DPIA & AIPD Publié le 12 mai 2026 · Lecture : 11 min

DPIA RGPD 2026 : guide complet + 5 outils PME (analyse d'impact en 1 journée)

Une DPIA (Data Protection Impact Assessment, ou AIPD en français : Analyse d'Impact relative à la Protection des Données) c'est une étude documentée que tu dois mener AVANT de lancer un nouveau traitement à risque. C'est imposé par l'article 35 du RGPD, et la CNIL l'a réclamée dans 72% de ses contrôles 2024 sur des traitements à risque.

Le mythe : « la DPIA c'est un truc de DPO ou d'avocat. » En réalité, la CNIL fournit un outil gratuit pour la faire toi-même (PIA Software), et 80% des DPIA en PME peuvent être finalisées en 1 journée par un non-juriste avec un peu de méthode.

Cet article répond aux questions concrètes :

Qu'est-ce qu'une DPIA / AIPD concrètement ?
Comment savoir si elle est obligatoire pour mon entreprise (liste CNIL des traitements à risque) ?
La méthode en 6 étapes pour la mener — sans être juriste
Comparatif des 5 outils DPIA (gratuit à 800€/mois)
Erreurs courantes qui font passer une DPIA d'« acceptable » à « rejetée »

DPIA / AIPD : c'est quoi exactement ?

L'AIPD est une analyse formalisée qui répond à 3 questions sur un traitement de données personnelles :

Décrire le traitement : quelles données, dans quel but, avec quels outils, partagées avec qui ?
Évaluer la nécessité & proportionnalité : la finalité justifie-t-elle les données collectées ? Existe-t-il une alternative moins intrusive ?
Évaluer les risques pour les personnes : que se passe-t-il si les données sont perdues, divulguées ou détournées ? Comment les mesures techniques et organisationnelles les réduisent ?

Le résultat : un document de 10-30 pages que tu archives et que tu peux présenter à la CNIL en cas de contrôle. Pas obligatoire de la publier, mais elle doit exister, être datée, et être réactualisée tous les 3 ans (ou avant si le traitement change significativement).

Quand une DPIA est-elle obligatoire ?

L'article 35 du RGPD impose une DPIA dès qu'un traitement présente un « risque élevé pour les droits et libertés ». Difficile à juger seul ? La CNIL a publié une liste officielle de 14 cas où elle est systématiquement obligatoire :

Les 14 traitements pour lesquels une DPIA est obligatoire (liste CNIL)

Traitements de données de santé par professionnels de santé
Traitements de données génétiques de personnes vulnérables (enfants, salariés, personnes âgées)
Surveillance constante des employés (badgeage, vidéosurveillance, géolocalisation des véhicules)
Évaluation systématique d'aspects personnels (scoring crédit, profilage RH)
Mise en place de listes d'exclusion ou de fraudeurs
Mutualisation de fichiers à des fins commerciales (CRM partagés)
Traitement d'enfants (école, gestion scolaire)
Collecte de données biométriques (reconnaissance faciale, empreintes)
Profilage avec décision automatisée à effet juridique
Communication par voie électronique à large échelle
Croisement de fichiers de finalités différentes
Données de localisation détaillée (≠ ville)
Big data avec analytics avancée sur des personnes
Traitements d'infractions ou condamnations pénales

Si ton traitement remplit au moins 2 critères de la liste suivante, il faut aussi mener une DPIA :

Évaluation ou scoring
Décision automatisée
Surveillance systématique
Données sensibles ou à caractère hautement personnel
Données traitées à grande échelle
Croisement de données
Personnes vulnérables (enfants, salariés, patients…)
Usage innovant ou nouvelle technologie
Le traitement empêche les personnes d'exercer un droit

Cas concret PME : Tu lances une newsletter à 50 000 contacts B2B avec scoring d'ouverture pour personnalisation → grande échelle + scoring = 2 critères = DPIA obligatoire.

La méthode DPIA en 6 étapes (compatible non-juriste)

Décrire le traitement en détail

Rédiger en 1-2 pages : nature, finalité, base légale, catégories de données, catégories de personnes concernées, destinataires, durées de conservation, transferts internationaux. Astuce : si tu as déjà un registre des activités de traitement (ROPA), 80% du contenu est déjà là.

Évaluer nécessité & proportionnalité

Répondre à : (1) la finalité est-elle légitime et explicite ? (2) Toutes les données collectées sont-elles strictement nécessaires ? (3) La durée de conservation est-elle minimale ? (4) Les bases légales (consentement, contrat, obligation légale, intérêt légitime) sont-elles cohérentes ? Si tu peux supprimer une donnée sans casser le traitement, supprime-la.

