L’article 35 du RGPD impose au responsable de traitement de réaliser une analyse d’impact lorsqu’un type de traitement est susceptible d’impliquer un risque élevé pour les droits et libertés des personnes concernées en raison de sa nature, de sa portée, de son contexte et de ses finalités.

L’analyse d’impact est notamment exigée dans certaines situations particulières, en premier lieu lorsque des décisions produisant des effets juridiques sont prises sur le fondement d’un traitement automatisé sur lequel repose une évaluation systématique et approfondie de certains aspects personnels des personnes physiques.

L’analyse d’impact est également de rigueur lorsque l’organisme réalise un traitement à grande échelle de données sensibles ou relatives à des condamnations pénales ou à des infractions, ou encore lorsqu’est mise en place une surveillance systématique à grande échelle d’une zone accessible au public.

De plus, il est obligatoire de procéder à une analyse d’impact quand le traitement est présent sur la liste élaborée par la CNIL des quatorze types de traitement nécessitant une analyse d’impact, ou qu’il remplit deux des neuf critères listés dans les lignes directrices du Comité européen de la protection des données.

Il convient alors de commencer par décrire le traitement de données de manière détaillée, en y associant la mention de la finalité du traitement.

Dans un deuxième temps, l’organisme doit évaluer sa conformité avec le RGPD au regard de la nécessité et de la proportionnalité du traitement.

Ensuite, il est impératif de procéder à une estimation des risques pour les droits et libertés des personnes concernées par le traitement. Les risques sont appréciés en fonction de leur gravité et de la probabilité de leur réalisation.

Enfin, le responsable de traitement doit analyser les mesures de sécurité mises en place afin de minimiser ces risques.