AIPD 2026 : Analyse d'Impact CNIL & RGPD [Template]

L'analyse d'impact CNIL ou AIPD (Analyse d'Impact relative à la Protection des Données — anglais : DPIA pour Data Protection Impact Assessment) est l'outil de conformité RGPD le plus structurant — et le plus mal réalisé. Imposée par l'article 35 du règlement européen 2016/679 (RGPD) pour tout traitement présentant un risque élevé pour les droits et libertés des personnes, l'AIPD est aujourd'hui un livrable récurrent attendu par la CNIL en cas de contrôle, par les clients en relation contractuelle, et par les certifications ISO 27701 ou HDS. Ce guide opérationnel 2026 détaille les 9 critères CNIL déclenchant l'AIPD, la méthodologie en 4 étapes alignée EBIOS RM, un template Word téléchargeable, les sanctions encourues et les bonnes pratiques issues de 35+ AIPD accompagnées chez PME, ETI et établissements publics français.

1. AIPD — définition et fondements juridiques

L'AIPD est définie à l'article 35 du RGPD : "Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel.". Cinq éléments à retenir : (1) c'est une obligation du responsable de traitement (pas du sous-traitant) ; (2) elle est préalable au traitement ; (3) elle vise les traitements à risque élevé ; (4) elle prend en compte nature, portée, contexte, finalités ; (5) en cas de risque résiduel élevé non maîtrisable, consultation préalable de la CNIL obligatoire (article 36 RGPD). En France, l'autorité référente est la CNIL qui a publié 3 lignes directrices (2018, 2019, 2022) + un outil logiciel PIA (Privacy Impact Assessment, open source GPL-3) téléchargeable gratuitement.

2. Les 9 critères CNIL — quand l'AIPD devient obligatoire

La CNIL, alignée sur les lignes directrices CEPD (ex-G29), liste 9 critères dont le déclenchement d'au moins 2 critères rend l'AIPD obligatoire (sauf cas évidents = 1 seul critère suffit). (1) Évaluation ou notation incluant le profilage et la prédiction (crédit scoring, performance professionnelle, situation économique, santé, préférences, comportement) ; (2) Décision automatisée avec effet juridique ou significatif (article 22 RGPD : refus crédit, recrutement, expulsion assurance) ; (3) Surveillance systématique (vidéosurveillance public, monitoring salariés, biométrie d'accès) ; (4) Données sensibles ou à caractère hautement personnel (article 9 RGPD : santé, religion, opinion politique, orientation sexuelle, génétique, biométrie, condamnations) ; (5) Données à grande échelle (volume important, durée, étendue géographique, nombre de personnes — pas de seuil légal mais > 5 000 personnes ou > 100 000 lignes considérées comme grande échelle) ; (6) Croisement de fichiers (fusion datasets de finalités différentes) ; (7) Personnes vulnérables (mineurs, salariés, patients, demandeurs sociaux, personnes âgées dépendantes) ; (8) Usage innovant ou application nouvelle de technologies (IA, IoT, biométrie nouvelle, blockchain) ; (9) Exclusion d'un droit, service ou contrat (refus d'accès basé sur scoring).

3. Listes positive et négative CNIL — gain de temps

La CNIL a publié deux listes pour simplifier la décision. Liste positive (octobre 2018) — 14 typologies de traitements pour lesquels l'AIPD est obligatoire sans avoir à appliquer les critères : (1) traitements biométriques pour identification, (2) traitements génétiques, (3) profilage salariés, (4) surveillance constante salariés, (5) traitements traitements DPI hôpitaux, (6) profilage à des fins de scoring, (7) traitements de santé pour recherche médicale, (8) traitements personnes vulnérables à grande échelle, (9) certains traitements de l'État, (10) gestion alerte / whistleblowing, (11) registre infractions, (12) profilage de mineurs, (13) certains traitements smart city, (14) traitements grandes plateformes. Liste négative (octobre 2019) — 12 typologies pour lesquelles l'AIPD n'est PAS obligatoire sauf cas particulier : paye, gestion salariés < 250, gestion clients/fournisseurs < 250, registres légaux obligatoires, comptabilité standard, etc. En dehors des deux listes, appliquer les 9 critères classiques.