Identifier les risques

3 scénarios à examiner : (a) Accès illégitime aux données (vol, fuite, attaque cyber) — quels impacts pour les personnes ? (b) Modification non désirée (corruption, falsification) — quelles conséquences sur les droits ? (c) Disparition des données (perte, erreur, suppression accidentelle) — impact ? Coter chaque scénario sur 3 niveaux : Négligeable / Limité / Important / Maximal.

Lister les mesures techniques & organisationnelles

Chiffrement, contrôle d'accès, logs, sauvegardes, charte des admins, sensibilisation des équipes, sous-traitants conformes (DPA signés), procédure de notification de violation, etc. Plus tu en as, plus le risque baisse. Si tu n'as pas grand-chose : c'est le bon moment pour t'en rendre compte AVANT que la CNIL te le pointe.

Coter le risque résiduel

Risque initial - mesures = risque résiduel. Si le résiduel est encore « Important » ou « Maximal » sur au moins un scénario, la DPIA doit être transmise à la CNIL avant déploiement (consultation préalable, article 36). Si tout est en « Négligeable » ou « Limité », pas besoin — on conserve juste le document.

Faire valider & archiver

Faire signer la DPIA par : (1) le DPO ou référent RGPD, (2) le porteur du projet, (3) le responsable de traitement (souvent le dirigeant). Archiver pendant au moins 5 ans. Programmer la révision tous les 3 ans + à chaque changement significatif du traitement.

5 outils DPIA comparés (2026)

PIA Software (CNIL)

Gratuit · Open-source

✓ Pour : outil officiel CNIL, en français, totalement gratuit, conforme par construction, méthodologie validée, version web ET version desktop, export PDF/RTF/JSON.

✗ Contre : UI un peu datée, pas de collaboration multi-utilisateurs en ligne (version desktop monoposte), pas d'intégration avec d'autres outils.

→ Verdict : le choix par défaut pour 95% des PME. Sa simplicité bat tous les outils SaaS premium pour un usage standard. Téléchargeable sur cnil.fr.

OneTrust DataGuidance

À partir de 600€/mois

✓ Pour : intégration avec le module ROPA / DSAR, workflows multi-équipes, modèles préconfigurés par type de traitement (santé, RH, marketing).

✗ Contre : très cher, contrat annuel, interface en anglais (français partiel), surdimensionné pour une PME.

→ Verdict : à considérer si tu fais déjà tourner OneTrust pour le CMP/DSAR — sinon PIA Software est très suffisant.

Didomi (PIA Module)

À partir de 250€/mois

✓ Pour : français, UI moderne, modèles adaptés au paysage français, intégration native avec leur CMP, support FR.

✗ Contre : vendu en bundle, pas dispo seul, moins puissant que OneTrust sur la gestion multi-projet.

→ Verdict : meilleur choix payant pour les PME-ETI françaises ayant besoin d'un cadre structurant + collaboration équipe.

Privado.ai (PIA on Code)

Sur devis (~500€+/mois)

✓ Pour : scanne automatiquement ton code source pour identifier les flux de données et alimenter la DPIA. Génial pour les équipes tech avec de nombreux microservices.

✗ Contre : nécessite un dépôt git accessible, anglais uniquement, plus orienté ingénieur que juriste.

→ Verdict : top choix pour les scale-ups tech qui veulent automatiser la partie « description du traitement » de la DPIA.

TrustArc DPIA Manager

À partir de 400€/mois

✓ Pour : couvre RGPD + CCPA + LGPD, workflows internes structurés, certifications ISO 27701 compatibles.

✗ Contre : orienté grandes entreprises US, support EU limité, interface anglo-saxonne.

→ Verdict : pertinent uniquement si tu opères dans plusieurs juridictions (UE + US + Brésil).

Tableau récapitulatif

Outil	Prix	Cible idéale	Langue UI
PIA Software (CNIL)	Gratuit	TPE / PME / non-juristes	🇫🇷 Français
Didomi PIA	250€+/mois	PME / ETI françaises	🇫🇷 Français
TrustArc DPIA Mgr	400€+/mois	Groupes multi-juridictions	🇬🇧 Anglais
Privado.ai	500€+/mois	Scale-ups tech	🇬🇧 Anglais
OneTrust DataGuidance	600€+/mois	Grands comptes	🇬🇧 Anglais (partiel FR)

Les 5 erreurs les plus fréquentes en DPIA

1. Confondre DPIA et ROPA

Le ROPA (registre des activités de traitement) est un inventaire descriptif de tous les traitements. La DPIA est une analyse approfondie de risque sur un seul traitement à risque. Le ROPA répond à « quoi », la DPIA à « est-ce que c'est risqué ». L'un nourrit l'autre — pas substituts.

