L’élaboration d’une méthode par la CNIL pour mener des études d'impact sur la vie privée (EIVP) - privacy impact assessment (PIA) repose sur l’article 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés qui impose au responsable du traitement de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Cette méthode doit être abordée conjointement avec le guide de la CNIL comportant les modèles et les bases de connaissances pour sa mise en œuvre concrète, ainsi qu’avec le guide des mesures pour traiter les risques sur la liberté et la vie privé, qui « constitue un catalogue de mesures destinées à respecter les exigences légales et à traiter les risques appréciés avec cette méthode ».