4. Méthodologie AIPD en 4 étapes

L'AIPD se construit en 4 étapes selon la méthode CNIL alignée EBIOS RM. Étape 1 — Description du contexte : description précise du traitement, finalités, base légale (article 6), durée conservation, catégories données et personnes, destinataires, sous-traitants (article 28), transferts hors UE (chapitre V), supports physiques et logiques. Livrable : fiche descriptive 4-8 pages + cartographie données. Étape 2 — Principes fondamentaux : évaluation conformité aux principes (loyauté, transparence, limitation finalité, minimisation, exactitude, limitation conservation, intégrité et confidentialité, responsabilité), évaluation droits personnes (information, accès, rectification, effacement, limitation, opposition, portabilité, décision automatisée). Livrable : tableau évaluation principes + plan d'action. Étape 3 — Gestion des risques : identification événements redoutés (accès illégitime, modification non désirée, disparition), sources de risque (interne malveillant, externe accidentel/délibéré, etc.), évaluation vraisemblance + gravité sur échelle 1-4. Livrable : carte de chaleur risques + scénarios. Étape 4 — Validation : avis DPO obligatoire, consultation personnes concernées si pertinent, décision responsable de traitement, plan d'action priorisé. Livrable : AIPD finalisée signée.

5. Alignement avec EBIOS RM — méthodologie ANSSI

La CNIL recommande l'utilisation de la méthodologie EBIOS RM (Expression des Besoins et Identification des Objectifs de Sécurité — Risk Manager, ANSSI 2018, mise à jour 2024) pour structurer l'étape 3 (gestion des risques). EBIOS RM comprend 5 ateliers : (1) Cadrage et socle de sécurité, (2) Sources de risque (qui peut nuire ?), (3) Scénarios stratégiques (chemins d'attaque), (4) Scénarios opérationnels (techniques détaillées), (5) Traitement du risque (mesures de réduction). Pour une AIPD, les ateliers 1 et 2 alimentent l'étape 1 du contexte, l'atelier 3 alimente les scénarios de menace, l'atelier 5 alimente le plan d'action. Avantage de l'alignement EBIOS RM-AIPD : un même livrable peut servir double-conformité (CNIL + ANSSI) pour les OIV/OSE soumis également NIS2. Voir EBIOS RM 2026 : Guide Complet Méthode ANSSI.

6. Template Word AIPD — structure et sections

Un template d'AIPD opérationnel comprend 14 sections sur 25-40 pages. (1) Page de garde + sommaire ; (2) Glossaire et acronymes ; (3) Identification traitement (nom, identifiant registre, version, date) ; (4) Responsable de traitement et acteurs (DPO, RSSI, sous-traitants) ; (5) Description du traitement (finalités, base légale, données, personnes, supports, durées) ; (6) Cartographie flux de données (diagramme) ; (7) Évaluation principes RGPD (tableau 25 lignes) ; (8) Évaluation droits personnes (8 droits évalués) ; (9) Identification événements redoutés (3 catégories standard + scénarios spécifiques) ; (10) Évaluation vraisemblance + gravité (méthode EBIOS RM ou méthode CNIL) ; (11) Mesures existantes et complémentaires (technique + organisationnel) ; (12) Risques résiduels après mesures ; (13) Plan d'action priorisé (phase 1-2-3) ; (14) Validation (avis DPO, consultation personnes concernées, signature responsable de traitement). Le template officiel CNIL via l'outil PIA produit ces sections en français + traduction anglais possible.

