04 28 70 91 81
Nos articles suivent nos épisodes d’1min pour tout comprendre. Il s’agit de courtes vidéos à l’occasion desquelles nos juristes experts en protection des données personnelles vous proposent des définitions simples de notions clefs du Règlement général sur la protection des données personnelles (RGPD) et vous donnent des exemples concrets. Suivez-nous sur LinkedIn pour ne manquer aucune actualité !
Aujourd’hui nous abordons la notion de profilage. Installez-vous confortablement, on vous explique tout en 5 min !
Qu’est-ce que le profilage ?
L’article 4 paragraphe 4 du RGPD donne la définition suivante du profilage :
« Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique. »
Autrement dit, le profilage est un traitement qui consiste à utiliser des données pour évaluer certains aspects personnels relatifs à une personne physique. Le but de ce traitement est de permettre d’analyser ou de prédire des comportements ou des habitudes comme les préférences d’une personnes. Le profilage est utilisé dans de nombreux secteurs tel que le marketing et la communication, mais aussi la médecine, l’éducation, le secteur bancaire, etc. Selon les lignes directrices du G29 (2018) relatives à la prise de décision automatisée et au profilage, trois critères permettent de déterminer si le traitement relève du profilage :
- Le traitement est automatisé,
- Il concerne des données personnelles,
- Il a pour objectif d’évaluer les aspects personnels d’une personne physique.
Ce traitement peut représenter un réel avantage pour le responsable de traitement puisque celui-ci peut faire des prédictions, classer les personnes en groupes ou catégories et déduire certaines informations les concernant. Néanmoins il peut engendrer des risques importants pour les droits et libertés des personnes concernées. Si les données sur lesquelles le profilage est fondé sont erronées par exemple, ce traitement peut donner lieu à une prédiction inexacte, et potentiellement conduire au refus de donner l’accès à un service, à un bien ou à une discrimination injustifiée.
Quels droits pour les personnes concernées par le profilage ?
Droit d’être informé
Selon le principe de licéité, loyauté et transparence posé par le RGPD, la personne doit être informée par le responsable de traitement de l’existence et du fonctionnement du profilage mis en œuvre. Cette information doit être délivrée de manière concise, transparente, compréhensible et aisément accessible. Dans le cas où les données ont été obtenues directement auprès de la personne, les informations doivent être communiquées au moment de la collecte des données personnelles. Si les données ont été obtenues indirectement, le responsable de traitement dispose d’un délai raisonnable et ne dépassant pas un mois pour informer la personne ; ce délai est prévu à l’article 14 paragraphe 3.
Droit d’accès
La personne peut exercer son droit d’accès aux données utilisées pour le profilage. L’exercice de ce droit permet d’une part d’obtenir les données utilisées par le responsable de traitement pour effectuer le profilage ; et d’autre part d’accéder aux informations sur le profil créé et les catégories dans lesquelles la personne a été classée.
En revanche l’exercice du droit d’accès ne doit pas porter atteinte aux droits et libertés des tiers, y compris le secret des affaires ou la propriété intellectuelle. C’est-à-dire que l’exercice du droit d’accès ne justifie pas une entrave au droit d’auteur qui protège le logiciel permettant d’effectuer le profilage.
Droit de rectification, d’effacement et de limiter le traitement
Comme expliqué précédemment, le profilage fondé sur des données erronées peut représenter un risque élevé pour les droits et libertés des personnes concernées. Pour limiter ce risque, il est indispensable de permettre aux personnes concernées de corriger, compléter ou effacer les données personnelles utilisées pour le profilage. La personne peut donc exercer son droit de rectification et son droit d’effacement des données qui la concernent. Les personnes peuvent contester tant l’exactitude des données qu’elles ont fournies, que celle des données obtenues par le profilage (par exemple la notation finale de la personne ou le profil déduis).
Enfin, les personnes peuvent demander la limitation du traitement, à n’importe quelle étape du processus de profilage.
Droit d’opposition
D’après l’article 21 paragraphe 1 du RGPD, la personne concernée peut exercer son droit d’opposition au traitement, y compris au traitement de profilage, pour des raisons tenant à sa situation particulière.
