| Réponse rapide |
| Le logiciel PIA de la CNIL est un outil gratuit et open source qui déroule la méthode d'analyse d'impact (AIPD) de la CNIL sur un poste isolé. Il est idéal pour réaliser une première AIPD, mais ne relie pas l'analyse au registre, ne gère ni le travail collaboratif ni le réexamen dans le temps. IZIRO en est l'alternative pilotable : le module AIPD relie chaque analyse à la fiche de traitement (Art. 30), pré-remplit les données, mutualise les scénarios de risques et transforme l'AIPD en preuve d'accountability opposable (Art. 5.2), à partir de 28 €/mois, sans engagement. |
Le logiciel PIA de la CNIL est la référence pour formaliser une analyse d'impact relative à la protection des données. Conçu pour un usage ponctuel sur un poste de travail, il atteint vite ses limites dès qu'un DPO doit piloter plusieurs analyses, les relier à son registre et démontrer leur suivi lors d'un contrôle. C'est là qu'un logiciel RGPD de pilotage de la conformité change la donne. Cet article compare l'outil officiel de la CNIL et le module AIPD d'IZIRO, et précise quand chaque solution est pertinente. Contenu mis à jour en mai 2026, sur la base du RGPD en vigueur ; il ne remplace pas un conseil juridique.
Le logiciel PIA de la CNIL est un outil gratuit et open source qui formalise une analyse d'impact (AIPD) en suivant pas à pas la méthode officielle de la CNIL.
Publié par la CNIL et disponible en 20 langues, l'outil PIA s'utilise en version prête à l'emploi sur un poste de travail ou se déploie sur un serveur interne. Sous licence libre, il est contributif via GitHub. Il déroule l'intégralité de la méthode PIA développée par la CNIL dès 2015 et s'appuie sur une base de connaissances contextuelle reposant sur le RGPD, les guides AIPD et le guide sécurité de la CNIL. Son objectif : aider les responsables de traitement peu familiers de la démarche à produire une AIPD conforme. Pour en savoir plus, l'outil est documenté sur le site officiel de la CNIL dédié à l'outil PIA.
| Définition — AIPD / DPIA |
| L'analyse d'impact relative à la protection des données (AIPD, ou DPIA en anglais) est une étude obligatoire (article 35 du RGPD) lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Elle décrit le traitement, évalue la nécessité et la proportionnalité, puis identifie et traite les risques sur la vie privée. |
Le logiciel PIA de la CNIL produit une AIPD figée, déconnectée du registre, sans gestion collaborative ni suivi automatique du réexamen.
Chaque analyse menée dans le logiciel PIA est un fichier autonome, sans lien avec la fiche de traitement correspondante du registre (Art. 30). Conséquence directe : vous ressaisissez manuellement les finalités, les catégories de données et les sous-traitants déjà décrits ailleurs. Le DPO perd un temps précieux et multiplie les risques d'incohérence entre l'AIPD et le registre.
Le logiciel PIA reste un outil mono-poste pensé pour l'analyse ponctuelle. Ses principales limites pour une pratique professionnelle continue :
Une AIPD est obligatoire dès qu'un traitement remplit au moins deux des neuf critères du CEPD, ou figure dans la liste de la délibération CNIL n° 2018-327.
Les lignes directrices du G29 / CEPD (WP248 rév.01, 2017) identifient neuf critères caractérisant un traitement à risque élevé. La CNIL considère qu'un traitement réunissant au moins deux de ces critères doit faire l'objet d'une AIPD :
L'article 35.3 du RGPD cible trois cas types : le profilage décisionnel, le traitement à grande échelle de catégories particulières de données, et la surveillance systématique d'un espace public. En France, la délibération n° 2018-327 du 11 octobre 2018 fixe la liste des traitements imposant une AIPD, tandis que la délibération n° 2019-118 du 12 septembre 2019 liste les cas exemptés. Les secteurs manipulant des données sensibles — comme un établissement médico-social équipé d'un logiciel RGPD adapté aux EHPAD et aux données de santé — sont presque systématiquement concernés.
| Domaine | AIPD requise (délib. 2018-327) | AIPD non requise (délib. 2019-118) |
|---|---|---|
| Santé | Dossier patient informatisé à grande échelle | Praticien de santé exerçant à titre individuel |
| Ressources humaines | Dispositif de biométrie ou de surveillance des salariés | Gestion courante de la paie |
| Profilage | Scoring décisionnel à effet juridique | Gestion comptable fournisseurs et clients sans profilage |
Le module AIPD/DPIA d'IZIRO réalise l'analyse d'impact en ligne, de manière guidée, et indique automatiquement si une AIPD est obligatoire pour le traitement étudié.
