Retour aux articles
AIPD pour un projet IA : guide pratique 2026 (RGPD + AI Act)
RGPD IA AIPD DPO

AIPD pour un projet IA : guide pratique 2026 (RGPD + AI Act)

Hichem AMMAR-BOUDJELAL
Hichem AMMAR-BOUDJELALCEO & Co-fondateur de DPLIANCE
· Mis à jour le 17 min de lecture

Quick Answer : qu’est-ce qu’une AIPD pour un projet IA ?

Une AIPD (Analyse d’Impact relative à la Protection des Données) est une étude écrite et opposable, obligatoire avant de lancer certains traitements à risque, qui décrit ce que l’organisation va faire avec les données personnelles et ce qu’elle a mis en place pour limiter les dangers pour les personnes concernées.

Pour un projet IA en 2026, elle évalue cumulativement :

  • Risques liés au modèle : biais d’entraînement, hallucinations (réponses inventées), opacité de l’algorithme, vulnérabilités de sécurité.
  • Risques liés aux données : quantité, sensibilité (RGPD article 9 — santé, opinions politiques, biométrie), provenance, légalité de la collecte.
  • Risques liés au déploiement : supervision humaine, transparence vis-à-vis des personnes, voies de recours.
  • Risques juridiques : transferts hors UE (DPF, Cloud Act), durées de conservation, articulation avec l’AI Act.

Quand est-elle obligatoire ? Pour tout traitement IA à risque élevé : profilage avec décision automatisée (RH, scoring crédit), surveillance systématique, données sensibles à grande échelle, décisions à effet juridique, évaluation de salariés. Voir la liste CNIL des traitements obligatoirement soumis à AIPD.

Combien de temps ? 2 à 4 jours-homme pour un projet IA simple. 5 à 15 jours-homme étalés sur 3 à 8 semaines pour un projet à risque élevé.

Articulation avec l’AI Act : l’AIPD couvre le RGPD (article 35). Pour les systèmes IA classés à risque élevé par l’AI Act, des obligations supplémentaires s’ajoutent. En pratique, on rédige souvent une AIPD étendue unique qui couvre les deux cadres.

L’AIPD n’est pas une formalité administrative. C’est l’outil qui fait passer un projet IA d’« on lance et on verra » à « on a documenté les risques et les mesures correspondantes ». En cas d’audit CNIL ou de contrôle AI Act, c’est le premier document attendu.


Pourquoi l’AIPD IA est devenue centrale en 2026

Trois bascules ont rendu l’AIPD incontournable pour tout projet IA sérieux.

Bascule 1 — La CNIL a clarifié les usages IA à risque élevé. Entre 2024 et 2025, la CNIL a publié plusieurs recommandations sectorielles (RH, santé, éducation, finance) précisant les cas où l’AIPD est systématiquement requise. Avant 2024, le doute subsistait sur de nombreux cas. En 2026, la liste est claire et opposable.

Bascule 2 — L’AI Act est entré en application progressive. Le règlement (UE) 2024/1689 introduit des obligations spécifiques pour les systèmes IA classés à risque élevé. Beaucoup de ces obligations recoupent l’AIPD RGPD : gestion des risques, documentation, transparence, supervision humaine. Une AIPD bien rédigée couvre désormais une partie significative des obligations AI Act.

Bascule 3 — Les sanctions sont actives. La Garante italienne a sanctionné OpenAI à 15 millions d’euros en décembre 2024 pour défaut d’analyse documentée. La CNIL a annoncé en 2026 que l’IA est une priorité de contrôle. Une AIPD absente ou mal faite expose désormais à un risque concret — pas théorique.

Concrètement : ne pas faire d’AIPD sur un projet IA à risque en 2026, c’est s’exposer à un manquement direct au RGPD article 35, une non-conformité AI Act, et un risque de sanction qui se matérialise. Le calcul a changé.


Les 8 cas où l’AIPD IA est obligatoire

D’après la liste CNIL et les recommandations EDPB. Si votre projet rentre dans un de ces cas, l’AIPD n’est pas optionnelle — elle est attendue.

