DPIA pour le consentement aux cookies : quand les éditeurs doivent réaliser une analyse d'impact relative à la protection des données
La plupart des éditeurs considèrent l'analyse d'impact relative à la protection des données comme une tâche de conformité qui incombe à quelqu'un d'autre — le délégué à la protection des données, un conseil externe, le projet d'ingénierie rarissime qui touche à la biométrie. En réalité, le GDPR exige une DPIA pour un éventail d'activités bien plus large que la plupart des opérateurs adtech ne le réalisent, et de nombreux flux de consentement aux cookies et de publicité comportementale entrent pleinement dans les critères de déclenchement. La question que les autorités de contrôle posent désormais directement aux éditeurs lors d'audits et d'enquêtes sur des plaintes est la suivante : avez-vous réalisé une DPIA avant de déployer ce traçage, et pouvez-vous nous la présenter ? Ce guide explique quand la DPIA est obligatoire, ce qu'elle doit contenir et comment produire un document qui résiste à l'examen des autorités.
Ce qu'est une DPIA et pourquoi elle existe
L'analyse d'impact relative à la protection des données est définie à l'article 35 du GDPR. Il s'agit d'une analyse documentée que le responsable du traitement doit effectuer avant de lancer toute opération de traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. La DPIA contraint le responsable du traitement à décrire le traitement, à évaluer sa nécessité et sa proportionnalité, à identifier les risques et à documenter les mesures prises pour les atténuer. Si le risque résiduel reste élevé, le responsable du traitement doit consulter l'autorité de contrôle avant la mise en production.
Pour les éditeurs, la DPIA n'est pas un artefact juridique ponctuel. C'est le document central qu'une autorité de contrôle demandera lorsqu'elle enquêtera sur une plainte relative aux cookies ou au traçage, et c'est le document qui détermine si l'éditeur peut démontrer sa responsabilité au titre de l'article 5(2). Sans elle, la charge de la preuve bascule décisivement contre vous.
Quand la DPIA est obligatoire pour les flux cookies et consentement
L'article 35(3) énumère trois déclencheurs explicites de DPIA. Les lignes directrices du groupe de travail Article 29 (désormais adoptées par l'EDPB) ajoutent une liste de neuf critères indicatifs. Une activité de traitement qui remplit deux de ces critères est présumée nécessiter une DPIA. Pour les flux cookies et adtech, les critères les plus pertinents sont les suivants :
- Évaluation systématique et approfondie — incluant le profilage à des fins publicitaires et de personnalisation de contenus.
- Traitement à grande échelle — mesuré par le volume de données, le nombre de personnes concernées, l'étendue géographique et la durée. Les sites d'éditeurs affichant des chiffres mensuels à sept chiffres remplissent presque toujours cette condition.
- Usage innovant de la technologie — couvre le fingerprinting, l'identification cross-device, le federated learning, la mesure de l'attention, l'inférence comportementale par IA.
- Suivi de la localisation ou du comportement — directement couvert par la publicité comportementale et le retargeting.
- Croisement ou appariement de jeux de données — incluant l'enrichissement côté serveur, les graphes d'identité, les data clean rooms, le stitching de plateformes de données clients.
Un site d'éditeur typique de niveau intermédiaire utilisant la publicité comportementale et exploitant plus de quelques pixels tiers remplit simultanément au moins trois de ces critères. La présomption qu'une DPIA est requise constitue, en pratique, une quasi-certitude. Plusieurs DPA nationaux ont publié leurs propres listes de DPIA obligatoires ; le Garante italien, la CNIL française et le DSK allemand ont tous expressément désigné la publicité programmatique et le profilage cross-site comme des déclencheurs DPIA par défaut.
Ce que le document DPIA doit contenir
L'article 35(7) fixe quatre contenus obligatoires. Une DPIA qui en est dépourvue est considérée par les autorités de contrôle comme n'ayant pas été effectuée.
Une description systématique du traitement
Ce n'est pas un résumé d'un seul paragraphe. La description doit couvrir chaque catégorie de données personnelles traitées, chaque finalité, chaque destinataire, chaque durée de conservation et chaque transfert transfrontalier. Pour un flux adtech, cela signifie lister chaque fournisseur figurant dans votre chaîne TCF, les données que chacun reçoit et la base légale revendiquée pour chacun. Les éditeurs qui copient directement la liste des fournisseurs TCF v2.2 dans l'annexe de la DPIA ont produit des documents exploitables ; ceux qui la résument en deux phrases, non.
Une évaluation de la nécessité et de la proportionnalité
La nécessité interroge la possibilité d'atteindre la même finalité avec moins de données ou avec des données non personnelles. Pour un flux de publicité comportementale, cela implique d'examiner honnêtement si la publicité contextuelle pourrait servir la même finalité. L'EDPB Opinion 28/2024 est explicite sur le fait qu'une DPIA ne peut écarter la publicité contextuelle en une seule ligne — le responsable du traitement doit démontrer que l'alternative a été examinée et expliquer pourquoi elle a été écartée.
Une évaluation des risques pour les personnes concernées
L'analyse des risques doit prendre en compte l'accès illicite, la divulgation non autorisée, l'altération, la perte et les risques sociaux plus larges du profilage — effets dissuasifs, discrimination, enfermement. Pour chaque risque identifié, l'évaluation doit indiquer la probabilité, la gravité et le niveau résiduel après atténuations.
Les mesures prises pour faire face aux risques
C'est ici qu'apparaît la plateforme de gestion du consentement dans la DPIA. Recueil granulaire du consentement, opt-out fournisseur par fournisseur, retrait aisé, limites de conservation, chiffrement en transit et au repos, garanties contractuelles envers les sous-traitants — chaque mesure doit être rattachée à un risque identifié spécifique. Une déclaration générique selon laquelle l'éditeur utilise une CMP n'est pas une mesure.
Le rôle du délégué à la protection des données
L'article 35(2) exige que le responsable du traitement sollicite l'avis du DPO lors de la réalisation d'une DPIA. Pour les éditeurs disposant d'un DPO désigné, la démarche est simple. Pour les éditeurs plus modestes qui n'en ont pas, la DPIA peut néanmoins être réalisée, mais elle doit être conduite avec un conseil externe documenté — avocat externe, consultant sectoriel ou équipe conformité d'un fournisseur de CMP. Le rôle du DPO est de challenger l'analyse de nécessité du responsable du traitement, non de la valider mécaniquement.
Quand la consultation préalable est requise
L'article 36 impose une consultation préalable auprès de l'autorité de contrôle lorsque la DPIA révèle que le traitement présenterait un risque élevé que le responsable du traitement ne peut atténuer. En pratique, cela est rare pour les flux cookies et consentement — la plupart des risques peuvent être atténués par un consentement granulaire, une réduction du nombre de fournisseurs, des limites de conservation et des garanties contractuelles. Mais ce n'est pas impossible. Deux cas ayant déclenché une consultation préalable en 2024 et 2025 : un identifiant basé sur le fingerprinting déployé sans intégration TCF, et un graphe d'identité cross-device combinant des données de première partie avec des courtiers en données tiers. Les éditeurs explorant l'un ou l'autre de ces schémas doivent anticiper un calendrier de consultation de six à douze semaines.
Comment les autorités de contrôle utilisent la DPIA dans les enquêtes
La DPIA est l'unique document qu'une autorité de contrôle demande en premier lorsqu'une plainte relative aux cookies entre en phase d'enquête formelle. Le Garante italien, la CNIL française, l'APD belge et le BayLDA bavarois ouvrent tous leurs dossiers de procédure par une demande de DPIA portant sur l'activité en question. Trois schémas ressortent des décisions récentes :
Les DPIA produites tardivement sont lourdement décotées
Une DPIA datée après la demande de l'autorité de contrôle ne sera pas considérée comme une preuve d'évaluation préalable au lancement. Plusieurs décisions de 2025 ont expressément relevé que le document avait été créé a posteriori et l'ont pondéré en conséquence. La DPIA doit précéder le lancement du traitement, et les métadonnées ou l'historique des versions du document doivent le démontrer clairement.
Les DPIA génériques sont assimilées à des DPIA inexistantes
Un modèle de DPIA copié depuis le portail d'un fournisseur de CMP sans analyse propre au site est de plus en plus rejeté. La décision Garante 2025 contre un groupe d'éditeurs italiens a nommément visé six des neuf sites concernés et constaté qu'une seule DPIA partagée couvrant tous ces sites ne satisfaisait pas à l'article 35.
Les mesures d'atténuation doivent correspondre à ce qui est réellement déployé
Si la DPIA décrit une conservation des cookies de 60 jours mais que les cookies déployés ont une durée de vie de 24 mois, l'autorité de contrôle traitera la DPIA comme inexacte. L'audit trimestriel de la configuration déployée par rapport à la description de la DPIA n'est plus facultatif.
Synthèse
Pour la plupart des éditeurs, la réponse pratique est identique : une DPIA est requise, elle doit être rédigée avant tout nouveau déploiement de traçage et doit être réexaminée trimestriellement par rapport à la configuration en production. Le document n'a pas besoin d'être long, mais il doit être spécifique au site, rédigé avant le lancement, validé par le DPO ou un conseiller externe documenté, et aligné sur ce qui tourne réellement en production. Les éditeurs qui respectent ces quatre points transforment la DPIA d'une contrainte de conformité en leur meilleure défense le jour où une autorité de contrôle frappe à leur porte.