# Guide AIPD - par pays Cette page de documentation fournit des ressources officielles et des références des autorités de protection des données (APD) qui permettent de déterminer si une **Analyse d'Impact sur la Protection des Données (AIPD)** est requise. La liste est organisée par pays. ## Europe ### France **Autorité de contrôle :** Commission Nationale de l’Informatique et des Libertés (CNIL) * [Liste des traitements nécessitant une AIPD](https://www.cnil.fr/fr/listes-des-traitements-pour-lesquels-une-aipd-est-requise-ou-non) * [Liste des traitements exemptés (PDF)](https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-non-requise.pdf) * [Cadre et guide AIPD – CNIL](https://www.cnil.fr/fr/guides-aipd) ### Royaume-Uni (UK) **Autorité de contrôle :** Information Commissioner’s Office (ICO)\ **Principales ressources :** * **Quand une AIPD est-elle requise ?**\ [Guide AIPD – ICO](https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/data-protection-impact-assessments-dpias/)\ Décrit les critères de traitements à haut risque, avec des exemples (ex. : profilage, traçage, traitement à grande échelle de données sensibles). * **Exemples de traitements probablement à haut risque :**\ [Exemples de traitements à haut risque – ICO](https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/data-protection-impact-assessments-dpias/examples-of-processing-likely-to-result-in-high-risk/) ### Irlande **Autorité de contrôle :** Data Protection Commission (DPC)\ **Principales ressources :** * **Liste des opérations de traitement nécessitant une AIPD :**\ [Liste noire AIPD – DPC (PDF)](https://www.dataprotection.ie/sites/default/files/uploads/2018-11/Data-Protection-Impact-Assessment.pdf)\ Inclut les traitements impliquant une surveillance systématique, des données sensibles ou un profilage à grande échelle. * **Guide général AIPD :**\ [Guide AIPD – DPC](https://www.dataprotection.ie/en/dpc-guidance/guide-data-protection-impact-assessments) ### Allemagne **Autorité de contrôle :** Chaque Land dispose de sa propre APD (ex. : BfDI au niveau fédéral) * [Critères AIPD au niveau fédéral – BfDI](https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technik/Datenschutz-Folgenabschaetzungen.html) * [Liste des traitements soumis à l’article 35(4) RGPD pour les autorités fédérales](https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Muster/Liste_VerarbeitungsvorgaengeArt35.pdf?__blob=publicationFile\&v=7) * [Liste des traitements nécessitant une AIPD (DSK)](https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Muster/Liste_VerarbeitungsvorgaengeDSK.pdf?__blob=publicationFile\&v=7) * Par Land * [Liste des activités de traitement nécessitant une AIPD (autorité de protection des données du Bade-Wurtemberg)](https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/05/Liste-von-Verarbeitungsvorg%C3%A4ngen-nach-Art.-35-Abs.-4-DS-GVO-LfDI-BW.pdf) (en allemand) [Évaluation de l'impact sur la protection des données – liste noire bavaroise (en allemand)](https://www.datenschutz-bayern.de/nav/1801.html) > 🛑 Les critères AIPD peuvent varier légèrement selon le **Land** en raison du fédéralisme allemand. ### Espagne **Autorité de contrôle :** Agencia Española de Protección de Datos (AEPD) * [Guide AIPD – AEPD (en espagnol)](https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/analisis-de-riesgos-evaluacion-de-impacto-la-aepd-presenta) * [Liste des types de traitements nécessitant