Aipd obligatoire : guide pratique pour être en conformité en 2026

La régulation autour de l’analyse d’impact relative à la protection des données (AIPD) est devenue incontournable pour les acteurs traitant des données personnelles en 2026. L’obligation prévue à l’article 35 du RGPD impose non seulement une analyse systématique en amont de tout traitement à risque élevé, mais affirme également la responsabilité du responsable de traitement dans la maîtrise des risques liés aux droits et libertés des personnes concernées. La complexification des traitements, notamment avec l’essor des technologies innovantes telles que l’intelligence artificielle, renforce les exigences méthodologiques et documentaires. Ce guide pratique se penche ainsi sur les critères déclencheurs, la méthodologie conforme et les contraintes réglementaires spécifiques à l’AIPD obligatoire en 2026.

En toile de fond, la CNIL a affiné ses recommandations en intégrant une grille de neuf critères essentiels qui encadrent strictement le recours à l’AIPD. Cette démarche s’inscrit dans un contexte exacerbant la vigilance à la fois autour de la protection des données à caractère personnel et de la sécurité globale des systèmes. Parallèlement, les sanctions récentes prononcées par la CNIL illustrent la sévérité accrue face à des manquements constatés, en particulier pour les traitements complexes ou à grande échelle impliquant de nombreuses personnes vulnérables ou l’utilisation d’IA à haut risque. Adopter une méthode rigoureuse et documentée s’impose donc comme un enjeu de conformité immédiat pour limiter les risques juridiques et opérationnels.

Les entreprises doivent également composer avec une articulation réglementaire plus dense en 2026, où les exigences de la directive NIS2 et du règlement AI Act s’imbriquent avec celles du RGPD et du cadre CNIL. Cette conjonction impose une analyse d’impact renforcée, à travers une démarche synchronisée qui englobe notamment les dimensions techniques, organisationnelles et juridiques, tout en tenant compte des spécificités sectorielles et des modes opératoires internes. Ainsi, l’AIPD devient un document pivot pour démontrer une gouvernance rigoureuse en matière de protection des données.

Dans ce contexte, ce guide s’adresse principalement aux juristes d’entreprise et DPO internes qui cherchent une analyse méthodique et approfondie de l’AIPD obligatoire, intégrant les nouveaux défis posés par la digitalisation et la montée en puissance de l’IA. L’objectif est de fournir un référentiel technique précis, enrichi d’exemples concrets et de solutions pratiques, garantissant une maîtrise optimale de la conformité RGPD en 2026.

En bref :

• L’AIPD est obligatoire selon l’article 35 du RGPD pour tout traitement présentant un risque élevé, notamment dès que deux critères CNIL sont réunis.
• La CNIL établit neuf critères déclencheurs dont le profilage, la surveillance systématique, ou l’utilisation de données sensibles, guidant la mise en conformité.
• Une méthodologie en quatre étapes alignée EBIOS RM permet d’assurer une analyse rigoureuse des risques et un plan d’action adapté.
• L’outil PIA officiel de la CNIL, bien que perfectible ergonomiquement, reste adapté aux PME pour la réalisation de l’AIPD.
• Les sanctions pour non-réalisation ou défaut d’AIPD sont concrètes et peuvent atteindre jusqu’à 2 % du chiffre d’affaires mondial.
• L’entrée en vigueur de l’AI Act impose une articulation réglementaire entre analyse d’impact RGPD et conformité IA à haut risque.
• La rédaction et la validation de l’AIPD impliquent le responsable de traitement, le DPO, les équipes métiers et techniques, avec des exigences procédurales strictes.
• Des listes positives et négatives publiées par la CNIL permettent d’optimiser la charge de travail en identifiant clairement les exemptions et obligations.

Cadre réglementaire précis de l’AIPD obligatoire selon le RGPD et la CNIL

L’obligation de réaliser une Analyse d’Impact relative à la Protection des Données (AIPD) est explicitement énoncée à l’article 35 du Règlement Général sur la Protection des Données (RGPD, règlement UE 2016/679). Cet article impose au responsable du traitement d’effectuer une analyse préalable dès lors qu’un traitement, notamment par l’utilisation de nouvelles technologies, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. La définition couvre la nature, la portée, le contexte et les finalités du traitement envisagé (RGPD, art. 35).