2. Faire la DPIA après le déploiement

La DPIA doit être réalisée AVANT que le traitement ne démarre. Une DPIA faite a posteriori est techniquement non conforme à l'article 35. Si tu découvres aujourd'hui qu'un traitement existant aurait dû avoir une DPIA, fais-la maintenant et documente que c'est un rattrapage.

3. Sous-estimer les risques

Tendance courante : tout coter « Limité » pour éviter la consultation CNIL. Mauvaise idée — la CNIL le verra et le mettra contre toi. Une DPIA avec des risques honnêtement cotés « Important » et des mesures appropriées vaut mille fois mieux qu'une DPIA tous au vert qui sonne faux.

4. Oublier la consultation des personnes concernées

L'article 35(9) recommande de consulter les personnes concernées (ou leurs représentants) sur le traitement à risque. En PME, ça peut être : un sondage rapide à un panel d'utilisateurs, une consultation du CSE pour les traitements RH, une consultation de l'association de patients pour le médical. Souvent oublié.

5. Ne jamais réviser la DPIA

Une DPIA n'est pas figée. Doit être mise à jour quand : (1) la finalité change, (2) tu ajoutes une catégorie de données, (3) tu changes de sous-traitant clé, (4) tu changes la technologie sous-jacente, (5) une violation de données a eu lieu. À défaut, programmer une révision tous les 3 ans.

Avant la DPIA : audite l'existant

Une DPIA part toujours d'un inventaire propre des flux de données. VeriSite scanne ton site en 30 secondes et identifie tous les traitements visibles (cookies, trackers, formulaires, transferts USA) — ça accélère ta DPIA de plusieurs heures.

Lancer un scan gratuit

FAQ : DPIA / AIPD

Combien coûte une DPIA en pratique ?

3 options : (1) DIY avec PIA Software CNIL = 0€ + 1-2 jours de ton temps. (2) Avec un freelance RGPD = 800-2 500€ par DPIA. (3) Avec un cabinet d'avocats spécialisé = 3 000-8 000€ par DPIA. Pour une TPE avec des traitements standards, l'option 1 suffit dans 90% des cas.

Faut-il un DPO pour faire une DPIA ?

Non — l'article 35 n'oblige pas la présence d'un DPO pour mener la DPIA. Tu peux la faire toi-même (chef de projet, DSI, RH selon le contexte). Mais si tu as un DPO, son avis doit être recueilli et documenté dans la DPIA (article 35.2). Sans DPO, l'analyse repose sur le responsable de traitement (souvent le dirigeant).

Une DPIA peut-elle être collective (pour plusieurs traitements similaires) ?

Oui — c'est même recommandé pour les traitements similaires dans plusieurs filiales ou agences. Une DPIA-type qui couvre par exemple « le traitement des candidatures dans toutes les agences du groupe » est valable. Adaptation marginale possible pour les spécificités locales (notées en annexe).

Que se passe-t-il si je consulte la CNIL ?

Si la DPIA montre un risque résiduel élevé (article 36), tu dois consulter la CNIL avant de démarrer. Délai de réponse : 8 semaines (prolongeable à 14). La CNIL peut : (1) approuver, (2) demander des modifications, (3) interdire le traitement. En pratique, ~12% des consultations 2024 ont entraîné des modifications, <1% ont été interdites.

Une DPIA peut-elle être publique ?

Pas obligatoire de la publier, mais c'est une bonne pratique de transparence (la CNIL le recommande). Plusieurs grandes entreprises publient leurs DPIA résumées (ex : Doctolib, La Poste). Ça renforce la confiance des utilisateurs et démontre la maturité RGPD de l'organisation.

Quel est le meilleur outil DPIA pour une équipe non juridique ?

Sans hésitation : le PIA Software de la CNIL. Conçu pour être utilisé par des non-spécialistes, avec des guides intégrés, des modèles, et une méthodologie pas-à-pas. C'est l'outil que les DPO eux-mêmes utilisent dans 70% des cas en France. Gratuit, en français, validé par l'autorité — aucune raison de payer un outil premium pour une PME standard.