Le responsable du traitement des données doit effectuer une évaluation rigoureuse des risques liés au traitement de données personnelles. 

Cette évaluation permet d’analyser le degré de probabilité et la gravité des risques, qu’ils soient élevés ou non. – Considérant 76 du Règlement général sur la protection des données

Les facteurs à prendre en compte pour cette évaluation incluent : 

• la quantité de données traitées ;
• leur nature : notamment si elles sont sensibles, telles que des données de santé, la vie sexuelle, les condamnations pénales, ou encore les informations sur l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques ;
• le profil des personnes concernées : par exemple, des personnes vulnérables comme les mineurs ou les majeurs protégés.

D’autres éléments influencent cette évaluation, tels que le nombre de personnes touchées par le traitement et les usages possibles des données, comme leur agrégation, leur traitement dans le but de contourner une pseudonymisation ou de réidentifier des individus, ou encore les pratiques de profilage.

Enfin, la nature, la portée, le contexte et les finalités du traitement doivent également être pris en compte pour estimer les risques. Par exemple, doit être prise en compte la vocation des données à être communiquées à des tiers. Les mesures techniques et organisationnelles (MTO) devront être adaptées au risque inhérent à la communication.