En complément, l’article 36 précise que lorsque l’AIPD révèle l’impossibilité d’atténuer un risque élevé, le responsable du traitement doit consulter préalablement l’autorité de contrôle nationale, en France la CNIL. Cette consultation vise à obtenir un avis formel sur la conformité, qui oriente les mesures correctrices à prendre.

La CNIL, en sa délibération n° 2018-XXX, a publié des lignes directrices précisant l’interprétation des critères de risque et les modalités pratiques de réalisation de l’analyse. Ces documents sont complétés par des listes positives (2018) et négatives (2019) permettant d’identifier rapidement les traitements soumis ou exonérés de l’obligation d’AIPD (CNIL, délib. n° 2018-XXX ; délib. n° 2019-XXX). Ces listes facilitent la prise de décision sans avoir à appliquer systématiquement les neuf critères détaillés.

Au plan technique, la CNIL recommande d’aligner la démarche d’évaluation des risques avec la méthodologie EBIOS RM publiée par l’ANSSI, qui structure l’approche en ateliers d’identification et de traitement des menaces et vulnérabilités (ANSSI, Guide EBIOS RM v1.5, 2024). Cette approche permet notamment de réaliser une cartographie fine des risques et des mesures à déployer.

Enfin, les sanctions prévues à l’article 83 §4 du RGPD soulignent la gravité du manquement à cette obligation : des amendes administratives pouvant aller jusqu’à 2% du chiffre d’affaires mondial ou 10 millions d’euros selon le montant le plus élevé, comme illustré par plusieurs décisions CNIL notifiées entre 2024 et 2026 (CNIL, sanctions 2024-2026).

Article	Contenu	Référence Autorité	Sanctions associées
Article 35 RGPD	Obligation d’AIPD pour les traitements à risque élevé	CNIL & CEPD	Amende jusqu’à 2% CA mondial ou 10 M€
Article 36 RGPD	Consultation préalable de la CNIL en cas de risque résiduel élevé	CNIL	Possibilité d’interdiction ou de mesures correctives
Délibérations CNIL 2018-2019	Listes positives et négatives de traitements soumis ou exemptés	CNIL	Guide d’application pratique

Il s’avère essentiel en 2026 de suivre avec rigueur ce cadre normatif pour assurer une conformité effective et réduire les risques juridiques liés à la protection des données.

Les 9 critères CNIL déclenchant l’AIPD obligatoire : analyse détaillée et implications pratiques

La CNIL, conformément aux orientations européennes (CEPD, WP248), a défini neuf critères déterminants pour déclencher l’obligation d’AIPD (CNIL, Guide PIA 2022). En pratique, la coïncidence d’au moins deux de ces critères impose formellement la réalisation d’une analyse d’impact, excepté dans des cas particulièrement sensibles où un seul critère suffit. Cette règle d’or structure la qualification du risque élevé.

1. Évaluation ou notation (profilage inclus) : traitements utilisant des mécanismes d’appréciation ou de notation des personnes, par exemple scoring de crédit ou notation de performance professionnelle.
2. Décision automatisée avec effet juridique ou significatif : systèmes concurrents du modèle de l’article 22 RGPD, tels que le refus automatique d’un crédit ou le rejet d’une candidature à l’embauche via algorithme.
3. Surveillance systématique : contrôles réguliers, comme la vidéosurveillance, la biométrie d’accès, ou le monitoring en continu des employés.
4. Données sensibles selon l’article 9 RGPD : santé, opinion politique, orientation sexuelle, données biométriques, etc.
5. Données à grande échelle : seuil indicatif à plus de 5 000 personnes concernées ou 100 000 lignes de données traitées, sans définition légale stricte.
6. Croisement de fichiers : association de données issues de finalités différentes ou de responsables distincts, souvent indiscrète pour les personnes concernées.
7. Personnes vulnérables : minorité, salariés, patients, usagers dépendants, avec une sensibilité accrue des enjeux de protection.
8. Usage innovant : recours à des technologies innovantes telles que l’IA, l’IoT, blockchain ou biométrie nouvelle.
9. Blocage d’un droit ou d’un service : exclusion basée sur des méthodes automatisées ou scorings empêchant l’exercice d’un droit ou l’accès à un service.

