Skip to content

Le RGPD et le profilage

Le RGPD et le profilage

Le profilage est une technique de traitement de données personnelles automatisée et présente un enjeu de taille pour l’activité et le résultat d’une entreprise ou d’un organisme public ou privé. Avec l’entrée en vigueur du Règlement européen général sur la protection des données (RGPD) le 25 mai 2018, on assiste à un changement profond des règles de traitement des données personnelles dont le profilage en est une des illustrations marquantes. Désormais, le profilage fait l’objet d’un encadrement strict par rapport à d’autres traitements de données.

 

La notion de profilage dans le RGPD et le traitement des données personelles

Le profilage avant le RGPD : enjeu du Big Data

On entend par « profilage » l’analyse prévisionnelle du comportement d’une personne. Il permet de prédire le comportement d’une personne que ce soit dans ses achats, ses déplacements, ses préférences, etc.  Le profilage ne touche que les personnes physiques.

Grâce au profilage, une entreprise peut proposer un contenu adapté et intéressant à la personne en fonction du profilage qui a été effectué à son égard grâce à la possession de données personnelles. C’est pourquoi le profilage était l’un des plus grands enjeux du Big Data.

Article 4 RGPD traitement des données et profilage

La notion de profilage est encadrée par le RGPD.

Bon à savoir : RGPD qui est concerné ?

Article 4 n°4 RGPD : «4) « profilage», toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique; ».

A noter : Le RGPD interdit le traitement des données de santé, sauf dans le cas ou la personne concernée donne son consentement ou lorsqu’il s’agit des exceptions prévues.

C’est une définition très large de la notion de profilage. Le profilage regroupe donc un grand nombre d’activités de domaines très différents comme par exemple le marketing comportemental ou la détection de fraudes.

Le profilage est une technique de traitement de données personnelles spéciale automatisée. Il permet d’évaluer certains aspects propres à la personne concernée par le traitement des données. Les traitements de données personnelles non automatisés ne font pas partie de la notion de profilage étant donné qu’ils ne sont pas mentionnés à l’article 4 du RGPD.

Le considérant 24 du RGPD précise la fonction du profilage. Il doit servir d’aide dans la prise de décision d’une personne physique ou servir à une entreprise d’analyse préalable permettant de prédire le comportement ou l’esprit de la personne concernée.

Le profilage est autorisé seulement sous certaines conditions car il peut porter atteinte aux droits fondamentaux et aux libertés fondamentales des personnes concernées.

Précisions des lignes directrices du G29

Le G29 est un groupe de travail qui réunit les autorités de contrôle des Etats Membres de l’Union Européenne. La CNIL (Commission nationale de l’Informatique et des Libertés) en fait donc partie.

La publication des lignes directrices accompagnant le RGPD le 17 octobre 2017 ont eu pour but de faciliter la mise en conformité des entreprises et organismes aux dispositions du RGPD. Les lignes directrices du G29 comprennent 5 sections dont l’une d’entre elles est consacrée au profilage et aux prises de décision automatisées.

Le G29 divise la notion de profilage en deux types de profilages :

  • profilage associé à une prise de décision automatisée
  • profilage non associé à une prise de décision automatisée

Le profilage non associé à une prise de décision automatisé est autorisé. Il en est de même pour les processus de décisions qui ne sont pas automatisés mais basés sur un profilage avec une intervention humaine.

Dans ces deux cas, l’entreprise ou l’organisme souhaitant effectuer le profilage doit seulement se plier aux règles du RGPD et être conforme à ses exigences. Aucune condition supplémentaire n’est requise. Le consentement de la personne concernée n’est pas requis.

Les exigences à respecter dans le cas du profilage non associé à une prise de décision automatisé sont par exemple les suivantes : un traitement de données licite et suivant un intérêt légitime et l’information de la personne concernée.

L’intérêt légitime doit s’évaluer attentivement. Comme pour le traitement des données, la personne concernée par le profilage doit pouvoir raisonnablement s’attendre à être la cible du profilage. Elle doit avoir pu anticiper le moment et le cadre de la collecte de ses données personnelles et elle doit pouvoir comprendre la finalité du profilage.