L’article 21 paragraphe 2 du RGPD pose quant à lui un droit absolu d’opposition dès lors que le traitement concerné a pour finalité la prospection commerciale, y compris le profilage. Mis à part cette exception, le droit d’opposition peut être limité dès lors que le responsable de traitement démontre des motifs légitime impérieux qui prévalent sur les droits et libertés des personnes concernées. D’après les lignes directrices du G29, ce peut être le cas si le profilage est « bénéfique pour la société dans son ensemble, pas seulement pour les intérêts commerciaux du responsable du traitement, comme le profilage destiné à prédire la propagation de maladies contagieuses » (Lignes directrices relatives à la prise de décision automatisée et au profilage, page 20).
Qu’est-ce que la prise de décision entièrement automatisée ?
La prise de décision entièrement automatisée est prise sans intervention humaine. Dans ce cas, la prise de décision repose uniquement sur des moyens technologiques. C’est le cas par exemple lorsqu’une amende est adressée à un conducteur automobile dans le cas où un radar fixe a relevé un excès de vitesse. Ce processus est entièrement automatisé : le radar constate l’infraction, l’amende est automatiquement envoyée au conducteur sans qu’un agent n’intervienne.
Les dispositions de l’article 22 du RGPD encadrent la prise de décision individuelle automatisée. En principe la prise de décision entièrement automatisée est interdite dès lors qu’elle a un effet juridique ou affectant de manière significative de façon similaire (article 22 paragraphe 1). Une décision ayant des effets juridiques ou similaires peut par exemple conduire à l’annulation d’un contrat ou encore le refus d’un avantage social.
Mais ce principe comporte des exceptions (article 22 paragraphe 2), dès lors que la décision est :
- « Nécessaire à la conclusion ou l’exécution d’un contrat ;
- Autorisée par le droit de l’Union européenne ou le droit de l’État membre auquel le responsable de traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ; ou
- Fondée sur le consentement explicite de la personne concernée. »
Enfin, l’article 22 paragraphe 3 du RGPD prévoit que lorsque ces exceptions s’appliquent, des garanties appropriées doivent être mises en œuvre par le responsable de traitement. Ces mesures visent à protéger les droits et libertés des personnes concernées malgré la prise de décision entièrement automatisée. Cette disposition prévoit que le responsable de traitement doit à minima permettre à la personne d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision en cause.
Quels droits pour la personne concernées par la prise de décision entièrement automatisée ?
Comme expliqué ci-dessus la personne a le droit de demander une intervention humaine dans la prise de décision automatisée. D’autre part, la personne a le droit d’être informée et d’accéder aux données qui la concerne. Le responsable de traitement doit :
- Informer la personne de l’existence d’une prise de décision entièrement automatisée,
- Expliquer de manière simple et compréhensible le fonctionnement du processus (sa raison d’être et les critères sur lesquels il est fondé),
- Informer la personne sur l’importance et les conséquences du traitement, notamment sur la manière dont la prise de décision automatisée pourrait affecter la personne concernée.
Quels points communs/différences entre « profilage » et « prise de décision entièrement automatisée » ?
Ce sont deux notions liées mais bien distinctes. Une décision entièrement automatisée est prise par un algorithme, sans intervention humaine. Elle peut être prise sur la base d’un profilage ou non. Dans l’exemple cité précédemment des radars fixes, il s’agit d’une prise de décision automatisée qui n’est pas fondée et ne résulte pas d’un traitement de profilage.
Cependant, les décisions entièrement automatisées sont souvent prises sur la base d’un profilage ; et le profilage conduit fréquemment à prendre une décision au sujet de la personne.
Une analyse d’impact est-elle nécessaire pour les traitements de profilage et la prise de décision automatisée ?
L’article 35 paragraphe 3 du RGPD prévoit spécifiquement qu’une analyse d’impact est nécessaire dès lors que le traitement porte sur « l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ».
Comment réaliser une analyse d’impact avec Mission RGPD ?
La plateforme Mission RGPD dispose d’un module PIA (Privacy impact assessment, soit analyse d’impact en français). Vous êtes guidé pour réaliser de manière automatisée, chaque étape de votre analyse d’impact. Mission RGPD vous suggère une analyse du risque que représente le traitement de données. Établissez ensuite votre plan d’action pour améliorer vos processus, attribuez les actions aux opérationnels concernés et suivez la progression des actions.
Avec Mission RGPD, réaliser une analyse d’impact et respecter le RGPD est plus simple !