Profilage et données personnelles

Le 25 mai 2018, le Règlement Général européen de la Protection des Données (dit « RGPD ») est entré immédiatement en vigueur dans l’ensemble de l’Union Européenne, avec pour objectif principal de renforcer les droits des citoyens européens sur leurs données personnelles. Un mois plus tard, la loi 2018-493 du 20 juin 2018 (dite « CNIL3 ») adapte le droit français au nouveau cadre mis en place par le RGPD.

Notamment, le RGPD est venu considérablement encadrer, par de nouvelles garanties, le profilage (ie. l’analyse prévisionnel automatisée du comportement d’une personne). Un vrai challenge pour les nombreux domaines qui y ont recours afin de personnaliser leurs services (des e-services et e-administrations, aux banques, en passant par les publicitaires et agence de marketing digital) et qui doivent désormais se mettre en conformité.

Avant toute chose, le RGPD définit le profilage (Art. 4.4 RGPD), lequel repose (§24 des Lignes Directrices du G29) principalement sur les trois critères (i) d’un traitement automatisé ; (ii) portant sur des données personnelles ; (iii) dont l’objectif est d’évaluer les aspects personnels d’une personne physique, notamment pour analyser ou prédire des éléments (rendement, comportement, intérêts, etc.).

Désormais, les personnes faisant l’objet d’un tel traitement doivent non seulement en être informées (Art. 13 et 14 RGPD) mais disposent également d’un droit d’opposition pour des raisons tenant à leur situation particulière (Art. 21).

Au-delà de l’accent mis sur l’information et le consentement de la personne, la licéité et l’intérêt légitime du traitement, le RGPD s’attache particulièrement aux processus de décision exclusivement fondée sur un traitement automatisé (sans intervention humaine) et susceptibles d’avoir des conséquences juridiques ou significatives pour la personne concernée (Art. 22.1), qu’il encadre plus strictement.

À noter, que si l’intervention humaine est insignifiante ou sans impact sur le résultat final du profilage, ce dernier est associé à un profilage automatisé.

Le RGPD créé ainsi un droit à ne pas faire l’objet d’une décision automatisée sauf (i) si cela est nécessaire pour l’exécution d’un contrat, (ii) si cela est autorisé par le droit national et approprié au regard des droits et libertés individuels, (iii) ou si la décision est fondée sur le consentement explicite de la personne.

Concrètement, les entreprises et entités qui ont (ou désirent avoir) recours au profilage ne le peuvent que si elles remplissent l’une de ces trois conditions et qu’elles respectent les conditions applicables à tout traitement conformément au RGPD.

Cela implique alors pour elles de mener un audit pour prévoir les conséquences du profilage sur les personnes, de les informer et conseiller de sorte à ce qu’elles puissent raisonnablement s’attendre à être la cible du profilage, qu’elles puissent anticiper le moment et le cadre du traitement et en comprennent la finalité, de les informer continuellement tout au long du profilage et d’enfin mettre à disposition une intervention humaine.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *