Guide AIPD - par pays

Cette page de documentation fournit des ressources officielles et des références des autorités de protection des données (APD) qui permettent de déterminer si une Analyse d'Impact sur la Protection des Données (AIPD) est requise. La liste est organisée par pays.

Europe

France

Autorité de contrôle : Commission Nationale de l’Informatique et des Libertés (CNIL)

• Liste des traitements nécessitant une AIPD

• Liste des traitements exemptés (PDF)

• Cadre et guide AIPD – CNIL

Royaume-Uni (UK)

Autorité de contrôle : Information Commissioner’s Office (ICO) Principales ressources :

• Quand une AIPD est-elle requise ? Guide AIPD – ICO Décrit les critères de traitements à haut risque, avec des exemples (ex. : profilage, traçage, traitement à grande échelle de données sensibles).

• Exemples de traitements probablement à haut risque : Exemples de traitements à haut risque – ICO

Irlande

Autorité de contrôle : Data Protection Commission (DPC) Principales ressources :

• Liste des opérations de traitement nécessitant une AIPD : Liste noire AIPD – DPC (PDF) Inclut les traitements impliquant une surveillance systématique, des données sensibles ou un profilage à grande échelle.

• Guide général AIPD : Guide AIPD – DPC

Allemagne

Autorité de contrôle : Chaque Land dispose de sa propre APD (ex. : BfDI au niveau fédéral)

• Critères AIPD au niveau fédéral – BfDI

  • Liste des traitements soumis à l’article 35(4) RGPD pour les autorités fédérales

  • Liste des traitements nécessitant une AIPD (DSK)

• Par Land

  • Liste des activités de traitement nécessitant une AIPD (autorité de protection des données du Bade-Wurtemberg) (en allemand)

    Évaluation de l'impact sur la protection des données – liste noire bavaroise (en allemand)

🛑 Les critères AIPD peuvent varier légèrement selon le Land en raison du fédéralisme allemand.

Espagne

Autorité de contrôle : Agencia Española de Protección de Datos (AEPD)

• Guide AIPD – AEPD (en espagnol)

• Liste des types de traitements nécessitant une AIPD (PDF)

• Liste des traitements ne nécessitant pas d’AIPD – AEPD

• Modèle de rapport d’AIPD – AEPD

Pays-Bas

Autorité de contrôle : Autoriteit Persoonsgegevens (AP)

• Guide AIPD – AP

• Liste des types de traitements nécessitant une AIPD (en néerlandais)

Belgique

Autorité de contrôle : Autorité de protection des données (APD)

• Guide AIPD – APD (en français)

• Liste des catégories de traitements soumis à AIPD (PDF – FR)

• Guide AIPD – APD (en néerlandais)

• Liste des traitements soumis à AIPD (PDF – NL)

• Liste des critères GEB/DPIA VTC (en néerlandais)

Italie

Autorité de contrôle : Garante per la Protezione dei Dati Personali (GPDP)

• Page AIPD – GPDP

• Liste des traitements soumis à AIPD

Suède

Autorité de contrôle : Integritetsskyddsmyndigheten (IMY)

• Quand réaliser une AIPD – IMY

• Guide pratique – AIPD (PDF – suédois)

• Liste des types de traitements soumis à AIPD (PDF – suédois)

Danemark

Autorité de contrôle : Datatilsynet

• Guide AIPD – Datatilsynet

• Guide sur les AIPD (PDF – danois)

• Liste des traitements soumis à AIPD (PDF – danois)

• Liste des traitements soumis à consultation préalable (section 26 Loi sur l’application des lois)

Finlande

Autorité de contrôle : Office of the Data Protection Ombudsman

• Guide AIPD – Finlande (en anglais)

• Liste des traitements nécessitant une AIPD

Autriche

Autorité de contrôle : Datenschutzbehörde (DSB)

• Guide AIPD – WKO (en allemand)

• Liste des traitements nécessitant une AIPD – DSB (PDF)

• Exceptions à l'analyse d'impact relative à la protection des données (AIPD) - DSB (PDF)

