Certaines données ou certaines finalités du traitement des données présentent plus de risques à l’égard des droits et libertés des personnes concernées.
Une analyse d’impact de risque lié au traitement des données personnelles n’est obligatoire que lorsque ce risque est élevé.
En application de l’article 35-1 du RGPD “lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la porté, du contexte et des finalités du traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagés sur la protection des données à caractère personnel”.
Cette analyse d’impact permet ne seulement d’identifier les risques mais aussi d’envisager les mesures pour faire face aux risques. La question qui se pose est de savoir quand le PIA est obligatoire?
Le RGPD dans son article 35 -3 énumère trois cas suivants:
1- Évaluation systématique d’aspects personnels y compris le profilage.
2- Traitement à grand échelle,
3- Surveillance systématique à grande échelle.
Le G29 dans son avis de décembre 2017 ajoute à cette liste les cas suivants:
4- une prise de décision automatisée ;
5- le traitement de données sensibles (exemple : santé, biométrie, etc.)
6- le traitement de données concernant des personnes vulnérables
(exemple : mineurs) ;
7- le croisement d’ensembles de données ;
8- des usages innovants ou l’application de nouvelles technologies (exemple : objet connecté) ;
9- l’exclusion du bénéfice d’un droit, d’un service ou contrat (exemple :liste noire).
Si le traitement en cause réponde à au moins 2 de ces 9 critères, le responsable du traitement doit, a priori, conduire une analyse d’impact sur la protection des données.