Le module AIPD d'IZIRO est natif et conforme à la méthodologie de la CNIL. Il reprend les guides AIPD de la CNIL (méthode, modèles, bases de connaissances) et s'aligne sur le référentiel international ISO/IEC 29134:2017 relatif à l'analyse d'impact sur la vie privée. L'onglet DPIA présente la liste des traitements pour lesquels une analyse est obligatoire et ceux qui bénéficient d'une exemption ; en cochant les critères applicables, le DPO sait immédiatement si l'AIPD est requise. L'ensemble des modules est détaillé sur la page des fonctionnalités du logiciel RGPD IZIRO.
IZIRO fournit des bases de connaissances pré-remplies pour les scénarios de risques courants. Le DPO part d'une trame validée — accès illégitime, modification non désirée, disparition de données — plutôt que d'une page blanche. Ces modèles guidés réduisent le temps de production d'une AIPD de plusieurs jours à quelques heures, surtout sur les traitements récurrents d'un même secteur.
La démarche évalue chaque risque selon sa gravité et sa vraisemblance, en croisant les sources de risques et les mesures de sécurité existantes. IZIRO permet d'identifier les risques, d'évaluer les mesures en place et de définir les plans d'actions correctives, là où l'outil de la CNIL s'arrête au constat.
IZIRO déverse automatiquement les informations de la fiche de traitement dans le DPIA : le DPO valide ses variables au lieu de tout ressaisir.
Une fois la réalisation d'un DPIA déclenchée, un onglet apparaît à côté de la fiche de traitement et la plateforme y reporte l'ensemble des informations déjà saisies dans le registre. Il ne reste qu'à finaliser l'analyse et à la valider. Ce lien direct entre l'AIPD et la fiche de traitement (Art. 30) supprime la double saisie et garantit la cohérence entre les deux documents. Sur le terrain, un registre alimenté par des bibliothèques sectorielles est généré jusqu'à 90 % automatiquement, comme l'a constaté un cabinet de conseil ayant bouclé sa conformité en une semaine plutôt qu'en plusieurs semaines de saisie manuelle.
IZIRO intègre l'AIPD au Pack de preuve, aux côtés du registre et du registre des violations, pour démontrer la conformité lors d'un contrôle CNIL.
| Définition — Accountability |
| L'accountability (Art. 5.2 du RGPD) est l'obligation, pour le responsable de traitement, non seulement de respecter le RGPD mais aussi d'en apporter la preuve documentée à tout moment. Un PDF figé prouve une analyse à un instant T ; le pilotage continu prouve la démarche dans la durée. |
Le Pack de preuve d'IZIRO regroupe les quatre documents attendus lors d'un contrôle sur place :
L'enjeu est financier : le défaut d'AIPD expose à une amende pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (Art. 83.4). Au-delà de l'AIPD, IZIRO permet de produire un reporting de conformité avec KPI et audit trail et de configurer une alerte violation de données dans le délai des 72h.
Le rapport AIPD est exportable et horodaté, prêt pour l'audit. Il s'aligne sur le modèle-type de documentation des résultats d'une AIPD publié par le CEPD. Lorsqu'un auditeur intervient, IZIRO permet aussi de créer un accès auditeur CNIL dédié sur la plateforme.
