Skip to content

Le RGPD et le profilage

Le RGPD et le profilage

Le profilage est une technique de traitement de données personnelles définie au sein du Règlement Général sur la Protection des Données Personnelles (RGPD), entré en vigueur en 2018. Il permet ainsi d’analyser et de prédire les comportements de personnes physiques.

Le profilage est une technique largement utilisée au sein des entreprises. Il a donc fait l’objet d’un encadrement par le RGPD, qui confère de nombreux droits aux particuliers en la matière.

Qu’est-ce que le profilage selon le RGPD ?

Le profilage est une notion définie par plusieurs articles au sein du RGPD. Il présente de nombreux intérêts pour les entreprises, qui utilisent cette technique de manière fréquente. C’est pourquoi, il fait l’objet d’un encadrement.

Le profilage défini par le RGPD

L’article 4 du RGPD définit le profilage comme une forme de traitement automatisé de données à caractère personnel. Les données à caractère personnel sont les informations sur des personnes physiques permettant de les identifier directement ou indirectement.

Ainsi, le profilage consiste à traiter les données personnelles récoltées sur des personnes physiques afin de les analyser et de prédire les comportements de celles-ci. La prédiction peut également porter sur la santé de la personne, sa situation économique ou encore son rendement au travail.

A noter : Le RGPD encadre également de manière stricte le traitement des données liées à la santé.

L’intérêt du profilage et de l’encadrement par le RGPD

Le profilage est une technique de traitement de données largement utilisée par les entreprises. En effet, l’utilisation croissante d’internet a permis de créer un marché autour de la donnée personnelle.

Ainsi, le profilage permet notamment de :

  • proposer du contenu personnalisé sur des sites de e-commerce ou des réseaux sociaux
  • déterminer l’obtention d’un crédit bancaire
  • octroyer un emploi

C’est dans la mesure où le profilage mène à une prise de décision qu’il est encadré par le RGPD. En effet, l’article 22 du RGPD précise que toute personne a le droit de s’opposer à une décision fondée sur un traitement automatisé tel que le profilage. Il précise toutefois que la décision doit :

  • concerner la personne
  • produire des effets juridiques l’affectant de manière significative
  • être prise exclusivement grâce à un traitement automatisé

Ainsi, toute personne peut s’opposer au refus de l’octroi d’un crédit bancaire si celui-ci a été déterminé exclusivement grâce à un traitement automatisé, tel qu’un algorithme.

Bon à savoir : Les personnes concernées par le RGPD, telles que les entreprises ou TPE, fondent rarement leurs décisions uniquement sur la base d’un algorithme. Cela leur permet ainsi d’effectuer du profilage tout en respectant le RGPD.

Quelles sont les exceptions au principe posées par le RGPD ?

L’article 22 du RGPD énumère trois situations dans lesquelles le profilage engendrant une décision automatisée peut être autorisé. En effet, cela est possible dans les cas où la décision est :

  • nécessaire à l’exécution ou à la conclusion d’un contrat entre la personne concernée et le responsable du traitement des données
  • autorisée par le droit de l’Union Européenne ou le droit national
  • fondée sur le consentement explicite de la personne
🔎 Zoom : La manipulation des données est source d’actualités et demande une grande rigueur pour les entreprises. Aussi, afin de vous aider dans cette tâche difficile, LegalPlace vous propose de réaliser un devis de mise en conformité RGPD : une solution simple, efficace et économique !

Le profilage nécessaire à l’exécution du contrat selon le RGPD

Le profilage liée à une décision automatisée peut constituer un élément nécessaire à la réalisation du contrat. Toutefois, les responsables de traitement des données personnelles ont un devoir d’accountability. En effet, le RGPD a mis en place de nombreuses obligations à l’égard des responsables de traitement.

En effet, ils doivent notamment mettre en place des moyens permettant de vérifier et de justifier du caractère nécessaire de l’opération de profilage liée à l’exécution du contrat. Pour cela, il est conseillé d’effectuer une analyse préalable d’impact du traitement par rapport aux finalités recherchées.

A noter : l’analyse préalable d’impact du traitement peut notamment être réalisée par le délégué à la protection des données (DPO), au sein de l’entreprise.

Une autorisation par le droit européen ou national

L’Union européenne ainsi que ses Etats membres se réservent le droit de s’opposer à l’interdiction du profilage automatisé. En effet, ceux-ci ont la liberté d’ériger des dispositions légales autorisant le profilage lié à une décision automatisée.

Cela s’explique par le fait que l’utilisation et le traitement des données personnelles est une technique de plus en plus utilisée au sein des administrations. En effet, elle permet notamment de prévenir de risques de fraude ou d’évasion fiscale.

Bon à savoir : Le profilage issu de dispositions légales n’empêche pas le respect des règles mises en place par le RGPD, concernant la récolte et le traitement des données personnelles.

Un consentement explicite de la personne concernée

Le profilage est autorisé si la personne concernée donne son consentement. Toutefois, celui-ci doit être  explicite. Ainsi, la personne concernée doit donner son consentement par écrit. Il doit également être clair et précis.

Toutefois, le consentement explicite de la personne concernée ne dispense pas le responsable de traitement de ses obligations. En effet, celui-ci est tenu d’informer et de conseiller les personnes concernées sur les conséquences du :

  • consentement donné par la personne concernée
  • profilage automatisé

Ainsi, la personne concernée pourra à partir de ces informations, prendre un choix éclairé.

A noter : Le responsable doit par ailleurs prévoir les conséquences d’un traitement de données sur la personne concernée et ses droits et libertés.

FAQ

Qu’est-ce que le profilage ?

Le profilage est une technique de traitement automatisé des données personnelles. Elle permet notamment l’analyse et la prédiction de comportements, de performances, etc. Lorsque le profilage est lié à une prise de décision, les personnes physiques peuvent s’y opposer.

Quelles sont les exceptions autorisant le profilage ?

Il existe plusieurs exceptions permettant le profilage et la prise de décision automatisée. En effet, cela est notamment permis lorsqu’il est nécessaire à l’exécution d’un contrat. Il est également permis si la personne concernée donne explicitement son consentement.

Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) est une directive européenne qui a pour but de fixer les conditions dans lesquelles sont collectées, conservées et exploitées des données à caractère personnel au sein de l’Union européenne. Il a été adopté en 2016 et trouve son application en France depuis 2018.

Obtenir un devis RGPDObtenir un devis RGPD

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L’ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Dernière mise à jour le 06/07/2021

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments