L’article 35 du RGPD requiert qu’une « AIPD » soit effectuée « Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ».
Le paragraphe 3 de l’article 35 du RGPD prévoit en outre 3 cas dans lesquels une « AIPD » est particulièrement requise. L’un de ces 3 cas vise la « surveillance systématique à grande échelle d’une zone accessible au public ». Dans certaines situations, l’installation d’un système de vidéosurveillance pourrait tomber dans ce cas.
En outre, les « Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679 » émises par le groupe de travail européen (G29) précisent les 9 critères qu’il y a lieu de prendre en compte pour évaluer si un traitement de données est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, et donc, s’il faut ou non effectuer une « AIPD ». Certains de ces critères pourraient être remplis dans le cadre de la mise en place d’un système de vidéosurveillance, comme par exemple celui du traitement de « données concernant des personnes vulnérables » (salariés) et le critère de la « surveillance systématique ».
Le RGPD prévoit que les autorités de contrôle nationales établiront et publieront une liste des types d’opérations de traitement de données à caractère personnel pour lesquels une « AIPD » est requise. La CNPD adoptera prochainement cette liste, qui devra préalablement être communiquée, pour avis, au Comité européen de la protection des données.