AIPD (art. 35 RGPD) au Luxembourg: déclenchement et réussite

AIPD (article 35 RGPD) au Luxembourg: quand la déclencher et comment la réussir

Enjeux: éviter un traitement « à haut risque » non maîtrisé, documenter la conformité et, si besoin, consulter la CNPD avant mise en production. Pour replacer le sujet dans le cadre du RGPD au Luxembourg, cette synthèse rassemble la règle, les sources CNPD/EDPB et une méthode opérationnelle.

La règle générale

L’analyse d’impact relative à la protection des données (AIPD/DPIA) est obligatoire lorsqu’un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes ». C’est l’article 35 du RGPD qui fixe ce cadre: objectifs, contenu minimal et cas typiques où l’AIPD s’impose (surveillance systématique, traitement à grande échelle de données sensibles, etc.). Voir le texte officiel sur EUR‑Lex, article 35 et considérants 84–95. EUR‑Lex – Règlement (UE) 2016/679.

Le RGPD prévoit aussi:

• des exemptions ciblées (par ex. lorsqu’une évaluation d’impact a déjà été réalisée dans le cadre de la loi qui fonde le traitement, art. 35(10)), et
• la consultation préalable de l’autorité lorsque, malgré les mesures envisagées, un « risque élevé non atténué » demeure (article 36). EUR‑Lex – article 36.

Ce que dit le régulateur

Au Luxembourg, la CNPD a adopté, en application de l’article 35(4), une liste des catégories d’opérations de traitement qui exigent une AIPD « dans tous les cas ». On y trouve notamment:

• les traitements incluant des données biométriques ou génétiques combinées à d’autres critères de risque EDPB,
• certains traitements de géolocalisation ou de surveillance systématique,
• des traitements à grande échelle de données sensibles. La page officielle précise aussi le lien avec l’obligation de consultation préalable (article 36). CNPD – Analyse d’impact: obligations et liste art. 35(4).

La décision formelle de la CNPD ayant adopté cette liste (Délibération n°34/2019 du 6 mars 2019) rappelle la procédure de « cohérence » européenne et l’ancrage à l’article 35(1) et (4) RGPD. CNPD – Délibération 34/2019 (liste AIPD).

Côté méthode, le Comité européen (EDPB) a endossé les lignes directrices WP29 « Guidelines on DPIA and determining whether processing is likely to result in a high risk (WP248 rev.01) ». Elles donnent:

• 9 critères pratiques (échelle, surveillance, appariement, personnes vulnérables, usage innovant, etc.) pour décider si une AIPD est requise,
• la structure recommandée (description, nécessité/proportionnalité, analyse des risques, mesures),
• des exemples concrets. EDPB – Endorsed WP29 Guidelines (WP248 rev.01) – Version française officielle du WP248 rev.01.

Si, après AIPD, le risque élevé demeure, l’organisme doit consulter la CNPD avant de lancer le traitement (article 36). Le RGPD prévoit que l’autorité « fournit un avis écrit » dans un délai pouvant aller « jusqu’à huit semaines » à compter de la réception, prorogeable en cas de complexité. Texte consolidé – article 36(2) RGPD. La CNPD rappelle cette obligation et met à disposition un point de contact dédié pour les consultations. CNPD – DPIA (EN): prior consultation and contact.

Comment l’appliquer en pratique

Exemple 1 (secteur financier/assurance): vous déployez un scoring automatisé des sinistres avec détection de fraude, alimenté par de la géolocalisation et des données comportementales.
Exemple 2 (secteur public/para‑public): vous introduisez une authentification biométrique d’accès aux bâtiments, couplée à de la vidéosurveillance intelligente.

Étapes clés

Avant (conception)

1. Cartographier les finalités et données, identifier acteurs et flux (registre art. 30 utile en entrée). CNPD – Registre art. 30. Selon les organisations, un mandat DPO certifié peut accélérer cette phase de cadrage.
2. Décider si une AIPD est requise:
   • Vérifier la liste CNPD art. 35(4). Si votre cas y figure, AIPD obligatoire. CNPD – Liste AIPD.
   • Sinon, appliquer les 9 critères EDPB: dès que « au moins deux » s’appliquent souvent, l’AIPD est requise (appréciation contextuelle). EDPB – WP248 rev.01.
3. Définir la méthode d’AIPD:
   • Contenu minimal (art. 35(7)): description du traitement, évaluation nécessité/proportionnalité, analyse risques, mesures envisagées. EUR‑Lex – article 35.
   • Impliquer DPO, métiers, sécurité IT, juridique; consulter les parties prenantes lorsque pertinent (WP248). Pour les projets IA, anticipez gouvernance et documentation via notre page IA conformité Luxembourg.
4. Penser « privacy by design »: alternatives moins intrusives, minimisation, pseudonymisation, chiffrement, journalisation d’accès, conservation limitée.

Pendant (mise en œuvre)

5. Documenter les choix: base légale, intérêts légitimes mis en balance, tests de nécessité, DPIA chiffrée et traçable. Aligner vos mesures de sécurité (art. 32) avec les risques identifiés (contrôles d’accès, IAM, MDM, chiffrement au repos/en transit, tests, journalisation).
6. Si le risque élevé n’est pas réduit à un niveau acceptable malgré les mesures, préparer un dossier de consultation préalable (art. 36): description, responsabilités, résultats de l’AIPD, mesures proposées, et tout élément demandé par l’autorité. Article 36 – délais et attentes.

Après (exploitation)

7. Surveiller et revoir: une AIPD n’est pas statique. Toute évolution substantielle (nouvelle source de données, nouvelle finalité, changement d’algorithme/IA, interconnexion avec d’autres systèmes) impose une révision. WP248 recommande une revue périodique.
8. Tenir les preuves prêtes: DPIA signée/horodatée, matrice des risques, décisions d’arbitrage, procès‑verbaux de comités, preuves de mise en œuvre des mesures et de tests d’efficacité (contrôles art. 32), notices d’information mises à jour.
9. Organiser la vie du traitement: durées de conservation, purge/archivage, droits des personnes (accès, opposition, limitation, etc.) et procédures de gestion d’incident (art. 33/34).

Astuce CNPD: l’infographie « AIPD: requise ou non » est un bon aide‑mémoire pour les équipes projet. CNPD – Infographie AIPD.

Pièges fréquents

1. Confondre « registre » et « AIPD ». Un registre (art. 30) est nécessaire mais insuffisant: il ne remplace jamais l’analyse d’impact lorsque requise. CNPD – Registre art. 30
2. Sous‑estimer les critères « combinés ». Les lignes EDPB insistent: plusieurs critères moyens peuvent, ensemble, déclencher l’AIPD (p. ex. appariement + surveillance + personnes vulnérables). EDPB – WP248 rev.01
3. Lancer le projet avant d’avoir arbitré les risques résiduels. Si un « risque élevé » subsiste, la consultation préalable (art. 36) est obligatoire; ignorer cette étape expose à des injonctions ou à une interdiction. Article 36 RGPD – obligation et délai d’avis
4. Oublier la proportionnalité. L’AIPD doit justifier la nécessité du traitement et comparer des options moins intrusives (privacy by design). C’est explicitement exigé à l’article 35(7)(b). EUR‑Lex – article 35
5. Ne pas réviser l’AIPD après changement. Un nouveau fournisseur cloud hors UE, l’ajout de biométrie, ou l’entraînement d’un modèle IA avec de nouvelles sources peuvent requalifier le risque: mettez à jour l’AIPD et, si besoin, (re)consultez la CNPD. CNPD – DPIA: obligations et prior consultation

Sources officielles

• Règlement (UE) 2016/679 (RGPD) – texte officiel, art. 35 (AIPD) et art. 36 (consultation préalable): EUR‑Lex / JOUE L119
• CNPD (Luxembourg) – « Analyse d’impact relative à la protection des données (AIPD) » et liste des traitements art. 35(4): Page officielle CNPD
• CNPD – Délibération n°34/2019 du 6 mars 2019 adoptant la liste AIPD: PDF officiel
• EDPB – Lignes directrices endossées « Guidelines on DPIA and determining whether processing is likely to result in a high risk » (WP248 rev.01): Page EDPB et version FR – PDF
• CNPD – Infographie pratique « AIPD: requise ou non »: PDF CNPD

En mai 2026, pour les dirigeants luxembourgeois, l’enjeu est clair: intégrer l’AIPD comme rituel de gouvernance projet (avec seuils EDPB) et utiliser, si nécessaire, la voie de consultation préalable CNPD dans les délais de l’article 36. Pour être accompagné, vous pouvez échanger avec nos experts.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.