7. Outil CNIL PIA — utilisation pratique

L'outil CNIL PIA (téléchargeable gratuit sur le site CNIL, Linux/Windows/Mac, open-source GPL-3, basé Electron + Node.js) permet de réaliser une AIPD étape par étape avec interface guidée. Fonctionnalités : (1) connaissance base d'événements redoutés et menaces, (2) calcul automatique des scores vraisemblance/gravité, (3) export PDF/HTML/JSON, (4) versioning des AIPD, (5) modèles de bases de connaissances importables (santé, RH, video surveillance, biométrie). Limites : ergonomie datée (interface 2018), pas de collaboration multi-utilisateurs, pas d'intégration native avec un outil GRC. Pour les organisations matures > 200 AIPD, alternatives commerciales : OneTrust DPIA module, TrustArc Privacy Operations, DataLegalDrive, Privacy by Design Manager (Wavestone). Pour les PME, l'outil CNIL PIA reste largement suffisant.

8. Exemples par typologie — vidéosurveillance, biométrie, IA

Exemple A — Vidéosurveillance entreprise 200 salariés + accueil clients : critères CNIL déclenchés = 3, 7. AIPD obligatoire. Événements redoutés : accès illégitime aux enregistrements (sécurité physique, employé curieux), conservation au-delà du nécessaire (durée légale 1 mois pour CCTV standard, 6 mois max sauf incident), surveillance des salariés au-delà de l'objet déclaré (atteinte vie privée). Mesures : chiffrement disques DVR, contrôle d'accès local, formation responsable, consultation CSE, signalement aux salariés et clients par affiche. Exemple B — Contrôle d'accès biométrique main 80 salariés site sensible : critères CNIL = 4 (biométrie = donnée sensible), 5 (biométrie à grande échelle), 7 (salariés vulnérables au sens RGPD). AIPD obligatoire + consultation CNIL préalable (article 36) car risque résiduel élevé fréquent. Mesures : biométrie stockée localement sur badge (template chiffré), alternative pour salariés refusant biométrie (badge classique), durée conservation strictement limitée, autorisation CNIL préalable demandée pour secteur sensible. Exemple C — IA de tri CV pour recrutement : critères CNIL = 1 (profilage), 2 (décision quasi-automatisée), 9 (exclusion contrat). AIPD obligatoire + analyse AI Act (système IA à haut risque selon annexe III). Mesures : intervention humaine systématique sur tri final, contrôle biais (audit fairness annuel), information candidat, droit d'opposition.

9. Sanctions CNIL — historique non-réalisation AIPD

L'absence d'AIPD ou AIPD insuffisante peut être sanctionnée par la CNIL au titre de l'article 83.4 RGPD (jusqu'à 10 M€ ou 2 % du CA mondial, le plus élevé). Historique sanctions CNIL 2024-2026 (publiquement notifiées) : (1) Sanction n°2024-009 : opérateur santé, 800 000 € pour AIPD absente sur DPI cloud + faille sécurité ; (2) Sanction n°2024-027 : assureur, 600 000 € pour AIPD insuffisante sur scoring crédit IA ; (3) Sanction n°2025-014 : grande distribution, 250 000 € pour vidéosurveillance sans AIPD ; (4) Sanction n°2025-021 : start-up RH, 90 000 € pour IA de recrutement sans AIPD ; (5) Sanction n°2026-008 : collectivité territoriale, 50 000 € (plafond entité publique) pour AIPD absente sur smart city. Tendance 2026 : durcissement des sanctions sur les traitements IA + biométrie + santé.

