Pour les traitements les plus à risques, le responsable du traitement devra réaliser une analyse d’impact relative à la protection des données. En fonction des résultats de l’analyse, il devra consulter la Cnil avant la mise en œuvre du traitement. En matière de recherche en santé, l’analyse d’impact est systématique et un régime d’autorisation maintenu.
L’analyse d’impact
L’analyse d’impact relative à la protection des données (ou PIA “Personnal impact assessment”) est une nouvelle exigence préalable à la création de traitements à risque.
La consultation préalable de la Cnil
Lorsque l’analyse d’impact fait apparaître l’existence de risques résiduels élevés malgré les mesures prises, en pratique chaque fois qu’elle mettre en évidence des risques dont la maîtrise ne pourra pas être justifiée par une solution claire et évidente, la Cnil devra être consultée avant la mise en œuvre du traitement concerné.