I. − Le fait qu'un type de traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques nécessitant la réalisation d'une analyse d'impact en application de l'article 90 de la loi du 6 janvier 1978 susvisée est déterminé par le recours aux nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement.
Lorsqu'un type de traitement porte sur des données mentionnées au I de l'article 6 de la même loi, il est réputé susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques.
II. − Les types de traitements qui portent sur un ensemble d'opérations de traitement similaires et présentent des risques élevés similaires peuvent faire l'objet d'une analyse d'impact commune. Cette analyse commune est, le cas échéant, complétée par chacun des responsables de traitement concernés, en fonction des spécificités de son traitement.
III. − L'analyse d'impact contient au moins une description générale des opérations de traitement envisagées, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face à ces risques, les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect des dispositions des titres Ier et III de la même loi, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes touchées.
IV. − Lorsque la Commission nationale de l'informatique et des libertés est consultée préalablement à la mise en œuvre du traitement dans les conditions prévues au troisième alinéa de l'article 90 de la même loi, le responsable du traitement ou le sous-traitant lui fournit l'analyse d'impact relative à la protection des données et, sur demande, toute autre information lui permettant d'apprécier la conformité du traitement aux dispositions des titres Ier et III de la même loi et, en particulier, les risques pour la protection des données à caractère personnel des personnes concernées et les garanties qui s'y rapportent.
V. − Lorsque la commission est d'avis que le traitement constituerait une violation des dispositions des titres Ier et III de la même loi, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, elle fournit un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant dans un délai de huit semaines à compter de la réception de la consultation. Si la complexité du traitement prévu le nécessite, ce délai peut être prorogé de six semaines. Dans ce cas, la commission informe le responsable du traitement et, le cas échéant, le sous-traitant de la prorogation de ce délai, dans un délai de six semaines à compter de la réception de la consultation, ainsi que des motifs de cette prorogation.
La Commission nationale de l'informatique et des libertés peut également conseiller le responsable du traitement et faire usage des pouvoirs visés au f du 2° du I de l'article 8 et aux I, 2° et 4° du II et 1° à 3° du III de l'article 20 de la même loi.
A défaut de réponse de la commission à sa consultation dans le délai de huit semaines, le cas échéant prorogé de six semaines, le responsable du traitement ou le cas échéant, le sous-traitant, peut mettre en œuvre le traitement de données, sans préjudice de l'exercice par la commission des pouvoirs mentionnés au septième alinéa du présent article.