Pour déterminer si un traitement est susceptible d’engendrer des risques pour le droits et libertés des individus, votre traitement doit rencontrer au moins 2 critères parmi la liste suivante :
- Evaluation ou notation ;
- Décision automatisée avec effet juridique ou effet similaire significatif ;
- Surveillance systématique ;
- Données sensibles ou données à caractère hautement personnel ;
- Données personnelles traitées à grande échelle ;
- Croisement d’ensembles de données ;
- Données concernant des personnes vulnérables ;
- Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
- Exclusion du bénéfice d’un droit, d’un service ou contrat.
Par ailleurs, la CNIL a établi une liste de traitements nécessitant obligatoirement une analyse d’impact relative à la protection des Données (APID).
https://www.cnil.fr/fr/analyse-dimpact-relative-la-protection-des-donnees-publication-dune-liste-des-traitements-pour