RGPD

RGPD

Date :

Sur la définition des trois notions 

 

Le profilage est défini par l’article 4 du règlement générale sur la protection des données (RGPD) comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

Le 3 octobre 2017, le G29 a publié ses lignes directrices sur les décisions individuelles entièrement automatisées et le profilage. Le profilage est défini sur la base de trois éléments :

-          L’utilisation d’un traitement automatique ;

-          Portant sur des données personnelles ;

-          Dont l’objectif est d’évaluer les aspects personnels d’un individu.

Il est alors essentiel de noter que l’utilisation d’un outil prédictif permettant de prévoir le comportement futur de la personne concernée n’est pas un élément constitutif du profilage. Cet aspect alternatif de l’élément prédictif est renforcé par l’usage du terme « notamment » dans l’article 4 du RGPD.

 

Par conséquent, le profilage constitue en premier lieu un traitement automatisé de données personnelles dont le but est d’évaluer un individu ; il ne comprend donc pas les traitements purement statistiques ayant pour objectif d’acquérir une vue d’ensemble sur un groupe.

 

L’usage d’un outil prédictif dans le profilage cré une forme plus accomplie du profilage constituant notamment la segmentation comportementale. Cette dernière permet de segmenter, par exemple, différents profils de clients selon des critères objectifs. Cette segmentation a pour objectif de permettre à une entreprise d’adapter son offre ou sa communication selon les comportements potentiels pouvant être déduits du profil.

 

La segmentation comportementale se base donc sur le profilage en utilisant un outil prédictif. Autrement dit, il est possible de faire du profilage sans faire de segmentation comportementale alors qu’à l’inverse cette dernière nécessite nécessairement le recours au profilage.

 

Cependant, cette distinction n’est pas suffisante pour la détermination du régime applicable. En effet, l’article 22 du RGPD relatif à la « décision individuelle automatisée, y compris le profilage » dispose que « la personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire ».

 

Selon cette disposition, il convient de distinguer le profilage ou segmentation comportementale tels qu’ils ont été définis ci-dessus selon qu’il y ait ou non une prise de décision exclusivement automatisée produisant des effets juridiques concernant la personne visée.

 

La prise de décision automatisée rassemble ainsi l’ensemble des décisions qui ont été prises, par le biais d’algorithmes appliqués à des données personnelles, sans aucune intervention humaine ou avec une intervention humaine artificielle. Cette décision a pu être prise avec ou sans un système de profilage.

 

La notion de décision individuelle automatisée se distingue donc du profilage ou de la segmentation comportementale par les effets juridiques qu’elle produit pour la personne visée. En effet, le profilage ou la segmentation peuvent avoir une utilité passive et ne pas impacter directement l’individu concernée.

 

Les décisions automatisées peuvent en revanche produire des effets juridiques ou des effets significatifs pour les personnes concernées. Cela peut par exemple aboutir à des refus de services injustifiées, à des décisions défavorables ou à enfermer les personnes dans leur choix de produits.

 

En pratique, profilage et décision automatisée sont donc intimement liées puisque profiler une personne conduit fréquemment à prendre une décision à son sujet et de nombreuses décisions entièrement automatisées sont prises sur la base d’un profilage.

 

En résumé, les trois notions se distinguent de la manière suivante :

-          Le profilage est un traitement automatique de données personnelles visant à évaluer un individu selon différents critères ;

-          La segmentation comportementale est l’usage d’un outil prédictif au sein d’un système de profilage afin de déduire le comportement d’un individu visé ;

-          La décision individuelle automatisée est l’usage du profilage ou de la segmentation comportementale afin de faire produire, sans intervention humaine, des effets juridiques concernant la personne visée.

Sur le régime juridique applicable

L’article 22 du RGPD pose un principe d’interdiction des décisions exclusivement automatisée (i) produisant des effets juridiques ou affectant les personnes concernées de manière significative (ii) :

« La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire. »

A contrario, les décisions qui ne sont pas exclusivement automatisées ou qui ne produisent pas d’effets juridiques pour la personne concernée sont autorisées.

Il convient de préciser que l’intervention humaine ne doit pas être artificielle et doit avoir une incidence sur la prise de décision. De plus, les effets juridiques sont « ceux qui ont des conséquences sur les droits ou le statut des personnes à l’instar des décisions permettant de bénéficier ou d’un statut social ou d’un contrat ».

Une nouvelle fois, le G29 donne trois critères pour établir l’existence d’un effet sur la personne concernée :

-          La décision doit affecter le comportement ou le choix des personnes concernées ;

-          Elle doit avoir un impact permanent ou prolongé sur la personne ;

-          Elle doit générer une exclusion ou une discrimination à son encontre.

