Formations 

Blog Données personnelles

  1. Accueil
  2. Blogs
  3. Données personnelles
  4. La notion de profilage dans le RGPD

La notion de profilage dans le RGPD

Le développement de nouvelles technologies permet d’apprécier de plus en plus précisément les caractéristiques des personnes concernées par la collecte de données afin d’affiner le degré de connaissances et d’en tirer des enseignements.

Cette analyse entre dans la définition du profilage tel que défini par le Règlement européen sur la protection des données personnelles (« RGPD ») [1].

De nombreuses applications et développements mis en œuvre ont recours au profilage. C’est par exemple le cas des « smart cities » ou « villes intelligentes », qui recourent à l’utilisation de nouvelles technologies impliquant le traitement des données personnelles au profit de la numérisation des villes. L’utilisation de ces données personnelles concerne à la fois les infrastructures publiques, les transports, les e-services et e-administrations et doit permettre la personnalisation des services. [2]

C’est également le cas, par exemple, des techniques qui permettent d’identifier des Key Opinion Leader dans des bases de données pour proposer des services « à la carte » dans les différents secteurs d’activité.

C’est encore le cas des techniques de ciblage comportemental qui permette notamment la diffusion de publicités « adaptées » au suivi de la personne destinataire.

L’ensemble de ces techniques impliquent le traitement de données personnelles qui doivent respecter les règles de protection des données personnelles définies par le RGPD, dont les dispositions entrent en application le 25 mai 2018.

I. La notion de profilage et ses conséquences sur le traitement des données personnelles

L’article 4 du Règlement européen définit le profilage comme étant :

« toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique » [3].

Le G29, qui regroupe l’ensemble des autorités de protection de données personnelles de l’Union européenne, identifie, dans ses Guidelines du 3 octobre 2017, trois critères qui caractérisent la notion de profilage :

  • un traitement automatisé ;
  • un traitement qui porte sur des données personnelles ;
  • un traitement dont l’objectif est d’évaluer les aspects personnels d’une personne physique, notamment pour analyser ou prédire des éléments (rendement au travail, comportement, intérêts).

Le profilage a donc pour but de collecter des informations sur un individu ou un groupe d’individus afin d’analyser leurs caractéristiques et leurs comportements pour les placer dans une certaine catégorie et/ou de prédire ou d’évaluer certaines de leurs caractéristiques tels que la capacité à réaliser une tâche, leurs intérêts, ou anticiper leur comportement.

Or, c’est précisément l’objet de l’ensemble des technologies qui ont été évoquées précédemment.

Les personnes concernées par un traitement impliquant une technique de profilage doivent en être informées conformément aux articles 13 et 14 du RGPD. En outre, elles bénéficient d’un droit d’opposition [4]

L’article 21 du RGPD précise en effet que « La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. »

Ainsi, lorsqu’une mesure de profilage est fondée sur l’exécution d’une mission d’intérêt public ou sur l’intérêt légitime poursuivi par le responsable du traitement, la personne concernée, faisant l’objet de ce profilage, bénéficie du droit de s’y opposer. Toutefois, ce droit d’opposition n’est possible « que pour des raisons tenant à sa situation particulière ».

On retrouve ici précisément les fondements des traitements qui pourraient être mis en œuvre par des sociétés privées telles qu’UBER ou Waze ou par les collectivités ou villes poursuivant un intérêt public d’organisation et de gestion de la collectivité publique.

En cas d’opposition de la personne concernée, justifiée par des raisons tenant à sa situation particulière, le responsable du traitement ne traite plus les données sauf à démontrer des motifs légitimes et impérieux qui prévalent sur les droits de la personne concernée, ou pour l’exercice de droits en justice.

Il est donc particulièrement important pour l’ensemble des acteurs d’assurer l’information des personnes concernées et l’effectivité de leur droit d’opposition.

Néanmoins, dans le cas des smart cities, la CNIL précise au sujet des mécanismes d’information et de consentement que ceux-ci seraient « vides de sens ou absents ». En effet, la CNIL considère que « ces deux notions, pierres angulaires de la protection des données personnelles, sont particulièrement affaiblies dans les technologies de la smart city. Le volume et la diversité des données collectées rend très compliqué le contrôle de leurs données par les individus, même pour les plus proactifs : lire et comprendre les conditions générales d’utilisation de chacun des services serait trop compliqué et chronophage. »

La CNIL met ici en avant la difficulté d’assurer une information effective des personnes concernées face aux problématiques de Big Data.