une AIPD (PDF)](https://www.aepd.es/documento/listas-dpia-es-35-4.pdf) * [Liste des traitements ne nécessitant pas d’AIPD – AEPD](https://www.aepd.es/documento/listadpia-35-5-ingles.pdf) * [Modèle de rapport d’AIPD – AEPD](https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-un-modelo-de-informe-para-ayudar-las-empresas) ### Pays-Bas **Autorité de contrôle :** Autoriteit Persoonsgegevens (AP) * [Guide AIPD – AP](https://www.autoriteitpersoonsgegevens.nl/en/themes/basic-gdpr/gdpr-in-practice/data-protection-impact-assessment-dpia) * [Liste des types de traitements nécessitant une AIPD (en néerlandais)](https://wetten.overheid.nl/BWBR0042812/2019-11-27) ### Belgique **Autorité de contrôle :** Autorité de protection des données (APD) * [Guide AIPD – APD (en français)](https://www.autoriteprotectiondonnees.be/professionnel/rgpd-/analyse-d-impact-relative-a-la-protection-des-donnees) * [Liste des catégories de traitements soumis à AIPD (PDF – FR)](https://www.autoriteprotectiondonnees.be/publications/decision-n-01-2019-du-16-janvier-2019.pdf) * [Guide AIPD – APD (en néerlandais)](https://www.gegevensbeschermingsautoriteit.be/professioneel/avg/effectbeoordeling-geb) * [Liste des traitements soumis à AIPD (PDF – NL)](https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-nr.-01-2019-van-16-januari-2019.pdf) * [Liste des critères GEB/DPIA VTC (en néerlandais)](https://www.vlaanderen.be/vlaamse-toezichtcommissie/machtigingen-en-adviezen-vlaamse-toezichtcommissie/lijst-vtc-criteria-geb-dpia) ### Italie **Autorité de contrôle :** Garante per la Protezione dei Dati Personali (GPDP) * [Page AIPD – GPDP](https://www.garanteprivacy.it/valutazione-d-impatto-della-protezione-dei-dati-dpia-) * [Liste des traitements soumis à AIPD](https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9058979) ### Suède **Autorité de contrôle :** Integritetsskyddsmyndigheten (IMY) * [Quand réaliser une AIPD – IMY](https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/konsekvensbedomning/nar-ska-en-konsekvensbedomning-genomforas/) * [Guide pratique – AIPD (PDF – suédois)](https://www.imy.se/globalassets/dokument/vagledningar/en-praktisk-guide.pdf) * [Liste des types de traitements soumis à AIPD (PDF – suédois)](https://www.imy.se/globalassets/dokument/ovrigt/forteckning---konsekvensbedomningar.pdf) ### Danemark **Autorité de contrôle :** Datatilsynet * [Guide AIPD – Datatilsynet](https://www.datatilsynet.dk/regler-og-vejledning/behandlingssikkerhed/konsekvensanalyse) * [Guide sur les AIPD (PDF – danois)](https://www.datatilsynet.dk/Media/2/6/Konsekvensanalyse.pdf) * [Liste des traitements soumis à AIPD (PDF – danois)](https://www.datatilsynet.dk/Media/4/1/Datatilsynets%20liste%20over%20behandlinger%20der%20altid%20er%20underlagt%20kravet%20om%20en%20konsekvensanalyse%20\(2\).pdf) * [Liste des traitements soumis à consultation préalable (section 26 Loi sur l’application des lois)](https://app.gitbook.com/o/uWrGLDLDipyYq3GpIuW2/s/1i0NSpf8ID0PXTpIyycA/) ### Finlande **Autorité de contrôle :** Office of the Data Protection Ombudsman * [Guide AIPD – Finlande (en anglais)](https://tietosuoja.fi/vaikutustenarviointi) * [Liste des traitements nécessitant une AIPD](https://tietosuoja.fi/luettelo-vaikutustenarviointia-edellyttavista-kasittelytoimista) ### Autriche **Autorité de contrôle :** Datenschutzbehörde (DSB) * [Guide AIPD – WKO (en allemand)](https://ratgeber.wko.at/dsfa/) * [Liste des traitements