En vertu du RGPD, il est obligatoire dans certaines circonstances de procéder à une analyse d’impact. En effet, lorsqu’un traitement, en particulier par le recours à de nouvelles technologies et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible de comporter un risque élevé pour les droits et libertés des personnes concernées, vous devez mener, pour chacun d’entre eux, une analyse d’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

Cette analyse d’impact est une procédure destinée à évaluer si un traitement de données à caractère personnel comporte des risques pour les droits et libertés de la personne dont les données sont traitées et à évaluer la manière dont ces risques peuvent être maîtrisés.

Lorsqu’une analyse d’impact révèle que le traitement peut comporter un risque élevé, le responsable du traitement doit consulter l’APD préalablement au traitement. Lorsque l’autorité est d’avis que le traitement envisagé constituerait une violation du Règlement, elle fournit un avis écrit dans les 8 semaines à compter de la réception de la demande de consultation. Ce délai peut être prolongé de 6 semaines pour les traitements complexes.