Le profilage associé à une prise de décision automatisé s’effectue sans intervention humaine et est susceptible d’engendrer des effets juridiques vis-à-vis des droits et liberté de la personne concernée par le profilage. Sa mise en œuvre fait donc l’objet de conditions strictes, qu’importe que les effets juridiques soient négatifs ou non.

Bon à savoir ! Un profilage associé à une prise de décision automatisé avec intervention humaine est rattaché à la notion de profilage associé pleinement à une prise de décision automatisé si l’intervention humaine est insignifiante ou n’a pas d’impact sur le résultat final du profilage.

Attention ! Le profilage doit absolument être accompagné de garanties permettant de maintenir le respect des droits de la personne concernée.

 

Les limites du profilage

En principe, le profilage associé strictement à une prise de décision automatisé est interdit. Néanmoins, le RGPD prévoit des exceptions à ce principe dans son article 22.

Droit d’opposition au profilage basé sur une prise de décision automatisée

Article 22 §1 du RGPD : « 1. La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. ».

La personne concernée peut s’opposer au profilage basé sur une prise de décision automatisée car ce processus peut engendrer des effets juridiques vis-à-vis de ses droits et libertés.

Les exceptions au droit d’opposition de la personne concernée au profilage automatisé

L’article 22 du RGPD prévoit trois exceptions au droit d’opposition de la personne concernée.

Le profilage automatisé est nécessaire au contrat entre la personne concernée et l’entreprise :

Article 22 §2 a) du RGPD : « a) [le profilage] est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ».

Les lignes directrices du G29 rappellent aux responsables de traitement des données personnelles qu’ils ont un devoir d’accountability que leur impose le RGPD. Ils doivent donc mettre en place des moyens permettant de vérifier et de justifier du caractère nécessaire de l’opération de profilage pour l’exécution ou la conclusion d’un contrat entre une personne et l’organisme ou l’entreprise. Le meilleur moyen de vérifier la nécessité d’un traitement de données est d’effectuer une analyse préalable d’impact du traitement par rapport aux finalités recherchées par l’entreprise.

Un droit national contraire en vigueur :

Article 22 §2 b) du RGPD : « b) [le profilage] est autorisé par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ».

Les Etat membres ont la liberté d’ériger une disposition légale permettant de s’opposer au droit d’opposition des personnes concernée au profilage automatisé. En effet, les Etats membres peuvent être amenés à autoriser le profilage pour prévenir de risques de fraude ou d’évasion fiscale.

Le consentement explicite de la personne concernée :

Article 22 §2 c) du RGPD : « c) [le profilage] est fondé sur le consentement explicite de la personne concernée. ».
Si la personne concernée donne son consentement explicite au profilage basé sur une prise de décision automatisée, le profilage est autorisé.
Le consentement explicite doit avoir été donné par écrit pour éviter toute confusion. Il doit être clair et précis.

Le consentement explicite de la personne concernée ne dispense pas le responsable de traitement des données de devoir démontrer que la personne concernée a été bien informée et conseillée sur les conséquences de son consentement et du profilage automatisé. Il faut que la personne concernée puisse prendre un choix éclairé.

Le responsable doit de plus dans tous les cas prévoir à l’avance les conséquences que pourrait avoir un traitement de données sur la personne concernée et ses droits et libertés.

La garantie des droits et libertés de la personne concernée

Article 22 §3 du RGPD : «3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision. »

Les garanties de la personne concernée conférées par le RGPD ne doivent pas être mises de côté au cours du profilage. C’est pour cela que le processus de profilage doit être accompagné de garanties permettant à la personne concernée de voir ses droits garantis. Ainsi, le responsable du traitement doit tenir informer la personne au long du profilage et doit mettre à disposition de la personne concernée une intervention humaine si elle le souhaite.

Enfin, il est strictement interdit d’effectuer du profilage sur des enfants.

Dernière mise à jour le

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L'ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Laisser un commentaire

avatar
  S’abonner  
Notifier de