#Cas d’usageExemples concrets
1Profilage à grande échelle avec décision automatisée à effet significatifScoring crédit, attribution de prestations sociales, scoring assurantiel, scoring patient
2Surveillance systématique en zone accessible au publicReconnaissance faciale, biométrie comportementale, vidéo-surveillance algorithmique
3Traitement de données sensibles (article 9 RGPD) à grande échelleSanté, opinions politiques, origine, biométrie identifiante, orientation, religion
4Décisions automatisées à effet juridique (article 22)Refus d’embauche, octroi/refus de crédit, accès à un service public
5Évaluation systématique de salariés par un système IAPeople analytics, productivity tracking, scoring RH
6Croisement de données issues de plusieurs sources pour construire un profilMarketing comportemental enrichi, scoring patient enrichi
7Matching biométriqueReconnaissance faciale, empreinte vocale
8IA sur mineurs ou populations vulnérablesMédical, social, éducatif

Pour les usages IA hors de cette liste, l’AIPD reste recommandée mais pas formellement obligatoire. La règle pratique : si vous hésitez, faites-la. Une AIPD légère vaut mieux que pas d’AIPD du tout, et la documenter même quand elle n’est pas obligatoire vous protège en cas d’évolution ultérieure du projet.


La méthodologie CNIL en 5 étapes

La CNIL a structuré la méthodologie AIPD en 5 étapes que tout projet IA peut suivre. Chaque étape produit un livrable précis qui s’intègre au document final.

Étape 1 — Description détaillée du traitement

Il s’agit de poser le cadre factuel, sans interprétation juridique à ce stade.

  • Finalité précise (rédaction métier, pas juridique — par exemple : « accélérer la pré-saisie comptable des factures fournisseurs »)
  • Données traitées (typologie, sensibilité, sources)
  • Cycle de vie de la donnée (collecte → traitement → conservation → suppression)
  • Architecture technique (LLM utilisé, hébergement, sous-traitants)
  • Personnes concernées (catégories, volumes, vulnérabilités éventuelles)

Étape 2 — Évaluation de la nécessité et de la proportionnalité

C’est l’étape que la CNIL regarde en priorité. Elle conditionne la légalité de tout le reste.

  • Le traitement est-il nécessaire à la finalité ? Existe-t-il une alternative moins intrusive ?
  • Les données traitées sont-elles minimales (principe de minimisation) ?
  • La durée de conservation est-elle proportionnée ?
  • Les droits des personnes concernées sont-ils respectés (information, accès, opposition, rectification, effacement) ?

Étape 3 — Identification des risques

Pour un projet IA spécifiquement, la CNIL attend que vous distinguiez les risques classiques RGPD et les risques propres à l’IA.

  • Risque d’accès illégitime aux données (cybersécurité, fuites)
  • Risque de modification non désirée (intégrité, manipulation du modèle, prompt injection)
  • Risque de disparition (sauvegarde, réversibilité fournisseur)
  • Risque algorithmique (biais, hallucinations, discrimination indirecte) — spécifique IA
  • Risque de transparence insuffisante (l’utilisateur ne comprend pas la décision) — renforcé par l’AI Act

Étape 4 — Mesures pour traiter les risques

À chaque risque identifié, une ou plusieurs mesures concrètes. Pas de « on fera attention » — des mesures vérifiables.

  • Techniques : chiffrement, pseudonymisation, contrôle d’accès, journalisation
  • Organisationnelles : charte d’usage, formation, supervision humaine, procédure d’incident
  • Contractuelles : DPA solide, clauses de réversibilité, engagement souveraineté
  • Spécifiques IA : tests de biais, documentation modèle, supervision sur décisions sensibles, mécanisme de feedback utilisateur

Étape 5 — Validation et suivi

L’AIPD est un document vivant, pas un livrable de mise en service.

  • Approbation DPO + responsable de traitement
  • Consultation des personnes concernées (article 35.9 RGPD) si pertinent
  • Consultation préalable CNIL si risque résiduel élevé (article 36)
  • Plan de révision : au minimum tous les 2 ans, ou à chaque évolution substantielle (changement de fournisseur, nouvelle source de données, élargissement du périmètre)

Schéma simplifié du cycle AIPD

[Cadrage projet IA]


[Étape 1 — Description] ──► registre des traitements


[Étape 2 — Nécessité / proportionnalité]


[Étape 3 — Risques] ──► risques RGPD + risques IA spécifiques


[Étape 4 — Mesures] ──► techniques / organisationnelles / contractuelles


[Étape 5 — Validation] ──► DPO + responsable de traitement


[Risque résiduel élevé ?] ──Oui──► consultation préalable CNIL (article 36)
         │ Non

[Mise en service]


[Suivi continu] ◄──── évolution substantielle ?
                     ──► révision AIPD

Modèle de structure d’une AIPD IA

Pour gagner du temps, voici le sommaire d’une AIPD IA bien structurée qu’on retrouve en 2026 dans les organisations matures.