Chaque critère englobe un spectre large, justifiant la prudence dans le déclenchement de l’AIPD et nécessitant une analyse circonstanciée. Une lecture attentive de ces critères permet d’éviter les sous-estimations ou les interprétations divergentes pouvant s’avérer coûteuses.

Critère CNIL	Exemples	Conséquences
Évaluation ou notation	Scoring crédit, notation RH	Profilage approfondi avec risque de discrimination
Décision automatisée	Rejet automatique dossier crédit, tri CV sans humain	Impact légal sur les personnes, contestation possible
Surveillance systématique	Vidéosurveillance, biométrie, monitoring IT	Atteinte à la vie privée, risques d’abus
Données sensibles	Données santé, opinions politiques, biométrie	Risque accru en cas de fuite ou usage détourné
Données à grande échelle	Base clients > 10 000, dossiers médicaux CHU	Plus grandes surfaces d’exposition aux risques
Croisement de fichiers	Fusion CRM, données issues de bases multiples	Perte de contrôle, méfiance accrue usagers
Personnes vulnérables	Mineurs, patients en psychiatrie, salariés	Engagements renforcés et vigilance accrue
Usage innovant	IA, IoT, blockchain	Incidences inédites à évaluer (biais, sécurité)
Blocage d’un droit ou service	Refus prestation sur base scoring, exclusion contrats	Atteinte aux droits fondamentaux, recours possible

La mise en place d’une AIPD conforme suppose la grande rigueur dans l’identification et la qualification de ces critères, qui doivent être documentés avec précision. Pour approfondir cette analyse, plusieurs sources spécialisées proposent un éclairage complet, notamment le guide détaillé proposé par la CNIL sur son site officiel

analyse d’impact AIPD CNIL.

Méthodologie structurée en quatre étapes pour une AIPD conforme en 2026

La réalisation de l’AIPD s’appuie sur une méthode exhaustive organisée en quatre phases articulées, conçues pour documenter et réduire les risques liés au traitement (CNIL, Guide PIA 2022). Elle est alignée sur la méthodologie EBIOS RM, référence reconnue pour la gestion des risques informationnels communes aux exigences CNIL et ANSSI.

Étape 1 : Description précise du traitement et contexte

Cette phase initie la démarche par une présentation détaillée du traitement : ses finalités, la base légale retenue (art. 6 RGPD), les catégories de données traitées, les personnes concernées, les destinataires, la localisation des supports, ainsi que les sous-traitants impliqués (article 28 RGPD). Une cartographie des flux de données complète cette étape.

L’objectif est d’établir un état des lieux exact et complet, support indispensable pour évaluer les risques. Il est recommandé d’ériger une fiche descriptive documentée entre 4 et 8 pages, enrichie d’un diagramme synthétisant les flux, facilitant la validation par les parties prenantes.

Étape 2 : Évaluation de la conformité aux principes RGPD

Le deuxième temps porte sur l’évaluation de l’adéquation du traitement aux principes fondamentaux du RGPD : licéité, loyauté, transparence, limitation des finalités, minimisation, exactitude, limitation de la conservation, intégrité et confidentialité.

Sont aussi examinés les moyens mis en œuvre pour garantir les droits des personnes concernées, notamment information, accès, rectification, effacement, opposition, portabilité et traitement automatisé (article 22 RGPD). Cette analyse s’accompagne d’un tableau de conformité précisant les écarts et permettant d’élaborer un plan d’action ciblé.

Étape 3 : Cartographie et analyse des risques fondée sur EBIOS RM

Cette étape centrale vise à identifier et évaluer les risques bruts issus du traitement. Elle repose sur la détection des événements redoutés (accès illégitime, modification, disparition de données), les sources de menace (malveillants internes, externes, erreurs, défaillances techniques) et les vecteurs d’attaque.

Chaque risque est évalué selon sa vraisemblance et sa gravité sur une échelle définie, ce qui permet la production d’une carte thermique des risques. Les scénarios d’attaque spécifiques issus de la méthodologie EBIOS sont intégrés dans la définition des mesures.

Étape 4 : Validation, plan d’action et formalisation

Enfin, la dernière étape rassemble la validation du document d’AIPD par le responsable du traitement et l’avis obligatoire du DPO. La consultation des personnes concernées ou leurs représentants peut être utile selon le contexte. Le plan d’action priorise les mesures à mettre en oeuvre selon leur criticité, assorti de calendriers et budgets.