République tchèque

Autorité de contrôle : Úřad pro ochranu osobních údajů (UOOU)

• Guide sur l'AIPD - UOOU (en tchèque)

• Méthodologie générale d'analyse d'impact relative à la protection des données (document PDF) – UOOU (en tchèque)

• Liste des types d'opérations de traitement (non) soumises à l'obligation d'analyse d'impact relative à la protection des données (AIPD) (document PDF) - UOOU (en tchèque)

Pologne

Autorité de contrôle : Urząd Ochrony Danych Osobowych (UODO)

• Guide AIPD – UODO (en polonais)

• liste des catégories d'opérations de traitement de données à caractère personnel nécessitant une évaluation des risques pour la protection des données - UODO (en polonais)

• Vidéo de la conférence « Évaluation des risques et protection des données à caractère personnel » - UODO (en polonais)

Portugal

Autorité de contrôle : Comissão Nacional de Proteção de Dados (CNPD)

• Guide AIPD – CNPD (en portugais)

• Liste des types de traitements nécessitant une AIPD (PDF) - CNPD (en portugais)

Croatie

Autorité de contrôle : Agencija za zaštitu osobnih podataka (AZOP)

• Lignes directrices relatives à l'AIPD – AZOP (en croate)

• Liste des types d'opérations de traitement soumises à l'obligation d'effectuer une analyse d'impact relative à la protection des données - AZOP (en croate)

Slovaquie

Autorité de contrôle : Úrad na ochranu osobných údajov Slovenskej republiky (UOOU SR)

• Protection des données à caractère personnel en République slovaque - UOOU SR (PDF) (en slovaque)

• Lignes directrices relatives à l'analyse d'impact relative à la protection des données - UOOU SR (en slovaque)

Hongrie

Autorité de contrôle : Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)

• Lignes directrices relatives à l'AIPD – NAIH (en hongrois)

  Liste des opérations de traitement soumises à une analyse d'impact – NAIH (en hongrois)

Roumanie

Autorité de contrôle : Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)

• Liste des traitements soumis à une analyse d'impact - ANSPDCP (PDF) (en roumain)

  Décision n° 174 du 18 octobre 2018 relative à la liste des types de traitements soumis à l'obligation d'analyse d'impact relative à la protection des données (PDF) (en anglais)

Bulgarie

Autorité de contrôle : Commission for Personal Data Protection (CPDP)

• Liste des types d'opérations de traitement des données à caractère personnel pour lesquelles une évaluation de l'impact sur la protection des données est requise (en bulgare)

🇱🇹 Lituanie

Autorité de contrôle : Valstybinė duomenų apsaugos inspekcija (VDAI)

• Liste des opérations de traitement des données soumises à une analyse d'impact relative à la protection des données - VDAI (PDF) (en lituanien)

🇱🇻 Lettonie

Autorité de contrôle : Datu valsts inspekcija (DVI)

• Types d'activités de traitement pour lesquelles une analyse d'impact relative à la protection des données doit être effectuée – DVI (en letton)

Luxembourg

Autorité de contrôle : Commission Nationale pour la Protection des Données (CNPD)

• Guide sur l'AIPD – CNPD

• Liste des traitements nécessitant une AIPD – CNPD (en français)

• Infographie sur l'AIPD - CNPD

Grèce

Autorité de contrôle : Hellenic Data Protection Authority (HDPA) – Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

• Lignes directrices relatives à l'EIPD – HDPA

• Liste des traitements nécessitant une EIPD (liste noire) – HDPA (PDF, anglais)

Suisse

Autorité de contrôle : Préposé fédéral à la protection des données et à la transparence (PFPDT / FDPIC)

Bien que la Suisse ne fasse pas partie de l’UE, elle impose des exigences similaires à l’AIPD dans sa loi fédérale révisée sur la protection des données (nLPD, 2023) :

• Aide-mémoire concernant l’analyse d’impact relative à la protection des données personnelles (AIPD) au sens des art. 22 et 23 LPD

• Guide de mise en œuvre de l’AIPD

✅ Requise lorsqu’un traitement de données est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux. La structure est similaire à celle de l’article 35 du RGPD.