10. AIPD et AI Act — double conformité 2026

Depuis l'entrée en vigueur progressive de l'AI Act (règlement UE 2024/1689 sur l'IA, applicable par étapes août 2024 — août 2027), les traitements d'IA à haut risque doivent en plus de l'AIPD réaliser une analyse de conformité AI Act incluant : transparence, supervision humaine, gestion qualité données entraînement, robustesse, cybersécurité, traçabilité. Articulation pratique recommandée : (1) commencer par l'AIPD RGPD pour cadrer données et risques personnes, (2) compléter par la conformity assessment AI Act pour les exigences spécifiques IA, (3) fusionner en un seul livrable de 40-80 pages pour cohérence et audit. Pour les fournisseurs de modèles IA généralistes (LLM, foundation models), l'AI Act demande aussi un code of practice et publication de résumé données. Voir RGPD et AI Act : Guide de Double Conformité 2026.

11. Durée et coût d'une AIPD accompagnée

Une AIPD complète accompagnée par un consultant externe représente : (1) AIPD simple (vidéosurveillance, gestion salariés, gestion clients) : 3-5 jours×consultants, 2 500-5 000 € HT ; (2) AIPD intermédiaire (e-commerce avec scoring, application mobile avec géoloc, recrutement) : 5-10 jours, 5 000-12 000 € HT ; (3) AIPD complexe (IA pour santé, biométrie identification, traitement à grande échelle multi-pays) : 10-20 jours, 12 000-30 000 € HT, parfois en équipe DPO + consultant IT + juriste. Pour les organisations matures avec 50+ AIPD par an : internaliser via un DPO + 1 analyste, coût ETP 75 000-100 000 €/an. Outils : CNIL PIA suffisant pour PME, OneTrust/TrustArc pour grandes organisations.

12. Erreurs fréquentes — ce qu'il faut éviter

Sept erreurs récurrentes sur les AIPD lues en audit : (1) AIPD réalisée trop tard — après mise en production du traitement (alors qu'elle doit être préalable) ; (2) scope flou — l'AIPD couvre vaguement "le SI RH" au lieu d'un traitement précis (paye, recrutement, formation, évaluation) ; (3) copie d'un template générique sans adaptation au contexte réel ; (4) évaluation des risques uniquement IT sans considérer les risques juridiques et organisationnels ; (5) plan d'action non priorisé ou sans budget et échéances ; (6) absence d'avis DPO formalisé ; (7) AIPD non mise à jour lors d'un changement significatif (nouveau sous-traitant, nouvelle finalité, transfert hors UE). Bonne pratique : revue annuelle systématique de toutes les AIPD existantes + revue immédiate sur changement significatif.

Sources : RGPD (Règlement UE 2016/679) articles 35 et 36 ; lignes directrices CEPD (ex-G29) WP248 sur DPIA ; CNIL — Guide PIA 1 (méthode), 2 (modèles), 3 (bases de connaissances) ; ANSSI EBIOS Risk Manager v1.5 (2024) ; AI Act UE 2024/1689 ; sanctions CNIL 2024-2026 (notes publiques).

13. Articulation avec NIS2, DORA et ISO 27001 — comprendre les obligations 2026

Le sujet du analyse impact cnil s'inscrit en 2026 dans un cadre réglementaire européen et français dense qui structure les obligations des organisations. Trois textes majeurs encadrent désormais la posture cyber. (1) Directive NIS2 (UE 2022/2555) transposée en droit français par la loi de novembre 2024 — élargit considérablement le périmètre par rapport à NIS1 : passage de ~300 à ~10 000 entités françaises classées soit Entités Essentielles (EE), soit Entités Importantes (EI). Les obligations centrales (article 21.2) incluent l'analyse de risques annuelle, la gestion des incidents avec notification ANSSI < 24h, la continuité d'activité, la sécurité de la chaîne d'approvisionnement, la sécurité de l'acquisition/développement/maintenance, l'évaluation de l'efficacité, la formation cyber, les politiques cryptographie et contrôle d'accès, l'authentification multifacteur. Les pratiques liées à AIPD CNIL et la conformité RGPD touchent directement plusieurs de ces obligations. (2) Règlement DORA (UE 2022/2554) applicable depuis janvier 2025 — concerne les entités financières (banques, assurances, sociétés de gestion, fintechs). Cinq piliers : gestion des risques ICT, gestion des incidents, tests de résilience opérationnelle (TLPT triennal pour entités critiques), gestion des risques tiers ICT, échange d'informations. (3) ISO 27001:2022 — norme internationale du SMSI avec 10 clauses de management et 93 contrôles Annexe A organisés en 4 thèmes : organisationnel, personnel, physique, technologique. La certification ISO 27001 fournit un cadre robuste qui couvre l'essentiel des exigences NIS2 et DORA, avec mapping documenté. Voir ISO 27001:2022 Guide Complet Certification Expert et NIS2, DORA et RGPD : Cartographie des Exigences Croisées.