1. Identification du traitement
   1.1. Finalité et description
   1.2. Responsable de traitement et DPO
   1.3. Sous-traitants (fournisseur LLM, hébergeur, intégrateur)
   1.4. Cas d'usage et utilisateurs

2. Données traitées
   2.1. Typologie et sensibilité
   2.2. Sources et bases légales
   2.3. Personnes concernées et volumes
   2.4. Durées de conservation

3. Architecture IA
   3.1. Modèle utilisé (provenance, licence, performance)
   3.2. Données d'entraînement (si fine-tuning)
   3.3. Hébergement et localisation
   3.4. Supervision humaine prévue
   3.5. Performance et précision attendues

4. Évaluation de la nécessité et proportionnalité

5. Analyse des risques
   5.1. Risques RGPD classiques (article 32)
   5.2. Risques spécifiques IA (biais, hallucinations, opacité)
   5.3. Risques de transferts (DPF, Cloud Act)
   5.4. Risques liés aux droits des personnes

6. Mesures de traitement des risques
   6.1. Techniques
   6.2. Organisationnelles
   6.3. Contractuelles
   6.4. Spécifiques IA

7. Risques résiduels et acceptabilité

8. Plan de suivi et de révision

9. Annexes (DPA, schéma d'architecture, plan de continuité)

Voir notre guide IA et RGPD pour le cadre complet, et notre guide charte IA en entreprise pour le volet opposabilité utilisateur.


L’articulation AIPD + AI Act en 2026

L’AI Act introduit pour les systèmes IA à risque élevé un ensemble d’obligations qui recoupent partiellement l’AIPD RGPD. Plutôt que de produire deux documents redondants, la pratique recommandée est l’AIPD étendue.

Tableau d’articulation

ObligationSourceCouverte par AIPD étendue
Analyse d’impactRGPD art. 35
Système de gestion des risquesAI Act art. 9
Qualité des donnéesAI Act art. 10
Documentation techniqueAI Act art. 11✓ (annexe)
Transparence utilisateursAI Act art. 13
Supervision humaineAI Act art. 14
Précision, robustesse, cybersécuritéAI Act art. 15
Information personnes concernéesRGPD art. 13-14Référencé
Sécurité du traitementRGPD art. 32
Tenue du registreRGPD art. 30Référencé

Cette approche évite la production de deux documents redondants et facilite la cohérence entre cadres. La Commission européenne et l’EDPB préparent un guide d’articulation pour 2026 — il viendra confirmer la pratique mais ne la modifie pas dans son principe.


Cas concrets : trois projets IA, trois AIPD différentes

Cas 1 — Pré-saisie comptable par IA (risque modéré)

Projet : extraction automatique des informations de factures fournisseurs (montant, fournisseur, date, lignes) avant validation comptable humaine. Données concernées : noms de fournisseurs, montants, parfois noms de salariés sur des notes de frais. Volumétrie : 5 000 factures/mois.

Niveau de risque AIPD : modéré (pas de décision automatisée à effet juridique, pas de données sensibles à grande échelle, supervision humaine systématique).

Mesures clés à documenter : confiance par champ avec seuil de bascule humain, traçabilité des modifications, choix d’un fournisseur LLM souverain (Mistral) pour les factures contenant des données personnelles, conservation limitée des prompts.

Charge AIPD : 3 à 5 jours-homme. Voir notre guide automatisation factures par IA.

Cas 2 — Tri intelligent de mails support (risque modéré à élevé)

Projet : classification et routage automatique des mails entrants vers les bonnes équipes. Données concernées : adresses mail, contenu des messages (potentiellement données personnelles, parfois sensibles selon le secteur). Volumétrie : 50 000 mails/mois.

Niveau de risque AIPD : modéré à élevé selon le secteur (santé, juridique = élevé ; e-commerce généraliste = modéré).

Mesures clés à documenter : pseudonymisation des destinataires en amont si analyse statistique, isolation des contenus sensibles avant envoi à un LLM SaaS, supervision humaine sur les classifications à faible confiance, information des personnes concernées dans la politique de confidentialité.

Charge AIPD : 5 à 8 jours-homme. Voir notre guide tri automatique des mails par IA.