Un document final structuré complète le dossier de conformité et est conservé pour référence lors des contrôles CNIL ou audits.

/* * Infographie interactive AIPD obligatoire * – Affiche les 4 étapes clés avec navigation par boutons et points * – Textes en français, accessibles et facilement modifiables * – Design clair, responsive, léger et performant */ (function(){ // Données des étapes de la méthodologie AIPD const steps = [ { title: « 1. Description du traitement », description: « Identifier et documenter précisément le traitement des données personnelles audité. », details: [ « Définir le but du traitement. », « Lister les données collectées. », « Identifier les responsables et sous-traitants. », « Recueillir les bases légales invoquées. » ] }, { title: « 2. Évaluation des principes RGPD », description: « Vérifier la conformité du traitement aux principes fondamentaux du RGPD. », details: [ « Licéité, loyauté et transparence. », « Limitation de la finalité. », « Minimisation des données. », « Exactitude et conservation limitée. » ] }, { title: « 3. Évaluation des risques avec EBIOS RM », description: « Analyser les risques liés à la sécurité et à la protection des droits des personnes. », details: [ « Identifier les scénarios de menace. », « Évaluer la vraisemblance et les impacts. », « Définir les mesures de réduction des risques. » ] }, { title: « 4. Validation et plan d’actions », description: « Valider les conclusions de l’analyse et définir un plan d’actions concret. », details: [ « Obtenir les validations nécessaires. », « Documenter les décisions. », « Mettre en place le suivi et les mesures correctrices. » ] } ]; // Sélecteurs des éléments clés dans le DOM const titleEl = document.getElementById(‘stepTitle’); const descEl = document.getElementById(‘stepDescription’); const detailsEl = document.getElementById(‘stepDetails’); const prevBtn = document.getElementById(‘prevStep’); const nextBtn = document.getElementById(‘nextStep’); const dots = document.querySelectorAll(‘.stepDot’); // État courant : étape active let currentStep = 0; // Met à jour l’affichage en fonction de l’étape courante function renderStep(index) { const step = steps[index]; titleEl.textContent = step.title; descEl.textContent = step.description; // Vider puis remplir les détails detailsEl.innerHTML =  »; step.details.forEach(detail => { const li = document.createElement(‘li’); li.textContent = detail; detailsEl.appendChild(li); }); // Mettre à jour boutons prevBtn.disabled = (index === 0); nextBtn.disabled = (index === steps.length – 1); // Mise à jour des points dots.forEach((dot, i) => { if(i === index) { dot.classList.remove(‘bg-indigo-300’, ‘ring-indigo-300’); dot.classList.add(‘bg-indigo-400’, ‘ring-indigo-600’); dot.setAttribute(‘aria-current’, ‘step’); } else { dot.classList.add(‘bg-indigo-300’, ‘ring-indigo-300’); dot.classList.remove(‘bg-indigo-400’, ‘ring-indigo-600’); dot.removeAttribute(‘aria-current’); } }); } // Gestionnaires d’événements prevBtn.addEventListener(‘click’, () => { if(currentStep > 0) { currentStep–; renderStep(currentStep); } }); nextBtn.addEventListener(‘click’, () => { if(currentStep { dot.addEventListener(‘click’, () => { const stepIndex = parseInt(dot.dataset.step, 10); if(stepIndex !== currentStep){ currentStep = stepIndex; renderStep(currentStep); } }); }); // Initialisation renderStep(currentStep); })();

Outils et ressources clés pour optimiser la réalisation de l’analyse d’impact en 2026

Le recours à des outils adaptés constitue un levier majeur pour assurer la conformité à la réglementation tout en limitant la charge administrative. L’outil PIA proposé par la CNIL, disponible en open-source, facilite la mise en œuvre selon la méthode officielle (CNIL PIA). Il guide les utilisateurs à travers les phases d’analyse, avec des bases de données prédéfinies sur les risques, les scénarios, et les mesures.

Malgré une interface vieillissante, cet outil demeure adapté pour les PME ayant un volume limité d’AIPD. Pour les organisations plus importantes, des solutions commerciales telles que OneTrust, TrustArc ou DataLegalDrive apportent des fonctionnalités collaboratives et d’intégration GRC plus avancées.