Toutefois, en matière de publicité ciblée, le G29 considère que ces critères n’excluent pas une appréciation in concreto. Trois autres critères doivent donc permettre le contrôle du procédé :

-          Le caractère intrusif du procédé ;

-          Les moyens mis en œuvre tel que le profilage ;

-          La connaissance de la vulnérabilité de la personne visée.

L’article 22 du RGPD prévoit par ailleurs trois exceptions : « Le paragraphe 1 ne s'applique pas lorsque la décision:

a) est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement;

b) est autorisée par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou

c) est fondée sur le consentement explicite de la personne concernée ».

Selon le G29, l’exception relative à la conclusion ou à l’exécution du contrat n’a lieu d’être que si le profilage est « le moyen le plus approprié » pour atteindre l’objectif visé.

Le consentement mentionné par la troisième exception doit porter directement sur le profilage et ne peut simplement découler du consentement donné pour le traitement des données tel que prévu par l’article 6 du RGPD.

De plus, l’article 22 paragraphe 3 du RGPD dispose que « dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision ».

 

L’exigence minimale imposée par le RGPD est donc de permettre à l’individu concerné de pouvoir recourir à une intervention humaine afin de tenter de faire modifier la décision prise automatiquement.

 

Enfin, le paragraphe 4 du même article impose une exception aux exceptions en interdisant les décisions automatisées ou le profilage portant sur les données dites sensibles et listées à l’article 9 du RGPD. Il convient de préciser que les données sensibles sont les suivantes : « l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique ».

 

Toutefois, les décisions automatisées ou le profilage réalisé sur ces données sensibles peuvent être autorisés dans deux cas :

-          La personne concernée a donné son consentement. Encore une fois le consentement doit être spécifique et porter directement sur le traitement des données sensibles dans un système de profilage avec une finalité déterminée ;

 

-          L’usage des données sensibles pour le profilage ou la prise de décision automatique est nécessaire pour des motifs d’intérêt public.

Dans les deux cas, des mesures doivent être prises pour garantir les droits et libertés des personnes concernées.

Sur les mesures à prendre  

Le responsable de traitement outre de respecter les obligations classiques imposées par le RGPD, sera soumis au respect des obligations suivantes :

-          Réaliser une analyse d’impact :

Selon l’article 35 du RGPD, l’analyse d’impact est rendue obligatoire en cas « d’évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire ».

Par conséquent, le développement de nouveaux algorithmes de segmentation comportementale devra impérativement faire l’objet d’une analyse d’impact préalablement à leur mise en œuvre.

-          Mettre en place des règles d’entreprises contraignantes

Dans le cas où les données personnelles traitées seraient transférées hors Union européenne, il faudrait le cas échéant que le responsable de traitement adopte des règles d’entreprise contraignante conformes à l’article 47 du RGPD, dans lesquelles il doit notamment être mentionné « les droits des personnes concernées à l’égard du traitement et les moyens d’exercer ces droits, y compris le droit de ne pas faire l’objet de décisions fondées exclusivement sur un traitement automatisé, y compris le profilage ».

-          respecter les droits des personnes concernées

Droit d’information :

Comme pour un traitement classique, il conviendra d’inclure dans les documents contractuels les mentions d’informations imposées par les articles 13 et 14 du RGPD, à savoir :

-          les coordonnées du responsable du traitement

-          les coordonnées du délégué à la protection des données

-          la finalité du traitement

-          la base légale et la précision des intérêts légitimes

-          les catégories de données traitées

-          les catégories de destinataires

-          les transferts de données vers des pays tiers (le cas échéant)

-          la durée de conservation (ou les critères utilisés pour la déterminer)

-          les droits des personnes concernées (droit d’accès, droit de rectification, droit d’effacement, droit de limitation, droit d’opposition, droit à la portabilité)

-          le droit d’introduire une action auprès de la CNIL

-          l’origine des données

-          la source de l’exigence des données, le caractère facultatif ou obligatoire et les conséquences d’un éventuel refus

 

Ce droit à l’information en matière de profilage et de segmentation comportementale est par ailleurs renforcé et devra ainsi inclure :

-          une information sur la logique sous-jacente

-          une information sur l’importance et les conséquences du profilage

-          et un renforcement du droit d’accès (article 15 du RGPD)

Droit d’opposition renforcée en vertu de l’article 21 du RGPD

L’article 21 du RGPD prévoit un droit d’opposition renforcé.

Droit de la personne concernée d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision en vertu de l’article 22 du RGPD.

 

Contact

12, rue du Faubourg Saint-Honoré, 75008 Paris
Téléphone : +33 (0)1 44 69 25 50
Fax : +33 (0)1 44 69 25 51






Votre message a bien été envoyé