36.1 du [RGPD]).
Théoriquement mené par un responsable de traitement, un PIA a pour objectif de construire et de démontrer la mise en œuvre des principes de protection de la vie privée afin que les personnes concernées conservent la maîtrise de leurs données à caractère personnel.
Pour avoir une vue d'ensemble de l'obligation de PIA GDPR, il faut regarder les lignes directrices du G29.
Le PIA RGPD est ainsi obligatoire pour les traitements qui remplissent deux des critères suivants : Evaluation ou scoring, par exemple étude de marché ou profilage.
Une analyse d'impact sur la protection des données est une étude qui doit être menée lorsqu'un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.