nécessitant une AIPD – DSB (PDF)](https://www.ris.bka.gv.at/eli/bgbl/II/2018/278/20181109) * [Exceptions à l'analyse d'impact relative à la protection des données (AIPD) - DSB (PDF)](https://www.ris.bka.gv.at/eli/bgbl/II/2018/108/20180525) ### République tchèque **Autorité de contrôle :** Úřad pro ochranu osobních údajů (UOOU) * [Guide sur l'AIPD - UOOU (en tchèque)](https://uoou.gov.cz/profesional/metodiky-a-doporuceni-pro-spravce/posouzeni-vlivu-na-ochranu-osobnich-udaju) * [Méthodologie générale d'analyse d'impact relative à la protection des données (document PDF) – UOOU (en tchèque)](https://app.gitbook.com/o/uWrGLDLDipyYq3GpIuW2/s/1i0NSpf8ID0PXTpIyycA/) * [Liste des types d'opérations de traitement (non) soumises à l'obligation d'analyse d'impact relative à la protection des données (AIPD) (document PDF) - UOOU (en tchèque)](https://uoou.gov.cz/media/profesional/seznam-operaci-zpracovani-nepodlehajicich-pozadavku-na-dpia.pdf) ### Pologne **Autorité de contrôle :** Urząd Ochrony Danych Osobowych (UODO) * [Guide AIPD – UODO (en polonais)](https://uodo.gov.pl/pl/598/3617?mkt_tok=MTM4LUVaTS0wNDIAAAGZm5Te7KF5c_87ovOvFSvFlk8TT1HkKjhhYeegH3TbE8QJRvBLS2CpCfzokPMEBeuc49OMBxEHR-wUHla56YileVIl8xBAGkhX55NXHMT_LCc8) * [liste des catégories d'opérations de traitement de données à caractère personnel nécessitant une évaluation des risques pour la protection des données - UODO (en polonais)](https://monitorpolski.gov.pl/MP/2019/666) * [Vidéo de la conférence « Évaluation des risques et protection des données à caractère personnel » - UODO (en polonais)](https://uodo.gov.pl/pl/138/3507) ### Portugal **Autorité de contrôle :** Comissão Nacional de Proteção de Dados (CNPD) * [Guide AIPD – CNPD (en portugais)](https://www.cnpd.pt/organizacoes/outras-obrigacoes/avaliacao-de-impacto/) * [Liste des types de traitements nécessitant une AIPD (PDF) - CNPD (en portugais)](https://www.cnpd.pt/umbraco/surface/cnpdDecision/download/121818) ### Croatie **Autorité de contrôle :** Agencija za zaštitu osobnih podataka (AZOP) * [Lignes directrices relatives à l'AIPD – AZOP (en croate)](https://azop.hr/provodenje-procjene-ucinka-na-zastitu-podataka-dpia-postupci-obrade-koji-predstavljaju-mogucnost-visokog-rizika/) * [Liste des types d'opérations de traitement soumises à l'obligation d'effectuer une analyse d'impact relative à la protection des données - AZOP (en croate)](https://azop.hr/odluka-o-uspostavi-i-javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podlijezu-zahtjevu-za-procjenu-ucinka-na-zastitu-podataka/) ### Slovaquie **Autorité de contrôle :** Úrad na ochranu osobných údajov Slovenskej republiky (UOOU SR) * [Protection des données à caractère personnel en République slovaque - UOOU SR (PDF) (en slovaque)](https://dataprotection.gov.sk/files/metod-urad/3/zoznam_spracovatelskych_operacii_ktore_podliehaju_posudeniu_vplyvu.pdf) * [Lignes directrices relatives à l'analyse d'impact relative à la protection des données - UOOU SR (en slovaque)](https://dataprotection.gov.sk/sk/aktuality/zoznam-spracovatelskych-operacii-ktore-podliehaju-poziadavke-posudenie-vplyvu.html) ### Hongrie **Autorité de contrôle :** Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) * [Lignes directrices relatives à l'AIPD – NAIH (en hongrois)](https://www.naih.hu/az-adatvedelmi-hatasvizsgalat-es-elozetes-konzultacioja) [Liste des opérations de traitement soumises à une analyse d'impact – NAIH (en