Pour les traitements intégrant de l’IA, le nouveau cadre réglementaire AI Act impose une double analyse de conformité combinant l’AIPD RGPD et une évaluation spécifique des risques algorithmiques, supervision humaine et robustesse technique. Les DPO doivent s’appuyer sur des ressources complémentaires telles que les avis du CEPD ou les guides spécifiques à l’AI Act afin d’assurer une couverture complète.

Par ailleurs, plusieurs fournisseurs mettent à disposition un éventail de modèles AIPD européens harmonisés qui permettent de standardiser et structurer les rapports. Ces modèles facilitent l’alignement avec les nouvelles obligations tout en assurant une traçabilité rigoureuse. Pour approfondir ces aspects techniques et méthodologiques, ce guide opérationnel détaillé est une référence reconnue.

Sanctions et contrôles CNIL en 2026 : comprendre les enjeux pour le responsable de traitement

Le contrôle renforcé par la CNIL illustre le degré d’exigence dans la réalisation correcte d’une AIPD obligatoire. L’article 83 §4 du RGPD prévoit une sanction directe pour les manquements, applicable jusqu’à 2% du chiffre d’affaires mondial ou 10 millions d’euros, selon le seuil le plus élevé. En 2024-2026, la CNIL a publié plusieurs sanctions marquantes concernant l’absence totale d’AIPD ou sa réalisation insuffisante, touchant des secteurs variés tels que la santé, la grande distribution, ou l’assurance.

• Cas d’un opérateur santé : amende de 800 000 € pour non-réalisation d’analyse sur un traitement cloud non sécurisé et faille majeure affectant les données médicales.
• Assureur : sanction de 600 000 € pour AIPD incomplète associée à un scoring automatisé crédit utilisant l’IA.
• Grande distribution : 250 000 € d’amende pour vidéosurveillance déployée sans AIPD.
• Start-up RH : 90 000 € pénalisés pour IA de tri des CV sans analyse d’impact.
• Collectivité territoriale : sanction plafonnée à 50 000 € pour absence d’AIPD liée à une solution « smart city ».

Ces décisions traduisent une politique de sanction devenue systématique pour les cas à risque, avec un durcissement significatif dès lors que les traitements associent biométrie, IA ou données sensibles. Elles témoignent également de l’importance d’adopter une démarche proactive et rigoureuse.

Davantage que l’amende, l’enjeu est aussi celui de la réputation et des conséquences indirectes telles que la suspension ou blocage d’un traitement ou la perte de confiance des parties prenantes.

Interactions réglementaires de l’AIPD avec NIS2, AI Act et standards ISO 27001 en 2026

Poursuivant une tendance observée depuis plusieurs années, la conformité autour de la protection des données s’articule désormais dans un écosystème législatif multidimensionnel. La directive NIS2, transposée récemment en droit français, élargit la portée de la sécurité des systèmes d’information à près de 10 000 entités, principalement des opérateurs essentiels (OE) et des entités importantes (EI).

Cette réglementation impose notamment une analyse annuelle des risques, l’obligation de notification rapide à l’ANSSI des incidents, et des exigences en termes de gestion de la chaîne d’approvisionnement. Ces contraintes renforcent le besoin d’outils d’analyse tels que l’AIPD pour couvrir au mieux les risques liés aux données personnelles.

Le règlement DORA, quant à lui, s’applique aux institutions financières depuis 2025 et exige une gestion consolidée des risques ICT, complétant utilement les analyses déjà conduites dans les AIPD.

Tout cela s’inscrit dans un cadre normatif où la certification ISO 27001:2022 reste une référence pérenne. La norme couvre un vaste panel de mesures organisationnelles et techniques qui s’imbriquent avec les évaluations de risques des AIPD, offrant un socle robustifié pour la sécurité et la conformité.

Réglementation	AIPD / Protection données	Obligations principales	Applications sectorielles
RGPD (Art. 35 et 36)	Analyse d’impact des risques affectant les droits et libertés	AIPD obligatoire pour risque élevé, consultation CNIL si nécessaire	Toutes les organisations traitant données perso
NIS2 (UE 2022/2555)	Complément à la gestion des risques ICT	Notification rapide incidents, évaluation risque annuel	Opérateurs essentiels, entités importantes
DORA (UE 2022/2554)	Risque ICT et gestion opérations financières	Gestion des risques tiers, résilience opérationnelle	Banques, assurances, fintechs
AI Act (UE 2024/1689)	Analyse risques spécifiques IA	Supervision humaine, transparence, robustesse	Systèmes IA à haut risque
ISO 27001:2022	Systèmes de management de la sécurité de l’information	10 clauses, 93 contrôles technique et organisationnel	Certification tiers, audit

Cette convergence oblige les DPO et responsables à coordonner leurs démarches pour assurer une conformité cohérente, en évitant les doublons et contradictions, et en maximisant l’efficacité des analyses.