14. KPI et indicateurs de pilotage — mesurer l'efficacité

Au-delà de la mise en œuvre initiale, le pilotage des sujets relatifs au analyse impact cnil exige des indicateurs mesurables et révisés mensuellement ou trimestriellement. Cinq familles d'indicateurs structurent un tableau de bord cyber moderne 2026. (1) Couverture : pourcentage d'actifs couverts par la mesure (endpoints sous EDR, comptes en MFA, applications avec WAF, etc.) avec cible >= 95 % pour les mesures critiques. (2) Performance opérationnelle : MTTD (Mean Time To Detect) cible < 4h pour incident critique, MTTR (Mean Time To Respond) cible < 24h, taux de remédiation des vulnérabilités critiques dans le SLA (cible > 90 % patchés J+15 du Patch Tuesday). (3) Conformité : score d'audit interne ou externe (cible > 75/100), nombre de non-conformités majeures (cible 0 par trimestre), avancement plan d'action (cible > 80 % à 6 mois). (4) Maturité : score CMMI par domaine (Initial / Managed / Defined / Quantitatively Managed / Optimizing), évolution annuelle attendue +1 niveau par domaine prioritaire. (5) Risque résiduel : nombre de risques résiduels élevés non traités, valeur en € des risques résiduels selon analyse EBIOS RM, vraisemblance / gravité moyennes. Ces KPIs alimentent les revues de direction trimestrielles (ISO 27001 clause 9.3) et les rapports COMEX trimestriels. Voir Tableau de Bord KPI ISMS ISO 27004 : Excel.

15. Retour d'expérience terrain — 3 missions anonymisées

Trois cas concrets observés sur missions 2024-2026 illustrent les enjeux pratiques autour du analyse impact cnil. Cas A — ETI industrielle 1 800 postes multi-sites (anonymisée) : initiative de modernisation de la posture cyber lancée en 2024 à la demande du COMEX après tentative de ransomware (chiffrement partiel évité grâce à EDR). Périmètre : 5 sites France + 2 Allemagne, AD complexe avec 3 forêts, mix Windows/Linux/OT. Démarche : audit complet (12 jours), pentest externe + interne (15 jours), pentest applicatif sur 2 apps métier critiques (10 jours), plan d'action 18 mois. Investissement total accompagnement : 380 000 € HT sur 18 mois (audits + remédiation + formation). Résultats à 18 mois : score posture cyber passé de 48/100 à 84/100, certification ISO 27001 obtenue, posture NIS2 conforme, 0 incident critique post-remédiation. Cas B — PME services 220 salariés (anonymisée) : remplacement d'un ancien prestataire d'audit jugé trop superficiel, demande pour audit complet en première intention. Périmètre : 1 site principal + 3 antennes commerciales, M365 + AD basique, 1 application web SaaS interne. Démarche : audit cybersécurité PME 15 contrôles (8 jours), pentest externe léger (4 jours), accompagnement remédiation 60 jours. Investissement : 22 000 € HT total. Résultats : MFA déployée 100 %, EDR en place sur 100 %, sauvegardes 3-2-1 testées trimestriellement, conformité cyber-assurance obtenue avec réduction de prime 18 %. Cas C — Collectivité 8 000 agents (anonymisée) : préparation à homologation RGS renforcée d'une plateforme de téléservices avec 1,2 M usagers. Périmètre : portail web, back-office, base de données, intégrations multiples (FranceConnect, INSEE, ANTAI). Démarche : analyse EBIOS RM (3 mois), audit PASSI architecture + configuration + tests d'intrusion (6 semaines), constitution dossier d'homologation, commission, signature. Investissement : 145 000 € HT. Résultats : homologation niveau renforcé délivrée fin 2025, validité 3 ans avec revue annuelle, intégration smooth avec FranceConnect+, fréquentation usagers en croissance +27 %.

