Analyse d'impact sur la protection des données, obligatoire sous le RGPD (Article 35) pour tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Une DPIA est requise notamment pour le profilage à grande échelle, le traitement de données sensibles (santé, biométrique), la surveillance systématique d'espaces publics, et les décisions automatisées avec effets juridiques. Elle documente : la description du traitement, l'évaluation de la nécessité et proportionnalité, les risques identifiés (confidentialité, intégrité, disponibilité), et les mesures d'atténuation prévues. Si les risques résiduels restent élevés après mitigation, une consultation préalable de la CNIL est obligatoire. La DPIA doit être réalisée avant le démarrage du traitement et révisée périodiquement. Elle est un outil de Privacy by Design et de responsabilisation.