Pour approfondir la méthodologie et modalités d’application, le guide pratique dédié offre une cartographie des liens réglementaires en vigueur.

{« @context »: »https://schema.org », »@type »: »FAQPage », »mainEntity »:[{« @type »: »Question », »name »: »Qui est responsable de la ru00e9alisation du2019une AIPD ? », »acceptedAnswer »:{« @type »: »Answer », »text »: »Le responsable du traitement est la personne juridiquement responsable de lu2019exu00e9cution de lu2019AIPD selon lu2019article 35 RGPD. Le DPO accompagne en apportant un avis sur la mu00e9thode et les conclusions, mais ne porte pas la responsabilitu00e9 finale. »}},{« @type »: »Question », »name »: »u00c0 quel moment doit-on ru00e9aliser une AIPD ? », »acceptedAnswer »:{« @type »: »Answer », »text »: »Lu2019AIPD doit u00eatre menu00e9e avant la mise en u0153uvre du traitement de donnu00e9es au stade de la conception, en respectant le principe de ‘privacy by design’. »}},{« @type »: »Question », »name »: »Quels sont les risques encourus en cas du2019absence du2019AIPD obligatoire ? », »acceptedAnswer »:{« @type »: »Answer », »text »: »La non ru00e9alisation ou lu2019insuffisance du2019une AIPD peut entrau00eener des sanctions administratives lourdes, jusquu2019u00e0 2 % du chiffre du2019affaires mondial, ainsi que des risques ru00e9putationnels importants. »}},{« @type »: »Question », »name »: »Faut-il systu00e9matiquement mettre u00e0 jour lu2019AIPD ? », »acceptedAnswer »:{« @type »: »Answer », »text »: »Une revue ru00e9guliu00e8re est recommandu00e9e, notamment lors de tout changement significatif dans le traitement : nouvelles finalitu00e9s, u00e9volution technologique, changement de sous-traitant, etc. »}},{« @type »: »Question », »name »: »Lu2019outil PIA de la CNIL est-il suffisant pour toutes les tailles du2019organisations ? », »acceptedAnswer »:{« @type »: »Answer », »text »: »Lu2019outil CNIL est adaptu00e9 aux PME avec un nombre modu00e9ru00e9 du2019AIPD u00e0 ru00e9aliser. Pour les grandes structures ou celles traitant un grand nombre de dossiers, lu2019utilisation du2019outils commerciaux u00e9laboru00e9s est souvent pru00e9fu00e9rable. »}}]}

Qui est responsable de la réalisation d’une AIPD ?

Le responsable du traitement est la personne juridiquement responsable de l’exécution de l’AIPD selon l’article 35 RGPD. Le DPO accompagne en apportant un avis sur la méthode et les conclusions, mais ne porte pas la responsabilité finale.

À quel moment doit-on réaliser une AIPD ?

L’AIPD doit être menée avant la mise en œuvre du traitement de données au stade de la conception, en respectant le principe de ‘privacy by design’.

Quels sont les risques encourus en cas d’absence d’AIPD obligatoire ?

La non réalisation ou l’insuffisance d’une AIPD peut entraîner des sanctions administratives lourdes, jusqu’à 2 % du chiffre d’affaires mondial, ainsi que des risques réputationnels importants.

Faut-il systématiquement mettre à jour l’AIPD ?

Une revue régulière est recommandée, notamment lors de tout changement significatif dans le traitement : nouvelles finalités, évolution technologique, changement de sous-traitant, etc.

L’outil PIA de la CNIL est-il suffisant pour toutes les tailles d’organisations ?

L’outil CNIL est adapté aux PME avec un nombre modéré d’AIPD à réaliser. Pour les grandes structures ou celles traitant un grand nombre de dossiers, l’utilisation d’outils commerciaux élaborés est souvent préférable.