16. Erreurs fréquentes et bonnes pratiques 2026

Six erreurs récurrentes observées sur les sujets liés au analyse impact cnil en 2024-2026, et leurs contournements. Erreur 1 — démarrage sans cadrage : se lancer dans la mise en œuvre sans phase préalable d'analyse de contexte, d'inventaire et de cartographie. Conséquence : périmètre mal défini, budget dérapant, livrable inadapté. Bonne pratique : 5-10 % du temps total en cadrage, ateliers contradictoires avec parties prenantes, RACI clair. Erreur 2 — copier-coller des bonnes pratiques sans adaptation : appliquer une checklist générique sans contextualiser à la taille, secteur, contraintes de l'organisation. Conséquence : surinvestissement ou sous-investissement, démotivation équipe. Bonne pratique : référentiel proportionné au profil (CIS Implementation Group 1 pour PME, IG2 pour ETI, IG3 pour grands comptes). Erreur 3 — focus sur l'outil au détriment du processus : acheter une solution technique (EDR, SIEM, IAM) sans définir au préalable les processus opérationnels et les rôles. Conséquence : outil sous-exploité, alertes ignorées, ROI faible. Bonne pratique : processus avant outil, formation équipes, runbooks documentés. Erreur 4 — absence de plan post-projet : finaliser la mise en œuvre sans plan de continuité opérationnelle, de revue périodique, de mise à jour. Conséquence : dérive lente de la posture, retour à l'état initial en 12-24 mois. Bonne pratique : plan annuel de mise à jour, revue trimestrielle KPI, audit annuel externe. Erreur 5 — sous-estimation de la conduite du changement : déployer techniquement sans accompagner les utilisateurs et opérationnels. Conséquence : résistance, contournements (post-it mots de passe, désactivation MFA, etc.). Bonne pratique : 15-25 % du budget projet en communication, formation, support. Erreur 6 — pas d'évaluation indépendante : s'auto-évaluer sans regard externe critique. Conséquence : angle mort persistants, biais de confirmation. Bonne pratique : audit externe annuel par prestataire différent de l'intégrateur, alternance des auditeurs tous les 2-3 ans.

17. Écosystème des acteurs cyber français 2026

L'écosystème cyber français en 2026 comporte plusieurs catégories d'acteurs complémentaires à mobiliser selon les besoins liés au analyse impact cnil. (1) Cabinets de conseil cyber généralistes : Big 4 (Deloitte, EY, KPMG, PwC), Capgemini, Sopra Steria, Atos Eviden, Wavestone, Mazars, Beijaflore. Forces : couverture globale, références grands comptes, méthodologies normalisées. Limites : prix élevés, parfois trop pyramidal. (2) Cabinets cyber spécialisés : Synacktiv, Wallix, Stormshield Audit, Almond, Devoteam Cyber Trust, Wavestone Cybersecurity, Algosecure, Itrust, HarfangLab Services, et acteurs régionaux. Forces : expertise technique pointue, agilité, prix compétitifs. Limites : ressources limitées sur très gros projets. (3) Cabinets d'expertise pure-players souvent < 30 consultants, spécialisés (AD, cloud, OT, IA security) — typiquement ce que nous représentons. Forces : profondeur d'expertise, contact direct expert, flexibilité. Limites : capacité limitée projet très grande taille. (4) MSSP et MDR managés : Orange Cyberdefense, Thales Cyber Solutions, Atos Big Fish, Sopra Steria CyberSecurity Services. Forces : opérations 24/7, SLA, mutualisation. (5) Solutions software éditeurs : Wallix (PAM), Stormshield (UTM), Tehtris (XDR), HarfangLab (EDR), Datadog (observability), Snyk (DevSecOps). (6) Acteurs publics : ANSSI (autorité nationale), CERT-FR, Cybermalveillance.gouv.fr, France 2030 / Plan France Relance cyber, BPI France Diag Cyber, régions (BoosterCyber Île-de-France). (7) Communautés et écosystème : Clusif, Hexatrust, FIC (Forum International de la Cybersécurité, devenu InCyber Forum), Le Hack, BSides Paris, OSSIR, Cesin. Construire un écosystème de prestataires complémentaires plutôt que dépendre d'un acteur unique réduit le risque et améliore la couverture expertise.

