Une analyse d'impact pour la protection des données (AIPD/DPIA) évalue spécifiquement les risques pour la vie privée associés à des process traitant des informations personnelles en relation avec un projet ou un service. Le RGPD (art 35) a identifié des critères déclencheurs qui, combinés entre eux, rendent obligatoires cette procédure. Mais une AIPD peut s'avérer déterminante dans le cadre d'une prévention des risques sur un projet innovant : c'est l'application du principe de Privacy By Design. Ce concept intègre la confidentialité directement dans la technologie, les systèmes et les pratiques lors de la phase de conception.
L'AIPD vérifie notamment l'intérêt légitime des finalités du projet et des processus qui seront associés à sa réalisation. Elle évaluera la juste proportionnalité des données personnelles utilisées dans le projet, et les risques associés à l'exploitation des informations utilisées.
L'intérêt d'un AIPD est avant tout son caractère préventif. Elle peut impacter fortement le cout d'un projet en évitant la gestion après coup des contraintes légales et règlementaires.
L'AIPD a deux vertus principales : intégrer les considérations de confidentialité dès la planification organisationnelle ; aider à démontrer la conformité au RGPD.