Skip to content
Learni
View all tutorials
Protection des données

Comment réaliser une AIPD conforme au RGPD en 2026

18 minBEGINNER
RGPDAIPDConformité

Introduction

L'AIPD est une obligation légale pour les traitements de données à haut risque selon le RGPD. Elle permet d'identifier et de minimiser les risques pour les droits et libertés des personnes. Ce tutoriel vous guide de manière progressive pour réaliser une AIPD complète et conforme, en utilisant des outils simples et des modèles réutilisables.

Prérequis

  • Connaissances de base du RGPD
  • Accès à un tableur (Excel ou Google Sheets)
  • Notions élémentaires de JSON et YAML
  • Compte CNIL ou équivalent pour les références officielles

Modèle de description du traitement

aipd-description.json
{
  "nomTraitement": "Gestion des clients CRM",
  "finalite": "Suivi des ventes et fidélisation",
  "categoriesDonnees": ["Nom", "Email", "Historique achats"],
  "baseJuridique": "Consentement",
  "dureeConservation": "3 ans",
  "destinataires": ["Service commercial", "Sous-traitant CRM"]
}

Ce fichier JSON structure les informations essentielles du traitement. Il sert de base à toute AIPD et facilite le partage avec les équipes.

Étape 1 : Cartographie des données

Commencez par décrire précisément le flux de données. Utilisez le modèle JSON précédent pour documenter chaque élément de manière structurée et exhaustive.

Template YAML pour les risques

risques-aipd.yaml
risques:
  - id: R001
    description: Accès non autorisé aux données
    probabilite: 3
    impact: 4
    mesureMitigation: "Chiffrement AES-256 et authentification MFA"
  - id: R002
    description: Perte de données
    probabilite: 2
    impact: 5
    mesureMitigation: "Sauvegardes quotidiennes chiffrées"

Ce fichier YAML permet de lister les risques de façon lisible et versionnable. Il est facile à intégrer dans des outils de gestion de projet.

Script d'évaluation des risques

eval_risques.py
risques = [
    {"id": "R001", "prob": 3, "impact": 4},
    {"id": "R002", "prob": 2, "impact": 5}
]
for r in risques:
    score = r["prob"] * r["impact"]
    print(f"{r['id']}: Score = {score} - {'Élevé' if score > 12 else 'Modéré'}")

Ce script Python calcule automatiquement le score de risque. Il aide à prioriser les mesures de mitigation de manière objective.

Étape 2 : Évaluation et mitigation

Calculez les scores de risque et définissez les mesures correctives. Documentez chaque décision pour démontrer la conformité.

Modèle de consultation des parties

consultation.json
{
  "dateConsultation": "2026-03-15",
  "participants": ["DPO", "Responsable SI", "Représentants utilisateurs"],
  "questions": ["Les données sont-elles minimisées ?", "Les consentements sont-ils traçables ?"],
  "conclusions": "Ajout d'une case à cocher explicite"
}

Ce modèle JSON enregistre les échanges avec les parties prenantes, obligatoire pour les AIPD complexes.

Fichier de synthèse finale

synthese-aipd.md
# Synthèse AIPD

**Traitement** : Gestion CRM
**Risque résiduel** : Modéré
**Date validation** : 2026-04-01

## Mesures retenues
- Chiffrement systématique
- Formation annuelle des équipes
- Audit tous les 18 mois

Ce document Markdown constitue le résumé exécutif à conserver et à transmettre à la CNIL si nécessaire.

Bonnes pratiques

  • Documentez chaque étape de manière traçable et horodatée
  • Impliquez le DPO dès le début du projet
  • Mettez à jour l'AIPD à chaque évolution significative du traitement
  • Conservez les versions successives pendant au moins 5 ans
  • Privilégiez les mesures techniques automatisées quand c'est possible

Erreurs courantes à éviter

  • Omettre l'évaluation des risques résiduels après mitigation
  • Utiliser des descriptions trop génériques sans données concrètes
  • Ignorer la consultation des personnes concernées
  • Ne pas mettre à jour l'AIPD après un incident ou un changement

Pour aller plus loin

Consultez le guide officiel de la CNIL sur les AIPD et découvrez nos formations Learni pour approfondir la conformité RGPD.