L’article 35 impose de réaliser une analyse d’impact (AIPD ou "PIA") avant de mettre en œuvre un traitement de données susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
Et concrètement, ça veut dire quoi ?
Avant de déployer un traitement potentiellement risqué (par exemple, de la surveillance vidéo à grande échelle, des données de santé, ou du profilage automatisé) l’organisme doit prendre le temps nécessaire pour évaluer les risques et décider comment les réduire.
L’AIPD, c’est un peu comme un plan de prévention RGPD : on identifie les dangers, on les mesure, et on s’organise pour les maîtriser. Elle est obligatoire dans certains cas, et fortement recommandée dans d'autres. Concrètement, l'AIPD doit traiter les éléments suivants : la description de traitements, l'évaluation de la nécessité et de la proportionnalité des traitements mis en oeuvre, l'évaluation des risques, et les mesures prises pour limiter ces risques.
Cette analyse doit être documentée, menée de manière structurée, et réévaluée si le traitement évolue. Elle permet aussi d’impliquer le DPO dès la phase de conception et, si besoin, de consulter la CNIL avant le lancement du projet.
Pour aller plus loin, la CNIL met à disposition un guide complet, une liste des traitements nécessitant une AIPD, et des modèles prêts à l’emploi. Consultez la page officielle de la CNIL sur l'AIPD.