Depuis l’entrée en vigueur du règlement général sur la protection des données (ci-après « RGPD »), les responsables de traitement conduisant des traitements de données « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes » doivent préalablement procéder à une analyse d’impact relative à la protection des données (article 35 (1) du RGPD).
Le RGPD accorde aux autorités de régulation nationales une certaine marge de manœuvre pour lister des types de traitements impliquant nécessairement la mise en œuvre d’une AIPD (article 35 (4) du RGPD). A l’inverse, il permet également à ces autorités de lister des opérations pour lesquelles une AIPD n’est jamais requise (article 35 (5) du RGPD).