Testez le module AIPD gratuitement pendant 15 jours
Le logiciel PIA de la CNIL suffit pour une AIPD ponctuelle ; IZIRO s'impose dès que le DPO doit relier, piloter et prouver plusieurs analyses dans la durée.
| Critère de décision | Logiciel PIA de la CNIL | Module AIPD d'IZIRO |
|---|---|---|
| Coût | Gratuit | À partir de 28 €/mois, sans engagement |
| Lien au registre (Art. 30) | Aucun, saisie manuelle | Données déversées depuis la fiche de traitement |
| Travail collaboratif | Poste isolé | Comptes utilisateurs et workflow de validation |
| Suivi du réexamen | Manuel | AIPD rattachée au traitement vivant |
| Plans d'action | Non pilotés | Affectés et suivis via le gestionnaire de tâches |
| Preuve de conformité | Export PDF isolé | Intégré au Pack de preuve auditable |
| Hébergement | Local ou serveur interne | France, certifié ISO 27001 et HDS |
Choisissez l'outil PIA de la CNIL pour une analyse isolée et exceptionnelle. Optez pour IZIRO si vous reconnaissez l'un de ces besoins :
Plus de 150 organisations pilotent déjà leur conformité avec IZIRO, dont des DPO mutualisés et externes. Pour valider la couverture réglementaire de votre solution, IZIRO se positionne comme un logiciel conforme aux exigences du RGPD. Le thème plus large du « CNIL logiciel » — qui couvre l'ensemble des outils mis à disposition par l'autorité — fait l'objet d'un dossier complémentaire dédié.
Mis à jour en mai 2026.
Oui dès la deuxième analyse d'impact. Le logiciel PIA de la CNIL est gratuit mais isolé : chaque AIPD repart de zéro. Le module AIPD d'IZIRO (à partir de 28 €/mois, sans engagement) pré-remplit l'analyse depuis le registre, mutualise les scénarios de risques et conserve l'historique. Le gain de temps sur les traitements récurrents amortit l'abonnement en quelques AIPD. Essai gratuit 15 jours pour mesurer le différentiel.
Vous ne ré-importez pas les fichiers CNIL, vous reconstruisez l'analyse une fois sur la fiche de traitement, puis IZIRO la maintient automatiquement. La plateforme déverse les informations du registre dans le DPIA : vous validez vos variables au lieu de tout ressaisir. Ce ré-ancrage initial garantit que chaque AIPD reste connectée à son traitement source et à jour, ce que le format figé du logiciel PIA ne permet pas.
Oui, c'est sa différence majeure avec le logiciel PIA de la CNIL. Après identification des risques et évaluation des mesures de sécurité, IZIRO organise les plans d'actions correctives reliés au gestionnaire de tâches : affectation à un service, échéance, rappels automatiques et suivi d'avancement. L'AIPD cesse d'être un document figé pour devenir un chantier de réduction de risque piloté et traçable.
Une AIPD n'est solide en contrôle que si elle est datée, reliée à son traitement et démontre un suivi. Un PDF isolé issu du logiciel PIA prouve l'analyse à un instant T, pas le pilotage continu attendu au titre de l'accountability (Art. 5.2 RGPD). IZIRO intègre l'AIPD dans le Pack de preuve aux côtés du registre (Art. 30) et du registre des violations, couvrant l'Art. 35 dans un dossier cohérent présentable à l'auditeur.
Réexaminez chaque AIPD au moins tous les 3 ans, et immédiatement à toute évolution du traitement (nouvelle finalité, nouveau sous-traitant, changement de mesures de sécurité). Sur le logiciel PIA en poste isolé, ce suivi calendaire est manuel et souvent oublié. IZIRO rattache l'AIPD à la fiche de traitement vivante : toute modification signale la nécessité d'une revue, sécurisant l'obligation de réexamen prévue par l'Art. 35.11 RGPD.
Si l'AIPD révèle un risque résiduel élevé que vous ne pouvez pas réduire, une consultation préalable de la CNIL est obligatoire avant le traitement (Art. 36 RGPD). Le logiciel PIA aide à formaliser l'analyse mais ne tranche pas ce déclenchement. IZIRO structure l'évaluation du risque résiduel et conserve la documentation horodatée nécessaire au dossier de consultation, vous permettant d'arbitrer cette étape critique sans angle mort.
Réalisez votre première AIPD reliée à votre registre
Essai gratuit 15 jours, sans engagement, à partir de 28 €/mois.