Respect de votre vie privée

Nous utilisons des cookies pour améliorer votre expérience sur DPO Manager. Les cookies essentiels sont nécessaires au fonctionnement de la plateforme. Les cookies analytiques nous aident à comprendre comment vous utilisez notre service afin de l'améliorer (anonymisés, conformes RGPD).

DPO Manager
Analyse
10 février 2026
13 min de lecture

DPIA : guide complet de l'analyse d'impact sur la protection des données

L'analyse d'impact (DPIA) est obligatoire pour les traitements à risque élevé. Découvrez quand et comment la réaliser en suivant la méthodologie PIA de la CNIL.

DPIAPIAanalyse impactarticle 35RGPDCNILrisque

L'analyse d'impact relative à la protection des données (DPIA - Data Protection Impact Assessment, ou PIA pour Privacy Impact Assessment) est un outil central du RGPD pour évaluer et attenuer les risques que les traitements de données font peser sur les droits et libertés des personnes.

Quand une DPIA est-elle obligatoire ?

L'article 35 du RGPD impose la réalisation d'une DPIA lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. La CNIL a publie une liste de 14 types de traitements pour lesquels une DPIA est systématiquement requise :

  • Traitements de données de santé à grande échelle
  • Profilage avec effets juridiques ou significatifs
  • Surveillance systématique à grande échelle d'une zone accessible au public
  • Traitements de données biométriques pour l'identification
  • Traitements de données génétiques
  • Croisement ou combinaison de données à grande échelle
  • Traitements de données de personnes vulnerables (mineurs, patients, salariés)
  • Utilisation innovante de technologies (IA, IoT, reconnaissance faciale)
  • Traitements qui empêchent les personnes d'exercer un droit ou de bénéficier d'un service

Règle des 2 critères

En cas de doute, appliquez la règle du "2 sur 9" : si votre traitement remplit au moins 2 des 9 critères du CEPD (évaluation/scoring, décision automatisée, surveillance systématique, données sensibles, grande échelle, croisement de données, personnes vulnerables, usage innovant, blocage d'un droit), une DPIA est très probablement nécessaire.

Méthodologie PIA de la CNIL en 4 étapes

Étape 1 - Description du traitement : Decrivez précisément le traitement : nature, portee, contexte, finalités, données traitées, flux, technologies utilisées, personnes concernées, destinataires.

Étape 2 - Évaluation de la nécessité et de la proportionnalité : Vérifiez que le traitement est nécessaire et proportionnel par rapport à ses finalités. Évaluez les bases légales, le respect des principes de minimisation, de limitation des finalités et de conservation.

Étape 3 - Évaluation des risques pour les personnes : Identifiez les sources de risques (accès illégitime, modification non désirée, disparition de données), les événements redoutés et leurs impacts sur la vie privee des personnes. Évaluez la gravité et la vraisemblance de chaque risque.

Étape 4 - Mesures pour traiter les risques : Définissez les mesures techniques et organisationnelles pour éliminer ou réduire les risques identifiés. Si des risques résiduels élevés subsistent, consultez la CNIL avant de mettre en œuvre le traitement (article 36).

Contenu minimum d'une DPIA

  • Description systématique des opérations de traitement et de leurs finalités
  • Évaluation de la nécessité et de la proportionnalité du traitement
  • Évaluation des risques pour les droits et libertés des personnes
  • Mesures envisagées pour faire face aux risques (garanties, mesures de sécurité)
  • Avis du DPO (le cas échéant)
  • Avis des personnes concernées (le cas échéant)
Art. 35
Base légale
14
Traitements listés CNIL
4
Étapes méthodologie PIA
9
Critères CEPD

DPIA simplifiee avec DPO Manager

Le module DPIA de DPO Manager vous guide pas à pas dans la réalisation de vos analyses d'impact : questionnaire interactif, évaluation automatique des risques, génération du rapport complet et suivi des mesures correctives. Conformité garantie avec la méthodologie CNIL.

Simplifiez votre conformité avec DPO Manager

Registre des traitements, gestion des droits, DPIA, incidents, sous-traitants, cookies et formation : tout en un seul outil.

Démarrer l'essai gratuit 14 jours

Sans carte bancaire • Configuration en 15 minutes

Articles similaires

Conformité12 min

Comment créer et maintenir votre registre des traitements RGPD

Le registre des traitements est la pierre angulaire de votre conformité RGPD. Découvrez comment le créer, le maintenir à jour et éviter les erreurs courantes conformément à l'article 30.

Lire
Cookies9 min

Consentement et cookies : les règles RGPD et ePrivacy à respecter en 2026

Les règles sur les cookies et le consentement évoluent constamment. Découvrez les recommandations CNIL 2026 et comment mettre votre site en conformité avec le RGPD et la directive ePrivacy.

Lire
Organisation10 min

Le rôle du DPO : missions, obligations et bonnes pratiques

Le Délégué à la Protection des Données (DPO) est un acteur clé de la conformité RGPD. Découvrez ses missions, quand sa désignation est obligatoire et comment exercer ce rôle efficacement.

Lire
Tous les articles du blog