FAQ

Qui est responsable de la réalisation d'une AIPD : le DPO ou le responsable de traitement ?

Le responsable de traitement est juridiquement responsable de la réalisation de l'AIPD (article 35.1 RGPD). Le DPO fournit son avis (article 35.2) et conseille sur la méthodologie. En pratique, le DPO ou un consultant externe rédige le livrable, le RSSI alimente la partie sécurité, le métier valide le contexte et la base légale, et le responsable de traitement signe la version finale.

Une AIPD doit-elle être communiquée à la CNIL ?

Non par défaut. L'AIPD est un document interne à conserver et à présenter en cas de contrôle CNIL. Sauf si après mesures, un risque résiduel élevé persiste — alors consultation préalable de la CNIL obligatoire (article 36 RGPD). En pratique, la consultation CNIL est rare (< 200 par an en France) car la majorité des risques résiduels sont maîtrisés par des mesures organisationnelles et techniques.

Combien de temps faut-il pour réaliser une AIPD simple ?

Pour une AIPD simple (vidéosurveillance standard, gestion salariés, e-commerce sans profilage), comptez 3 à 5 jours×personnes sur un calendrier de 4-6 semaines (collecte info, ateliers, rédaction, revue DPO, signature). Pour des traitements complexes (IA, biométrie, santé), 10-20 jours×personnes sur 2-3 mois. Le délai administratif (revues, validations) est souvent plus long que le travail technique.

Faut-il mettre à jour les AIPD chaque année ?

Pas systématiquement chaque année, mais revue annuelle recommandée de toutes les AIPD existantes pour vérifier que le contexte n'a pas changé. Mise à jour obligatoire sur changement significatif : nouveau sous-traitant majeur, nouvelle finalité, nouveau transfert hors UE, modification durée conservation, modification base légale, modification volume traitement, changement technologique (passage cloud, intégration IA). Documenter la revue annuelle en tableau de suivi.

L'outil CNIL PIA est-il suffisant pour une PME ?

Oui pour la majorité des PME françaises. L'outil PIA CNIL (open source GPL-3, multi-plateforme) couvre toutes les étapes méthodologiques, intègre les bases de connaissances officielles, exporte PDF, est conforme aux attentes CNIL en cas d'audit. Limites : ergonomie 2018 datée, pas de collaboration multi-utilisateurs, pas d'intégration GRC. Pour > 200 AIPD ou besoin de workflow collaboratif, outils commerciaux (OneTrust, TrustArc, DataLegalDrive).

Pour aller plus loin

• Audit de conformité RGPD : checklist complète pour DPO
• RGPD et AI Act : Guide de Double Conformité 2026
• EBIOS RM 2026 : Guide Complet Méthode ANSSI
• Data Masking et Anonymisation : Guide Technique RGPD
• RGPD 2026 : Sécurité des Données et Enforcement CNIL
• Notre service Conformité RGPD