Pourtant, rappelons que les sanctions pour le non respect des droits des personnes s’élèvent jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel de l’entreprise. [5]

Le respect et la mise en œuvre de ces obligations représenteront donc un point de vigilance important pour les responsables de traitement pour assurer la licéité de leurs traitements.

II. La notion de profilage et la prise de décision automatisée 
L’article 22 du RGPD prévoit le droit pour une personne de ne pas faire l’objet d’une prise de décision individuelle automatisée, c’est-à-dire « une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. »

On distingue trois critères principaux pour qualifier la prise de décision individuelle automatisée :

  • une décision fondée exclusivement sur un traitement automatisé ;
  • produisant des effets juridiques ou susceptibles d’affecter de manière significative la personne concernée.
    La définition de la prise de décision automatisée est donc susceptible de comprendre le profilage, dès lors que celui-ci entraine une prise de décision qui produit des effets juridiques ou affecte de manière significative la personne concernée.

Le considérant 71 du RGPD cite parmi les exemples de prise de décision automatisée « le rejet automatique d’une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention humaine. »

Cela pourrait également être le cas d’une prise de décision automatisée dans le cadre du recrutement ou encore le refus automatisée du bénéfice d’un droit ou d’un contrat.

Ce droit de ne pas faire l’objet d’une prise de décision automatisée, connait néanmoins trois exceptions, lorsque la décision :

  • 1. est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ;
  • 2. est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ; ou
  • 3. est fondée sur le consentement explicite de la personne concernée.
    Par conséquent, pour pouvoir justifier une prise de décision fondée uniquement sur une technique de profilage, le responsable de traitement devra démontrer l’application de l’une de ces exceptions.

A l’inverse, l’utilisation de techniques de profilage pour identifier un Key Opinion Leader sans pour autant que cette identification n’emporte de prise de décision automatisée sur l’attribution d’un droit ou la conclusion d’un contrat sera qualifiée de profilage, mais il n’y aura pas de prise de décision automatisée. De la même manière, l’utilisation de techniques de profilage pour afficher des publicités ciblées à un groupe déterminé n’emporte pas nécessairement de prise de décision automatisée au sens de l’article 22 du RGPD. En effet, il faut que la décision produise des effets juridiques ou susceptibles d’affecter de manière significative la personne concernée.

Les contours de cette notion peuvent être délicats à déterminer et les responsables de traitement devront être particulièrement vigilants lorsqu’ils entendent mettre en œuvre des techniques aboutissant à une prise de décision automatisée.

Aussi, pour assurer la mise en œuvre de ces principes, le délégué à la protection des données (DPO) joue un rôle central.

L’article 37 du RGPD impose en effet la désignation d’un délégué à la protection des données dans trois cas :

  • pour toute autorité publique ou tout organisme public ;
  • si les activités de base de l’organisme consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • si les activités de base de l’organisme consistent en des traitements à grande échelle de données sensibles, ou de données relatives aux condamnations et infractions spéciales.

En tout état de cause, le G29 recommande la désignation d’un DPO dans l’ensemble des organismes ou à défaut, d’une personne en charge de la conformité.

Le DPO aura un rôle majeur pour assurer le respect de l’ensemble des obligations dans le développement de nouvelles technologies. Il devra typiquement s’assurer de la conformité d’une technique impliquant la prise de décision automatisée.

En outre, il fera le lien entre le responsable de traitement et les personnes concernées d’une part et l’autorité de contrôle d’autre part.

Il est donc un acteur incontournable du développement de nouvelles technologies de traitements des données dans un environnement respectueux des principes de protection des données personnelles.

[1Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

[2CNIL — Cahiers IP Innovation & Prospective n° 05 — La plateforme d’une ville « les données personnelles au cœur de la fabrique de la smart city ».

[3Le considérant 24 du RGPD rapproche quant à lui la notion de profilage de celle de suivi du comportement des personnes concernées en précisant que « Afin de déterminer si une activité de traitement peut être considérée comme un suivi du comportement des personnes concernées, il y a lieu d’établir si les personnes physiques sont suivies sur internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit. »

[4Article 21 du RGPD

[5Article 83 du RGPD

  ⇐ Précédent
Suivant ⇒