contact@rgpd-sante.com | Lu–Ve : 9h–18h
Accueil Prestations Analyse d'Impact relative à la Protection des Données (AIPD)

— Article 35 du RGPD —

L'AIPD : savoir quand elle est obligatoire

Avant de mettre en œuvre certains traitements, vous devez réaliser une Analyse d'Impact relative à la Protection des Données. En santé, cette obligation se déclenche plus souvent qu'on ne le croit — et son absence expose à des sanctions directes.

Obligatoire sous conditions Art. 35 RGPD Données de santé 9 critères CNIL

L'obligation légale

Qu'est-ce qu'une AIPD et pourquoi le secteur santé est particulièrement exposé

L'article 35 du RGPD impose au responsable de traitement de réaliser une Analyse d'Impact relative à la Protection des Données (AIPD) avant de mettre en œuvre tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. C'est une obligation préalable — l'AIPD doit être réalisée avant le lancement du traitement, pas après.

Définition

Une analyse documentée des risques pour la vie privée

L'AIPD est un processus qui consiste à décrire le traitement envisagé, à évaluer sa nécessité et sa proportionnalité, puis à identifier et traiter les risques qu'il fait peser sur les droits des personnes. Elle se conclut par une validation — ou un refus de mise en œuvre.

  • Document structuré, signé par le responsable de traitement
  • Avis obligatoire du DPO s'il est désigné
  • Consultable par la CNIL à tout moment sur demande
Préalable au lancement du traitement — Art. 35 RGPD

Santé & AIPD

Pourquoi les structures de santé sont presque toujours concernées

Les données de santé sont des données de catégories particulières (Art. 9 RGPD). Dès qu'un traitement les concerne, un critère sur neuf est automatiquement satisfait. La plupart des traitements en santé en cumulent au moins deux — ce qui déclenche l'obligation.

  • Dossier patient partagé entre professionnels
  • Téléconsultation et télésurveillance
  • Bases de données patients à grande échelle
  • Outils d'intelligence artificielle appliqués au diagnostic
Données de santé = Art. 9 RGPD = critère n°4 automatiquement satisfait

Conséquences

Que risque-t-on en l'absence d'AIPD obligatoire ?

L'absence d'AIPD lorsqu'elle est requise constitue une violation directe du RGPD, sanctionnable sans mise en demeure préalable. La CNIL peut constater l'omission lors d'un contrôle sur pièces ou sur place.

  • Amende jusqu'à 10 M€ ou 2 % du CA mondial
  • Injonction de suspendre ou de cesser le traitement
  • Publication de la sanction (atteinte à la réputation)
Sanction directe — Art. 83.4 RGPD

Critères déclencheurs

Les 9 critères CNIL : 2 suffisent à rendre l'AIPD obligatoire

La CNIL a publié une liste de neuf critères permettant d'évaluer si un traitement est susceptible d'engendrer un risque élevé. Si votre traitement satisfait au moins deux de ces critères, une AIPD est obligatoire. Pour les structures de santé, le critère n°4 (données sensibles) est presque toujours présent — un seul critère supplémentaire suffit.

2/9

Le seuil qui déclenche l'obligation

Dès que deux critères sur neuf sont réunis, l'AIPD est obligatoire avant toute mise en œuvre du traitement. En santé, le critère n°4 (données sensibles au sens de l'Art. 9 RGPD) étant systématiquement présent, un seul critère supplémentaire suffit à déclencher l'obligation.

01

Évaluation ou scoring

Le traitement effectue une notation, un profilage ou une évaluation de personnes — y compris une prédiction de performances, de préférences, de comportements ou de situation.

  • Score de risque médical ou prédictif
  • Évaluation du niveau d'adhérence thérapeutique
02

Décision automatisée avec effet juridique ou similaire

Le traitement implique une prise de décision automatisée produisant des effets significatifs sur la personne — sans intervention humaine déterminante.

  • Orientation automatique de parcours de soins
  • Algorithme de priorisation de patients
03

Surveillance systématique

Le traitement surveille, observe ou contrôle de façon systématique des personnes — y compris dans des espaces publics ou accessibles au public.

  • Vidéosurveillance de salles d'attente ou de couloirs
  • Géolocalisation de patients ou d'agents
04

Données sensibles ou à caractère hautement personnel

Le traitement porte sur des données de catégories particulières au sens de l'Art. 9 RGPD, ou sur des données à caractère hautement personnel comme les données financières ou judiciaires.

  • Données de santé — automatiquement présent pour toutes les structures de santé
  • Données génétiques, biométriques
Toujours présent en santé
05

Données traitées à grande échelle

Le traitement concerne un nombre important de personnes, un volume considérable de données, ou une zone géographique étendue. La CNIL ne fixe pas de seuil chiffré — c'est une appréciation contextuelle.

  • Base patients d'un hôpital ou d'un réseau territorial
  • Application de santé déployée à l'échelle régionale
06

Croisement ou combinaison de données

Le traitement croise ou combine des données issues de plusieurs sources ou collectées à des fins différentes, au-delà de ce que la personne concernée pourrait raisonnablement anticiper.

  • Dossier patient agrégant données médicales, sociales et administratives
  • Consolidation de données provenant de partenaires
07

Données relatives à des personnes vulnérables

Le traitement concerne des personnes dont la situation implique un déséquilibre de pouvoir avec le responsable de traitement — notamment les mineurs, les patients, les personnes âgées ou handicapées.

  • Les patients sont des personnes vulnérables par définition
  • Pédiatrie, psychiatrie, gérontologie, soins palliatifs
Souvent présent en santé
08

Usage innovant ou application de nouvelles technologies

Le traitement utilise une technologie nouvelle ou fait un usage innovant d'une technologie existante, dont les implications pour la protection des données ne sont pas encore pleinement connues.

  • Intelligence artificielle appliquée au diagnostic ou au triage
  • Objet connecté médical, biocapteur, télésurveillance
09

Transfert de données hors Union européenne

Le traitement implique un transfert de données personnelles vers un pays situé hors de l'Espace économique européen, sans décision d'adéquation couvrant intégralement ce transfert.

  • Recours à un outil cloud américain pour des données de santé
  • Sous-traitant dont les serveurs sont hors UE

La CNIL publie également une liste des types de traitements pour lesquels une AIPD est systématiquement requise (liste noire) et une liste pour lesquels elle n'est pas requise (liste blanche). Pour les structures de santé, la quasi-totalité des traitements impliquant des données patients figure dans la liste noire ou satisfait deux critères.

Outil officiel

L'infographie CNIL : comment savoir si votre traitement nécessite une AIPD

La CNIL met à disposition une infographie synthétique permettant de déterminer rapidement si un traitement envisagé requiert une AIPD. Elle présente les 9 critères sous forme visuelle et intègre la règle du seuil à deux critères.

Infographie officielle CNIL — Les critères de l'AIPD

Cette infographie publiée par la CNIL synthétise les neuf critères qui déclenchent l'obligation de réaliser une AIPD, avec la règle du seuil à deux critères. Elle constitue un outil de premier niveau pour qualifier vos traitements.

Elle est téléchargeable directement depuis le site officiel de la CNIL, en accès libre et gratuit.

Attention : l'infographie est un outil de sensibilisation, non un outil d'analyse complet. Elle ne permet pas de déterminer la base légale appropriée, de rédiger les mesures de réduction des risques, ni de conclure l'AIPD. Pour les structures de santé, la qualification des critères — notamment "grande échelle" ou "personnes vulnérables" — requiert une analyse juridique au cas par cas.
Infographie CNIL — Les 9 critères pour savoir si une AIPD est nécessaire
Infographie CNIL — AIPD
Télécharger l'infographie CNIL (PDF) cnil.fr · PDF gratuit · infographie_aipd.pdf

La démarche

Les 4 étapes d'une AIPD selon la méthode CNIL

Une fois l'obligation établie, la CNIL définit une méthode structurée en quatre étapes pour mener l'AIPD. Chaque étape produit une documentation qui doit être conservée et présentée à la CNIL sur demande.

01

Description du traitement envisagé

Contexte, finalités, données collectées, destinataires, durées de conservation, mesures de sécurité existantes. Cette étape s'appuie sur le registre des activités de traitement — qui doit donc déjà exister.

02

Évaluation de la nécessité et de la proportionnalité

Le traitement est-il fondé sur une base légale appropriée ? Les données collectées sont-elles strictement nécessaires ? Les droits des personnes sont-ils garantis (information, accès, rectification, effacement) ?

03

Identification et évaluation des risques

Pour chaque risque identifié (accès illégitime, modification non désirée, disparition), évaluer sa vraisemblance et sa gravité. Cette évaluation prend en compte les mesures de sécurité existantes et les mesures complémentaires à mettre en place.

04

Validation et plan d'action

Si les risques résiduels sont acceptables, le traitement peut être mis en œuvre. Sinon, des mesures supplémentaires doivent être définies. En dernier recours, la CNIL doit être consultée préalablement (Art. 36 RGPD).

Pour une AIPD véritablement défendable

Pourquoi un DPO externalisé est indispensable pour mener une AIPD en santé

Réaliser une AIPD n'est pas remplir un formulaire. C'est une analyse juridique et technique qui mobilise des compétences croisées — droit du RGPD, droit de la santé, sécurité des systèmes d'information. En l'absence d'expertise, l'AIPD est formellement présente mais juridiquement indefendable.

Ce qu'une AIPD réalisée sans expertise ne peut pas garantir

Une AIPD produite en interne, sans maîtrise des exigences CNIL, peut donner l'illusion de conformité tout en laissant des failles majeures. Voici pourquoi un accompagnement extérieur est déterminant.

Qualifier correctement les critères déclencheurs — "Grande échelle", "personnes vulnérables", "données sensibles" : chacun de ces critères fait l'objet d'une interprétation jurisprudentielle et de lignes directrices du CEPD (Comité européen de la protection des données). Sous-qualifier un critère, c'est conclure à tort qu'aucune AIPD n'est requise — et s'exposer à une mise en demeure.
Identifier et évaluer les risques avec précision — L'évaluation des risques ne se limite pas à cocher "oui/non". Elle requiert d'estimer la vraisemblance et la gravité de chaque scénario de menace sur les données (accès illégitime, altération, perte). Une évaluation superficielle ne résiste pas à un contrôle CNIL.
Articuler l'AIPD avec les autres obligations sectorielles — En santé, l'AIPD s'articule avec les exigences de l'hébergement agréé HDS, les obligations de notification de violations, la politique de sécurité du SI (PSSI), et le cadre spécifique du Code de la santé publique. Seul un DPO spécialisé santé maîtrise ces imbrications.
Tenir l'AIPD à jour lors de toute évolution du traitement — Une AIPD n'est pas figée. Elle doit être réexaminée à chaque changement significatif du traitement (nouveau sous-traitant, nouvelle fonctionnalité, changement d'hébergeur). Sans suivi, une AIPD devenue obsolète perd sa valeur juridique.

— Passez à l'action —

Une AIPD rigoureuse, défendable et maintenue à jour

RGPD Santé accompagne les structures de santé dans la qualification des traitements soumis à AIPD et dans la conduite complète de la démarche — de la description du traitement à la validation du plan de réduction des risques.

Prendre rendez-vous → Voir nos prestations