Une fois le périmètre du traitement déterminé, il est possible de passer à la 2è étape : la détermination du niveau de risque du traitement. Analyser le risque du traitement, c'est se demander à quel point le traitement qui est envisagé est susceptible de porter atteinte à la vie privée des personnes concernées, et quelles pourraient être les conséquences pour elles en cas d'incident de sécurité.
Déterminer le niveau de risque du traitement revient à déterminer la procédure qui sera applicable :