L’article 36 prévoit que, lorsqu’une analyse d’impact révèle un risque élevé pour les droits et libertés des personnes, et que ce risque ne peut pas être suffisamment atténué, l’organisme doit consulter la CNIL avant de mettre en œuvre le traitement.
Et concrètement, ça veut dire quoi ?
Si un organisme prévoit de mettre en oeuvre un traitement risqué, même après avoir réalisé une analyse d'impact, et qu’il ne parvient pas à garantir un niveau de sécurité satisfaisant, il doit préalablement consulter la CNIL. Il doit alors soumettre son projet à l’avis de la CNIL, qui peut formuler des recommandations, voire s’opposer au traitement. Cette étape permet d’éviter les erreurs graves en amont, surtout sur des projets sensibles ou innovants.