cette consultation s’ajoute à l’AIPD et à l’information individuelle des salariés.
Que se passe-t-il si l’AIPD révèle un risque élevé impossible à réduire ?
Le traitement doit faire l’objet d’une consultation préalable de la CNIL avant sa mise en œuvre. Lorsque l’analyse d’impact met en évidence des risques résiduels particuliers pour la vie privée des salariés que l’employeur ne parvient pas à atténuer, l’article 36.1 du RGPD impose de saisir la CNIL avant de déployer le traitement.
Les traitements installés avant 2018 doivent-ils faire l’objet d’une AIPD ?
Oui s’ils présentent un risque élevé. Les traitements antérieurs à l’application du RGPD bénéficiaient d’un délai de trois ans, expiré le 25 mai 2021 (Délibération CNIL n° 2018-326). Depuis cette date, tout traitement à risque élevé, même ancien et régulièrement déclaré autrefois, doit avoir fait l’objet d’une analyse d’impact.
Quelles sanctions en l’absence d’AIPD ?
Des amendes administratives pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu (article 83.4 du RGPD). Au-delà de l’amende, l’absence d’AIPD fragilise le dispositif et les preuves qui en sont issues, qui peuvent être contestées devant le juge.
Faut-il une AIPD pour un outil de recrutement fondé sur l’intelligence artificielle ?
Oui, et elle est même systématique. Les traitements recourant à l’IA en matière RH doivent faire l’objet d’une analyse d’impact, et un système d’IA de recrutement est considéré comme à haut risque. S’y ajoute l’encadrement de la décision automatisée par l’article 22 du RGPD, qui interdit en principe qu’un algorithme décide seul du sort d’une candidature et impose l’information du candidat ainsi qu’un droit à l’intervention humaine.
Un algorithme peut-il décider seul du rejet d’une candidature ?
Non, en principe. L’article 22 du RGPD interdit la décision individuelle entièrement automatisée produisant un effet juridique ou significatif, comme le rejet automatique d’une candidature, sauf exceptions (consentement explicite, exécution d’un contrat, disposition légale). Même dans ces cas, le candidat doit être informé, pouvoir obtenir une explication et demander une intervention humaine réelle pour réexaminer sa situation.
La géolocalisation des salariés peut-elle servir de preuve ?
Seulement dans les limites de sa finalité. La Cour de cassation a jugé que la géolocalisation ne peut pas servir à contrôler la durée du travail lorsque le salarié dispose d’une liberté d’organisation, sa finalité étant la sécurité et l’allocation des moyens (Cass. soc., 3 novembre 2011, n° 10-18.036). Un usage détourné prive les relevés de toute valeur probatoire, ce qui illustre l’intérêt de définir et de documenter la finalité, notamment via l’AIPD.
L’AIPD doit-elle être transmise à la CNIL ou communiquée au CSE ?
L’AIPD n’est pas systématiquement transmise à la CNIL. Elle n’est adressée à l’autorité de contrôle, au titre de la consultation préalable, que lorsqu’elle révèle un risque résiduel élevé que l’employeur ne parvient pas à réduire (article 36.1 du RGPD). En revanche, lorsque le traitement concerne le recrutement, la gestion du personnel ou le contrôle de l’activité, le CSE doit être consulté préalablement et se prononce sur la pertinence et la proportionnalité du dispositif, ce qui rejoint l’objet de l’analyse d’impact.
Qu’est-ce que le principe d’accountability ?
C’est le principe de responsabilité qui structure le RGPD. Il impose à l’employeur non seulement de respecter les règles de protection des données, mais aussi de pouvoir démontrer ce respect à tout moment. L’AIPD, le registre des activités de traitement et la documentation des décisions sont les outils de cette démonstration. En cas de contrôle, c’est cette traçabilité qui atteste de la diligence de l’entreprise.
AIPD et DPIA, est-ce la même chose ?
Oui. DPIA est le sigle anglais (Data Protection Impact Assessment) de l’analyse d’impact relative à la protection des données, désignée en français par le sigle AIPD. Les deux termes recouvrent exactement la même obligation issue de l’article 35 du RGPD. La formulation change, pas le contenu ni le régime juridique.
Faut-il refaire l’AIPD si le traitement évolue ?
Oui. L’AIPD doit être mise à jour régulièrement, au gré des évolutions des modalités du traitement. Un changement de finalité, l’ajout de nouvelles données, le recours à une technologie différente ou l’extension du périmètre justifient de réexaminer l’analyse. Une AIPD figée qui ne reflète plus le traitement réel ne remplit plus son rôle et n’atteste plus de la conformité.
Vous devez déployer un traitement de données RH et vous vous interrogez sur l’AIPD ?
Profilage, vidéosurveillance, analyse des courriels, outils de recrutement algorithmiques : ces dispositifs supposent, le plus souvent, une analyse d’impact, une information des salariés et une consultation du CSE. Une erreur d’appréciation sur l’obligation d’AIPD expose l’entreprise à une amende et fragilise le dispositif.
Auron Avocat accompagne les employeurs sur l’ensemble de ces questions : détermination de l’obligation d’AIPD, sécurisation juridique des traitements RH et des dispositifs de surveillance, articulation avec l’information des salariés et la consultation du CSE, et défense en cas de contrôle de la CNIL.
N’attendez pas la mise en œuvre du traitement pour vous interroger : l’analyse d’impact se réalise en amont.
Contactez Auron Avocat pour une consultation personnalisée.



