En 2024, la CNIL a infligé une amende de 32 millions d’euros à Clearview AI pour collecte et traitement de données biométriques sans AIPD. En 2025, Amazon France Logistique a été sanctionné de 32 millions d’euros pour un système de surveillance des employés jugé excessif — là aussi, l’absence d’AIPD conforme était au coeur du dossier.
L’analyse d’impact relative à la protection des données (AIPD, ou DPIA en anglais) n’est pas un exercice bureaucratique. C’est une obligation légale du RGPD (article 35) qui s’applique à la quasi-totalité des systèmes d’IA traitant des données personnelles. Et avec l’entrée en application progressive de l’AI Act, l’AIPD devient la pièce maîtresse de la conformité IA.
À retenir
- L'AIPD est obligatoire dès qu'un traitement IA présente un risque élevé pour les droits des personnes
- La CNIL a publié une liste de 14 types de traitements nécessitant systématiquement une AIPD
- L'AIPD doit être réalisée avant le déploiement du système — pas après
- L'AI Act ajoute une couche supplémentaire : l'évaluation de conformité pour les systèmes à haut risque
Qu’est-ce qu’une AIPD exactement
L’AIPD est un processus structuré qui évalue les risques d’un traitement de données personnelles pour les droits et libertés des personnes concernées. Elle est prévue par l’article 35 du RGPD et doit être réalisée avant la mise en oeuvre du traitement.
L’AIPD ne se limite pas à un formulaire. C’est une démarche en quatre temps :
- Description du traitement — quelles données, quelles finalités, quels moyens, quels acteurs
- Évaluation de la nécessité et de la proportionnalité — le traitement est-il justifié ? Les données collectées sont-elles strictement nécessaires ?
- Identification et évaluation des risques — quels sont les risques pour les personnes concernées ? Quelle est leur gravité ? Quelle est leur probabilité ?
- Mesures de mitigation — quelles mesures techniques et organisationnelles réduisent les risques à un niveau acceptable ?
Pour les systèmes d’IA, l’AIPD prend une dimension particulière. Les LLM, les modèles de scoring, les systèmes de reconnaissance faciale et les outils d’analyse prédictive présentent des risques spécifiques — opacité algorithmique, biais, traitement massif, prise de décision automatisée — qui doivent être explicitement évalués.
Quand l’AIPD est-elle obligatoire pour l’IA
Les critères du RGPD
L’article 35 du RGPD impose une AIPD lorsqu’un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». Le règlement cite trois cas explicites :
- L’évaluation systématique et approfondie d’aspects personnels — profilage, scoring, évaluation de performance. Cela couvre la majorité des IA décisionnelles.
- Le traitement à grande échelle de données sensibles — données de santé, biométriques, opinions politiques, orientation sexuelle.
- La surveillance systématique à grande échelle d’une zone accessible au public — vidéosurveillance intelligente, analyse de flux de personnes.
La liste de la CNIL
La CNIL a publié une liste de 14 types de traitements pour lesquels une AIPD est systématiquement requise en France. Ceux qui concernent directement l’IA :
- Traitements utilisant le profilage pour des décisions produisant des effets juridiques ou significatifs
- Traitements impliquant des données biométriques aux fins d’identification
- Traitements à grande échelle de données sensibles
- Traitements de surveillance systématique des employés
- Traitements croisant des ensembles de données à grande échelle
En pratique, la plupart des déploiements d’IA en entreprise qui impliquent des données personnelles déclenchent l’obligation d’AIPD. Un outil de tri de CV, un chatbot client qui traite des données personnelles, un modèle de prédiction d’attrition RH, un système de recommandation personnalisée — tous nécessitent une AIPD.
32 M€
amende CNIL infligée à Clearview AI (2024) et Amazon France Logistique (2025) pour des traitements IA non conformes
Source : Décisions CNIL 2024-2025
L’articulation avec l’AI Act
L’AI Act ajoute une couche supplémentaire. Pour les systèmes d’IA classés à haut risque (recrutement, crédit, justice, éducation, infrastructures critiques), une évaluation de conformité est exigée en plus de l’AIPD. Les deux démarches sont complémentaires :
- L’AIPD évalue les risques pour les personnes concernées (perspective RGPD)
- L’évaluation de conformité AI Act évalue la conformité technique et organisationnelle du système (perspective réglementation IA)
La bonne pratique : réaliser les deux en parallèle, dans un processus intégré. Cela évite les doublons et produit une documentation cohérente.
La méthodologie CNIL en 4 étapes
La CNIL propose une méthodologie structurée, formalisée dans son outil PIA (Privacy Impact Assessment). Voici comment l’appliquer aux systèmes d’IA.
Étape 1 : Décrire le traitement IA
Documentez avec précision :
- La finalité — à quoi sert le système d’IA ? Quelle décision aide-t-il à prendre ?
- Les données d’entrée — quelles données personnelles sont collectées, transmises ou traitées par le système ?
- Le fonctionnement — quel type de modèle ? Entraîné sur quelles données ? Déployé comment ?
- Les acteurs — qui est responsable du traitement ? Qui sont les sous-traitants (fournisseur d’IA, hébergeur) ?