Cas 3 — Système de scoring RH (risque élevé)

Projet : aide à la pré-sélection de CV par IA. Données concernées : CV complets, données de carrière, parfois données sensibles inférées (âge, origine probable). Volumétrie : 10 000 candidatures/an.

Niveau de risque AIPD : élevé. Profilage + décision à effet significatif sur la personne + données potentiellement sensibles + article 22 RGPD potentiellement applicable.

Mesures clés à documenter : interdiction de toute décision automatisée finale (humain dans la boucle obligatoire), tests de biais documentés et répétés, information préalable des candidats, droit d’opposition, consultation préalable CNIL probable si risque résiduel élevé.

Charge AIPD : 12 à 20 jours-homme étalés sur 6 à 10 semaines. Consultation des partenaires sociaux recommandée.


Cas particulier : AIPD pour un usage Mistral / ChatGPT en entreprise

L’usage généralisé de LLM SaaS (Mistral Le Chat Enterprise, ChatGPT Enterprise) en entreprise pose des questions spécifiques.

AIPD requise pour :

  • Usage IA sur données personnelles à grande échelle (>1 000 utilisateurs ou >10 000 personnes concernées par mois)
  • Usage incluant des données sensibles (santé, RH nominatif, juridique)
  • Usage avec décisions automatisées à effet juridique

AIPD non obligatoire pour :

  • Usage individuel limité de rédaction sur données business non sensibles
  • Usage de synthèse documentaire sur documents non personnels

Particularités à documenter spécifiquement :


Ce qu’on refuse de promettre

Trois antiPatterns récurrents qu’on observe sur les AIPD IA, et qu’on évite chez DPLIANCE quand on cadre un projet IA sur mesure.

« On fera l’AIPD plus tard, après la mise en production. » Non. Une AIPD est par nature préalable au traitement (article 35 RGPD). Faire l’AIPD après est juridiquement plus faible et opérationnellement contre-productif — les arbitrages ont déjà été pris, on ne fait que documenter ce qui est déjà installé.

« On va copier l’AIPD du voisin. » Une AIPD n’est pas un template à dupliquer. Elle dépend du traitement précis, des données, du contexte, du choix d’architecture. Une AIPD générique est repérable à dix kilomètres et perd sa valeur en cas de contrôle. Mieux vaut une AIPD courte mais propre à votre projet qu’une AIPD longue copiée d’ailleurs.

« L’AIPD est l’affaire du DPO, pas de l’équipe technique. » Faux. L’AIPD se rédige à plusieurs : le DPO orchestre, mais le responsable de traitement (métier), l’équipe technique (architecture, choix de modèle, sécurité), le service juridique (DPA, transferts) et le RSSI (mesures de sécurité) contribuent. Une AIPD écrite seul par le DPO sans entrée des autres parties prenantes manque toujours de substance technique.

DPLIANCE est un éditeur de logiciels. Quand on conçoit une solution IA sur mesure, on produit la documentation technique que votre DPO peut intégrer dans son AIPD : architecture détaillée, choix de modèle, hébergement, mesures de sécurité, supervision humaine prévue. Le DPO reste maître de l’AIPD ; on lui donne la matière fiable.


FAQ

Qu’est-ce qu’une AIPD pour un projet IA, concrètement ?

Une AIPD (Analyse d’Impact relative à la Protection des Données) est l’analyse écrite et opposable des risques qu’un traitement de données personnelles présente pour les droits et libertés des personnes concernées. Pour un projet IA, elle évalue cumulativement quatre familles de risques : risques liés au modèle (biais, hallucinations, opacité, vulnérabilités), risques liés aux données (quantité, sensibilité, sources, légalité de collecte), risques liés au déploiement (supervision humaine, transparence, voies de recours), risques juridiques (transferts hors UE, durées de conservation, articulation avec l’AI Act). C’est un document de cadrage du DPO et du responsable de traitement, validé en interne, opposable en cas d’audit.

Quand l’AIPD est-elle obligatoire pour un projet IA ?

Pour tout traitement IA susceptible d’engendrer un risque élevé : profilage à grande échelle entraînant une décision automatisée (RH, scoring crédit, attribution de prestations), surveillance systématique (reconnaissance faciale, biométrie comportementale, vidéo-surveillance algorithmique), traitement de données sensibles à grande échelle (santé, biométrie identifiante), décisions automatisées à effet juridique (article 22 RGPD), évaluation systématique de salariés (people analytics, productivity tracking), croisement de données issues de plusieurs sources, IA sur mineurs ou populations vulnérables. La liste CNIL des traitements obligatoirement soumis à AIPD est disponible sur cnil.fr et précisée par les recommandations sectorielles 2024-2025.

