Analyse d’impact RGPD : faut-il l’illustrer d’une matrice des risques, et si oui, laquelle ?
Par Bruno RASLE • 20 mars 2026 •
L’analyse d’impact est l’une des grandes avancées du RGPD et un levier puissant pour viser la conformité d’un traitement susceptible de faire peser des risques élevés sur les personnes concernées. C’est aussi l’une des tâches les plus complexes qu’abordent avec précaution - voire appréhension - les responsables de traitement sous la houlette de leur DPO. L’exercice se matérialise par un livrable soumis au responsable afin qu’il l’endosse et prenne des décisions pour faire notamment en sorte que les mesures de traitement des risques soient opérationnelles avant la mise en œuvre du traitement. Même si le RGPD ne l'exige pas, l’habitude a été prise d’illustrer ce document d’une matrice des risques. Est-ce une bonne idée ? Quels sont les objectifs visés par cette insertion ? Comment la concevoir et y positionner les événements redoutés et les risques bruts et résiduels associés ? Y-a-t-il des pièges à éviter, des biais ou des limites à cette approche ? Et quelles sont les caractéristiques d’une « bonne » matrice des risques dans le cadre d’une AIPD formalisée au titre du RGPD ?
Dans le document ci-joint, sont traités les points suivants :
Pourquoi enrichir une AIPD d’une visualisation des risques ?
Quelle est l’origine de la matrice des risques ?
La matrice des risques n’est pas « isolée »
Être conscient de la « tare » originelle des matrices les plus fréquentes
À quoi ressemblent les matrices le plus fréquemment observées en France ?
De l’importance de la sémantique
La question de la définition des échelles de cotation des risques
Quel choix de couleurs ?
Représenter une limite d’acceptabilité ?
La matrice permettrait de prioriser les mesures : vraiment ?
Tentons de formuler quelques conseils
J’en arrive à quel type de matrice ?
Un appel lancé aux éditeurs d'outils
Qu'en pensent nos collègues DPO européens ?
Un regard vers le futur, ou les impacts éventuel du Digital Omnibus
Ne détenant pas la vérité, l'auteur espère que le présent document suscitera réflexions et débats, notamment au sein de l’AFCDP, association française qui regroupe et représente en France les Délégués à la Protection des Données et, plus largement, tout professionnel intéressé ou concerné par la conformité au RGPD et à la loi Informatique et Libertés, et est impatient de recueillir toutes réactions, suggestions et propositions pour aboutir à une représentation des risques pour les personnes qui soit « idéale ».
Il a également grand plaisir à débattre de ces sujets avec les personnes qui suivent sa formation Réaliser une Analyse d'Impact • De la théorie à la pratique.