- Les personnes concernées — employés, clients, candidats, usagers ?
- La base légale — consentement, intérêt légitime, obligation légale ?
Pour un LLM comme ChatGPT utilisé en entreprise, cette description inclut les flux de données vers les serveurs du fournisseur, les conditions contractuelles sur la rétention et l’utilisation des données, et les mesures techniques de protection (chiffrement, anonymisation).
Utilisez l’outil PIA de la CNIL (disponible gratuitement sur cnil.fr) comme structure de base. Il guide chaque étape et produit un rapport formaté. Pour les systèmes d’IA, complétez avec les spécificités algorithmiques que le template standard ne couvre pas.
Étape 2 : Évaluer la nécessité et la proportionnalité
Trois questions clés :
- Le traitement est-il nécessaire ? L’objectif poursuivi peut-il être atteint sans IA, ou avec moins de données ?
- Les données sont-elles proportionnées ? Collectez-vous uniquement les données strictement nécessaires (minimisation) ?
- Les personnes sont-elles informées ? Le droit à l’information, le droit d’accès, le droit d’opposition sont-ils respectés ?
Pour l’IA, la question de la proportionnalité est cruciale. Un modèle de scoring crédit qui utilise 200 variables dont certaines sont des proxys de critères sensibles (code postal, navigation internet) pose un problème de proportionnalité même si aucune donnée « sensible » n’est explicitement utilisée.
Étape 3 : Identifier et évaluer les risques
La CNIL recommande d’évaluer les risques selon deux axes : la gravité (impact sur les personnes) et la vraisemblance (probabilité de survenance).
Risques spécifiques à l’IA :
- Opacité — les personnes ne comprennent pas comment la décision est prise. Pour un LLM, l’explicabilité est quasi nulle.
- Biais discriminatoires — le modèle reproduit ou amplifie des biais présents dans les données d’entraînement.
- Erreurs et hallucinations — le modèle produit des résultats faux qui affectent les personnes concernées.
- Détournement de finalité — les données collectées pour un usage sont réutilisées pour un autre (entraînement du modèle par le fournisseur).
- Perte de contrôle — le shadow AI multiplie les traitements non maîtrisés.
78%
des DPO européens estiment que l'IA générative crée de nouveaux risques non couverts par les AIPD traditionnelles
Source : IAPP-EY Governance Report 2025
Étape 4 : Définir les mesures de mitigation
Pour chaque risque identifié, définissez des mesures techniques et organisationnelles :
| Risque | Mesure technique | Mesure organisationnelle |
|---|---|---|
| Fuite de données vers le LLM | Version entreprise avec DPA, pas d’entraînement sur les données | Charte d’utilisation avec liste des données interdites |
| Biais discriminatoire | Audit de biais régulier, métriques d’équité | Formation des utilisateurs, supervision humaine |
| Hallucination dans une décision | RAG, vérification croisée automatique | Obligation de vérification humaine avant décision |
| Opacité algorithmique | Outils d’explicabilité (SHAP, LIME) | Information des personnes sur l’utilisation de l’IA |
| Shadow AI | DLP, blocage des services non autorisés | Formation, alternatives approuvées |
L’AIPD doit être mise à jour à chaque modification significative du traitement : changement de modèle, nouvelles données, nouvelle finalité, changement de fournisseur. Un système d’IA évolue en permanence — votre AIPD aussi.
Template : les sections essentielles de votre AIPD IA
Votre document doit couvrir au minimum :
- Contexte — organisation, DPO, date, périmètre
- Description du système IA — type, fournisseur, données, finalité, base légale
- Cartographie des flux de données — d’où viennent les données, où vont-elles, qui y accède
- Évaluation de la nécessité et proportionnalité — justification du recours à l’IA
- Registre des risques — chaque risque avec gravité, vraisemblance, score
- Plan de mitigation — mesures techniques et organisationnelles par risque
- Avis du DPO — recommandation formelle
- Consultation préalable — si les risques résiduels restent élevés, consultation de la CNIL (article 36 du RGPD)
- Plan de révision — fréquence de mise à jour, déclencheurs de révision
Documentez votre conformité IA avec Brain
Brain est la plateforme de formation et de conformité IA qui vous aide à cocher la case formation de votre AIPD. Des parcours documentés, un suivi individuel des compétences, et les attestations nécessaires pour démontrer que vos collaborateurs sont formés aux risques de l’IA — une mesure de mitigation incontournable dans toute AIPD.
L’AIPD est obligatoire. La formation de vos équipes l’est aussi. Commencez par les deux en parallèle.
Articles similaires
Réglementation IA Europe : AI Act & RGPD en 2026
AI Act, RGPD et directives sectorielles : panorama complet de la réglementation IA en Europe et ce que cela change pour votre entreprise.
RGPD et IA : guide de conformité en 7 étapes
Mettez votre IA en conformité RGPD : bases légales, AIPD, décisions automatisées, droits des personnes et transferts de données expliqués.
AI Act Article 4 : obligations, délais et sanctions
L'Article 4 impose la formation IA depuis août 2025. Sanctions encourues, exigences concrètes et étapes pour vous mettre en conformité.