Combien de temps prend la rédaction d’une AIPD IA ?

Pour un projet IA simple à risque modéré (extraction documentaire, classification de mails non sensibles) : 2 à 4 jours-homme. Pour un projet à risque élevé (scoring RH, biométrie, IA sur données de santé) : 5 à 15 jours-homme étalés sur 3 à 8 semaines, incluant la consultation des parties prenantes, la validation DPO, et les ajustements après revue. Une AIPD bâclée vaut moins que pas d’AIPD du tout — elle peut même aggraver la situation en cas de contrôle (« on savait, on n’a rien fait »).

AIPD et AI Act : que se cumule ?

L’AIPD est une obligation RGPD (article 35). Pour les systèmes IA classés à risque élevé par l’AI Act (RH, scoring, biométrie, infrastructure critique, accès à l’éducation), des obligations supplémentaires viennent s’ajouter : système de gestion des risques (article 9 AI Act), qualité des données (article 10), documentation technique (article 11), transparence vis-à-vis des utilisateurs (article 13), supervision humaine (article 14), robustesse et précision (article 15). En pratique, on rédige une AIPD étendue unique qui couvre simultanément les deux cadres pour éviter la duplication.

L’AIPD doit-elle être validée par la CNIL ?

Non, sauf cas particulier. L’AIPD est rédigée et validée en interne par le DPO et le responsable de traitement. Elle doit être soumise à la CNIL uniquement si un risque résiduel élevé subsiste après mise en œuvre des mesures de réduction (article 36 RGPD — consultation préalable). En pratique, moins de 5 % des AIPD justifient une consultation préalable. Le reste reste documenté en interne, tenu à disposition de la CNIL en cas de contrôle.

Comment articuler AIPD et registre des traitements ?

Le registre des traitements liste tous les traitements de l’organisation (article 30 RGPD). L’AIPD approfondit l’analyse pour les traitements à risque élevé. Bonne pratique : toute AIPD réalisée référence le traitement correspondant dans le registre (numéro de fiche, version), et inversement, la fiche du registre indique si une AIPD existe (avec date, version, responsable). Les deux documents se renvoient l’un à l’autre. Sans cette cohérence, le registre est considéré comme incomplet en cas de contrôle.

Faut-il faire une nouvelle AIPD à chaque mise à jour du modèle IA ?

Pas pour chaque mise à jour, mais pour chaque évolution substantielle. Une mise à jour mineure de modèle (Mistral 3 → Mistral 3.1, GPT-4o → GPT-4o-mini par exemple) ne justifie pas une AIPD nouvelle. En revanche, ces évolutions imposent une révision documentée : changement de fournisseur (Mistral → OpenAI ou inverse), ajout d’une nouvelle source de données, changement de cas d’usage, changement de mode de déploiement (SaaS → on-premise), passage d’un modèle générique à un modèle fine-tuné, élargissement du périmètre des utilisateurs.

Quels sont les pièges classiques d’une AIPD IA ?

Trois pièges récurrents. Un, la sous-estimation des risques spécifiques IA — biais, hallucinations, opacité — qui ne ressortent pas d’une AIPD générique. Deux, l’oubli des transferts hors UE quand le projet utilise un LLM SaaS américain : DPF, Cloud Act, transfer impact assessment doivent être documentés. Trois, l’absence de plan de suivi — une AIPD est un document vivant qui doit être révisé périodiquement et à chaque évolution substantielle. Une AIPD figée à la date de mise en service perd sa valeur en six mois.


Sources : Règlement (UE) 2016/679 (RGPD), notamment articles 35 et 36 ; Règlement (UE) 2024/1689 (AI Act), notamment articles 9-15 ; CNIL — méthodologie AIPD et liste des traitements à risque élevé (cnil.fr) ; EDPB, opinion 28/2024 sur les modèles d’IA et le RGPD ; Garante per la protezione dei dati personali — décisions OpenAI 2024.

Pour cadrer un projet IA dans votre organisation — choix d’architecture, modèle souverain ou local, intégration au SI, documentation technique pour l’AIPD de votre DPO — voir notre guide IA et RGPD, notre guide IA souveraine, notre guide charte IA en entreprise, ou contactez-nous via nos solutions IA sur mesure.