hongrois)](https://www.naih.hu/hatasvizsgalati-lista) ### Roumanie **Autorité de contrôle :** Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) * [Liste des traitements soumis à une analyse d'impact - ANSPDCP (PDF) (en roumain)](https://www.dataprotection.ro/servlet/ViewDocument?id=1556) [Décision n° 174 du 18 octobre 2018 relative à la liste des types de traitements soumis à l'obligation d'analyse d'impact relative à la protection des données (PDF) (en anglais)](https://www.dataprotection.ro/servlet/ViewDocument?id=1870) ### Bulgarie **Autorité de contrôle :** Commission for Personal Data Protection (CPDP) * [Liste des types d'opérations de traitement des données à caractère personnel pour lesquelles une évaluation de l'impact sur la protection des données est requise (en bulgare)](https://cpdp.bg/home-default/%D0%BD%D0%B0%D1%81%D0%BE%D0%BA%D0%B8/%D1%81%D0%BF%D0%B8%D1%81%D1%8A%D0%BA-%D0%BD%D0%B0-%D0%B2%D0%B8%D0%B4%D0%BE%D0%B2%D0%B5%D1%82%D0%B5-%D0%BE%D0%BF%D0%B5%D1%80%D0%B0%D1%86%D0%B8%D0%B8-%D0%BF%D0%BE-%D0%BE%D0%B1%D1%80%D0%B0%D0%B1%D0%BE/) #### 🇱🇹 **Lituanie** **Autorité de contrôle :** Valstybinė duomenų apsaugos inspekcija (VDAI) * [Liste des opérations de traitement des données soumises à une analyse d'impact relative à la protection des données - VDAI (PDF) (en lituanien)](https://vdai.lrv.lt/uploads/vdai/documents/files/06%20Poveikio%20duomen%C5%B3%20apsaugai%20vertinimas%202019-03-18.pdf) #### 🇱🇻 **Lettonie** **Autorité de contrôle :** Datu valsts inspekcija (DVI) * [Types d'activités de traitement pour lesquelles une analyse d'impact relative à la protection des données doit être effectuée – DVI (en letton)](https://www.dvi.gov.lv/lv/media/92/download?attachment) ### Luxembourg **Autorité de contrôle :** Commission Nationale pour la Protection des Données (CNPD) * [Guide sur l'AIPD – CNPD](https://cnpd.public.lu/fr/professionnels/obligations/AIPD.html) * [Liste des traitements nécessitant une AIPD – CNPD (en français)](https://cnpd.public.lu/fr/professionnels/obligations/AIPD/liste-dpia.html) * [Infographie sur l'AIPD - CNPD](https://cnpd.public.lu/dam-assets/fr/professionnels/aipd/Infographie-AIPD.pdf) ### Grèce **Autorité de contrôle :** Hellenic Data Protection Authority (HDPA) – Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα * [Lignes directrices relatives à l'EIPD – HDPA](https://www.dpa.gr/el/foreis/ektimisi_adiktipou_kai_diavouleush/ektimisi_adiktipou) * [Liste des traitements nécessitant une EIPD (liste noire) – HDPA (PDF, anglais)](https://www.deepl.com/o/uWrGLDLDipyYq3GpIuW2/s/1i0NSpf8ID0PXTpIyycA/) ### Suisse **Autorité de contrôle :** Préposé fédéral à la protection des données et à la transparence (PFPDT / FDPIC) Bien que la Suisse ne fasse pas partie de l’UE, elle impose des exigences similaires à l’AIPD dans sa **loi fédérale révisée sur la protection des données (nLPD, 2023)** : * [Aide-mémoire concernant l’analyse d’impact relative à la protection des données personnelles (AIPD) au sens des art. 22 et 23 LPD](https://backend.edoeb.admin.ch/fileservice/sdweb-docs-prod-edoebch-files/files/2024/11/05/eb84f377-103e-4e7f-9896-62ec970f2290.pdf) * [Guide de mise en œuvre de l’AIPD ](https://www.bj.admin.ch/bj/fr/home/staat/datenschutz/info-bundesbehoerden.html) ✅ Requise lorsqu’un traitement de données est susceptible d’entraîner un **risque élevé pour la personnalité ou les droits fondamentaux**. La structure est similaire à celle de l’article 35 du RGPD.