Profilage : tout n’est pas permis mais rien n’est interdit… ou presque

Il est d’autant plus important d’en définir et d’en comprendre les contours que le profilage est désormais juridiquement encadré et que la violation des dispositions du règlement y faisant référence est lourdement sanctionnée.

    

Les « traitements automatisés de données destinés à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité » [1]

Par principe, le droit toujours en vigueur interdit de prendre une décision produisant des effets juridiques à l’égard d’une personne sur la base de cette catégorie de traitement.

  • A contrario, cette interdiction ne concerne pas les traitements non automatisés. Tel est le cas s’il est prévu une intervention humaine du responsable de traitement.
  • De même, les décisions satisfaisant les demandes de la personne concernée ne sont pas considérées comme prises sur le seul fondement d’un traitement automatisé.
  • On en déduit enfin que les traitements automatisés destinés à faire le profil d’une personne mais ne produisant pas d’effets juridiques, ne sont pas interdits (ex. profil commercial d’un client). Toutefois, ces traitements ne sont pas sans garde-fou. En effet et dès lors qu’ils sont susceptibles d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat, ces traitements sont soumis à l’autorisation préalable de la CNIL en France.
 

Le nouveau règlement définit et encadre les traitements de profilage : Le profilage est permis mais les personnes disposent de droits renforcés

Le profilage se définit comme « toute forme de traitement automatisé de données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

Là non plus, cette disposition ne concerne pas les traitements prévoyant une intervention humaine.

Le profilage se distingue du suivi en ligne (« tracking »). En effet, selon l’article 3, le règlement s’applique aux responsables de traitements et aux sous-traitants dont les activités sont liées au suivi des comportements des personnes au sein de l’Union. Or, le récital 24 précise qu’afin de déterminer si une activité peut être considérée comme un suivi du comportement, il y a lieu d'établir si les personnes physiques sont suivies sur internet, ce qui comprend l'utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d'une personne physique, afin de prendre des décisions la concernant ou d'analyser ou de prédire ses préférences, ses comportements et ses dispositions d'esprit.

  • Droit d’opposition au profilage

La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, au profilage tel que défini ci-dessus, indépendamment du fait semble-t-il que des décisions soient prises sur la base de ce profilage.

Dans ce cas, le responsable du traitement ne traite plus les données à caractère personnel, à moins qu'il ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée.

 

D’autre part, la personne a le droit de s'opposer à tout moment et sans condition, au profilage à des fins de prospection.

 
  • Droit pour la personne de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques vis-à-vis de la personne ou qui l'affecte de manière significative de façon similaire.
 

Ce texte va au-delà de ce que prévoit la directive actuelle puisqu’il concerne aussi les décisions qui affectent la personne de manière significative et similaire.

Il cite l’exemple d’un rejet automatique d'une demande de crédit en ligne ou celui de pratiques de recrutement en ligne sans aucune intervention humaine.

 

Là non plus, il ne semble pas que le profilage à des fins commerciales soit concerné tant qu’il ne sert pas de base à la prise de décision avec des effets juridiques ou qui affecte la personne de manière significative et similaire. Cela soulève la question du ciblage publicitaire sur la base de traitement de profilage susceptible d’exclure certaines personnes par le fait que ne leur seront pas proposées d’offres d’emplois, de produits financiers ou d’opportunités dans le domaine de l’éduction.

 

Ce droit ne s’applique pas si la décision est nécessaire à la conclusion ou à l'exécution d'un contrat ni si elle est autorisée par une loi.

A la différence des dispositions de la directive évoquées ci-avant et actuellement en vigueur, le règlement ne prévoit pas d’interdiction du traitement, à l’exception du profilage sur la base de données sensibles.

Par contre les personnes peuvent renoncer au bénéfice de ce droit si elles consentent de manière explicite audit traitement de profilage.

Afin de permettre à la personne de donner un consentement éclairé, elle doit avoir été informée de l’existence de décisions fondées exclusivement sur le profilage et produisant des effets juridiques ou qui l’affectent de manière significative et similaire. Les informations doivent aussi porter sur la logique sous-jacente, ainsi que sur l'importance et les conséquences prévues de ce traitement pour la personne concernée.

Sauf à ce que les informations s’accompagnent d'icônes normalisées afin d'offrir une vue d'ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu, comme le règlement en offre l’opportunité, il est néanmoins peu probable que les personnes lisent les informations qui leur seront dispensées avant de donner leur consentement.

  • Le responsable de traitement doit limiter les risques liés au profilage sur la base duquel sont prises des décisions qui produit des effets juridiques vis-à-vis de la personne ou qui l'affecte de manière significative de façon similaire.
 

Le responsable de traitement a l’obligation de mener une analyse d'impact relative à la protection des données.

Le règlement lui impose également de mettre en oeuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée (intervention humaine, possibilité pour la personne d'exprimer son point de vue et de contester la décision) et d’utiliser « des procédures mathématiques ou statistiques adéquates aux fins du profilage ».

Il doit faire en sorte de limiter et de corriger les facteurs d’erreur, sécuriser les données à caractère personnel d'une manière qui tienne compte des risques susceptibles de peser sur les intérêts et les droits de la personne concernée et qui prévienne, entre autres, les effets discriminatoires.

A noter aussi que le responsable de traitement et le sous-traitant doivent désigner un délégué à la protection des données (Data Protection Officer) lorsque leurs activités de base consistent en des opérations de traitement qui exigent un "suivi régulier et systématique à grande échelle" des personnes.

Enfin, si à l'issue de l'étude d'impact sur la protection des données il s'avérait que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesure pour atténuer le risque, celui-ci devrait alors consulter la CNIL avant la mise en œuvre du traitement de profilage.

Ce règlement ouvre donc la voie à la co-régulation du marché en matière de protection des données personnelles. Au-delà de la responsabilisation des acteurs, "Privacy is a game changer ² ".



[1] Article 10 de la directive 95/46. Cette directive a été transposée en droit français dans la « loi informatique et libertés » et elle restera en vigueur jusqu’en mai 2018.

2. http://blogs.forrester.com/fatemeh_khatibloo/15-11-09-get_your_privacy_house_in_order_or_2016_will_hit_your_business_hard?utm_source=Twitter&utm_medium=social&utm_campaign=evergreen