← Tous les articles

consultant

AIPD: modèle CEPD (avril 2026) et divergences CNPD/CNIL

Le CEPD propose un modèle européen d’AIPD en consultation (avril 2026). Mais CNPD et CNIL divergent encore sur les déclencheurs, avec en France une « liste non requise » qui n’existe pas au Luxembourg.

Par Expertise Luxgap 28/05/2026

L’affaire

Le 14 avril 2026, le Comité européen de la protection des données (CEPD/EDPB) a publié un modèle européen d’analyse d’impact (AIPD/DPIA) et lancé une consultation publique jusqu’au 9 juin 2026. Objectif: « renforcer la conformité et la cohérence » des AIPD en offrant un canevas commun de documentation, sans imposer une méthodologie unique. Le communiqué précise qu’après la consultation, les autorités pourront adopter ce modèle comme standard ou « méta‑modèle » national. Source: EDPB — Enhancing compliance and consistency: EDPB adopts DPIA template (14 avril 2026). Voir le communiqué et la consultation sur le site du CEPD. edpb.europa.eu.

Point de départ utile pour les dirigeants luxembourgeois: malgré cet effort d’harmonisation, les positions nationales demeurent différentes sur les déclencheurs d’une AIPD. La CNPD publie une liste « AIPD requise » (art. 35(4) RGPD), tandis que la CNIL publie à la fois une liste « requise » (délibération du 11 octobre 2018) et une liste « non requise » qui exonère explicitement certains traitements (par exemple, plusieurs traitements RH hors biométrie/profilage). Sources: CNPD — AIPD (liste art. 35(4)); CNIL — Annonce et délibérations du 6 novembre 2018; CNIL — Liste des cas où l’AIPD n’est pas requise. cnpd.public.lu. Pour naviguer ces écarts côté Grand‑Duché, voyez notre page dédiée à la conformité CNPD au Luxembourg.

Le raisonnement juridique

  • Le cadre européen: l’article 35 RGPD impose une AIPD lorsque le traitement est « susceptible d’engendrer un risque élevé »; l’article 35(4) autorise chaque autorité à publier une liste des traitements pour lesquels l’AIPD est « requise dans tous les cas »; l’article 35(5) permet, à l’inverse, une liste de traitements pour lesquels une AIPD « n’est pas requise ». En cas de risque résiduel élevé non maîtrisé, l’article 36 RGPD impose une consultation préalable de l’autorité. Texte officiel: EUR‑Lex (RGPD, art. 35 et 36) — eur-lex.europa.eu. Pour un rappel synthétique des articles 35 et 36 du RGPD, consultez notre page Loi RGPD.
  • La doctrine européenne: les Lignes directrices WP248 rev.01 (endorsées par le CEPD) posent 9 critères de « haut risque » et expliquent comment déterminer la nécessité d’une AIPD. Le CEPD confirme l’endossement de ces lignes (rubrique « Endorsed WP29 Guidelines »). cnil.fr.
  • La CNPD (Luxembourg): sa page officielle récapitule la liste « AIPD requise » (art. 35(4)) et reprend des cas comme: 1) données biométriques à des fins d’identification (avec un autre critère), 2) contrôle régulier et systématique des activités des employés lorsqu’il produit des effets juridiques ou des effets similaires significatifs, 3) suivi systématique de la localisation de personnes physiques, 4) combinaison/comparaison de données de sources/finalités différentes entraînant des effets juridiques/équivalents. Mise à jour: 11/03/2019. cnpd.public.lu.
  • La CNIL (France): en plus d’une liste « AIPD requise » (11/10/2018, publiée le 06/11/2018), la CNIL a formellement adopté une liste de traitements pour lesquels « une AIPD n’est pas requise » (art. 35(5)), incluant notamment des traitements RH « courants » chez des organismes de < 250 salariés, le contrôle d’accès par badge hors biométrie et la gestion du temps de travail hors biométrie et sans données sensibles/hautement personnelles. cnil.fr.

Divergence clé: Luxembourg ne publie qu’une liste « AIPD requise »; la France publie aussi une « liste blanche » (non requise). Ainsi, un même traitement RH ou de contrôle d’accès peut être exempté d’AIPD en France (si les conditions de la liste « non requise » sont remplies), tandis qu’au Luxembourg il faut appliquer l’appréciation de risque de l’art. 35(1) et des critères WP248 au cas par cas — faute d’exemption nationale explicite. Cela n’est pas contradictoire avec le RGPD, mais induit des trajectoires de conformité différentes. cnpd.public.lu.

L’initiative du CEPD du 14 avril 2026 vise à atténuer ces disparités en harmonisant la forme de l’AIPD (documentation, rubriques attendues). Elle ne supprime pas, à ce stade, les différences nationales sur le « quand » (déclencheurs), mais tend à uniformiser le « comment » (contenu/structure), y compris pour faciliter la consultation préalable (art. 36). edpb.europa.eu.

Ce que ça change concrètement

  • Groupes franco‑luxembourgeois: un registre RH identique déployé en France et au Luxembourg peut: côté France, entrer dans la liste « AIPD non requise » si l’organisme a < 250 salariés, sans biométrie ni profilage et hors données sensibles/hautement personnelles; côté Luxembourg, ne bénéficier d’aucune « exemption de liste ». Il faudra apprécier le risque via les 9 critères WP248; si aucun critère aggravant n’est présent, l’AIPD pourra ne pas être requise — mais la charge de démonstration repose sur le responsable. cnil.fr.
  • Contrôle d’accès physique: France: badge sans biométrie = sur la liste « non requise » (sous conditions); Luxembourg: pas d’exemption automatique; si le dispositif ne constitue pas une surveillance systématique à effets significatifs, pas d’AIPD, mais l’analyse devra être motivée et documentée (principe de responsabilité). cnil.fr.
  • Suivi de la localisation (flottes, personnels mobiles): Luxembourg: « suivi systématique de la localisation » figure dans la liste AIPD‑requise CNPD — AIPD à conduire. France: pas de place sur la liste « non requise »; selon le contexte (caractère systématique, échelle, salariés), l’AIPD sera généralement requise. cnpd.public.lu.
  • Projets IA et outils d’analyse d’activité: les critères WP248 (profilage à effets juridiques/équivalents, surveillance systématique, grande échelle de données sensibles) restent structurants dans les deux pays. L’annonce du CEPD du 14/04/2026 ne change pas ces critères, mais vous offre un modèle de documentation reconnu pour fiabiliser vos AIPD et fluidifier, au besoin, une consultation art. 36. cnil.fr. Pour la mise en œuvre, voyez notre accompagnement gouvernance IA conforme.

Pièges fréquents

  1. Transposer la « liste non requise » de la CNIL au Luxembourg. Erreur classique en groupes FR‑LU: considérer qu’un traitement RH « standard » exonéré d’AIPD en France l’est aussi au Luxembourg. Au Grand‑Duché, il n’existe pas de liste d’exemption: il faut apprécier le risque (art. 35(1)) et motiver l’absence d’AIPD. cnpd.public.lu.
  2. Sous‑estimer la notion « d’effets juridiques ou effets similaires significatifs » pour les salariés. Un contrôle régulier et systématique des activités (suivi de productivité, scoring d’agents, etc.) peut déclencher l’AIPD au Luxembourg s’il affecte la situation de l’employé (sanction, variable, planning), même sans biométrie. cnpd.public.lu.
  3. Oublier la consultation préalable (art. 36) en cas de risque résiduel élevé. Faire une AIPD ne suffit pas: si le risque résiduel demeure élevé, la consultation de l’autorité est obligatoire avant mise en œuvre. Base: RGPD art. 36. eur-lex.europa.eu.
  4. Confondre « modèle » d’AIPD et « méthodologie ». Le modèle CEPD 2026 harmonise la structure de restitution, mais ne remplace ni WP248 ni vos méthodes internes de gestion du risque; il ne crée pas d’exemption et n’érige pas de nouveaux déclencheurs. edpb.europa.eu.
  5. Négliger l’aspect transfrontalier. Un même traitement opéré dans plusieurs pays peut combiner: liste « non requise » en France, analyse au cas par cas au Luxembourg, et exigences encore différentes en Belgique (APD). Anticipez ces écarts en phase de design. autoriteprotectiondonnees.be.

Sources officielles

  • CEPD/EDPB — « Enhancing compliance and consistency: EDPB adopts DPIA template », 14 avril 2026; consultation publique (jusqu’au 9 juin 2026). edpb.europa.eupublic consultation
  • CNPD (Luxembourg) — « AIPD »: liste des traitements pour lesquels une AIPD est requise (art. 35(4)); infographie; actualité. cnpd.public.lu
  • CNIL (France) — « Listes des traitements pour lesquels une AIPD est requise ou non » (6 nov. 2018); PDF « Liste des traitements pour lesquels l’AIPD n’est pas requise ». cnil.frpdf
  • RGPD — Articles 35 et 36: AIPD et consultation préalable. eur-lex.europa.eu
  • WP29 — Lignes directrices WP248 rev.01 (endorsées par le CEPD). cnil.fr

En synthèse

D’ici l’adoption finale du modèle CEPD (été 2026 au plus tôt), continuez à appliquer les listes nationales. En France, vérifiez si un cas entre dans la « liste non requise »; au Luxembourg, justifiez le non‑déclenchement au regard de l’art. 35(1) et des critères WP248, sauf entrée explicite dans la liste CNPD « requise ». Le modèle CEPD n’exonère rien: il facilite la preuve, pas la décision de déclenchement. Pour structurer votre dispositif RGPD transfrontalier, parlez‑nous de vos traitements.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

expertise reglementaire rgpd cnpd cnil aipd edpb
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos donnees ne sont jamais partagees. Conformite RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →