Profilage et conformité au RGPD : les règles à suivre

Le profilage RGPD est une question centrale pour les entreprises en quête de digitalisation et de performance.

Désormais, en paramétrant des algorithmes, il est possible de laisser “une machine” analyser la situation d’un individu identifié et de prendre des décisions en conséquence. Dans ces conditions, comment sont alors traitées les données personnelles ?

Afin de bien comprendre les implications du profilage au regard du Règlement Général sur la Protection des Données, posons-nous les bonnes questions :

  • Qu’est-ce que le profilage ?
  • Pourquoi est-il problématique pour la protection des données personnelles ?
  • Quelles sont les obligations imposées par le RGPD et ses exceptions ?

Qu’est-ce que le profilage ?

Définition du profilage

L’article 4 du RGPD définit le profilage comme une forme de traitement automatisé de données à caractère personnel. Cela consiste à utiliser lesdites données pour évaluer certaines caractéristiques et prédire les comportements d’une personne physique.

Le champ d’application est très vaste et intéresse aussi bien la situation économique d’un individu donné, sa santé, ses préférences et ses réactions, ses intérêts, sa localisation ou ses déplacements, etc.

L’exemple assez classique de profilage est celui d’un crédit bancaire. Il arrive que l’accord de ce crédit soit conditionné au résultat d’un algorithme qui se fonde sur tout un tas de critère entièrement automatisé.

Autre exemple, sur les réseaux sociaux, l’algorithme traite beaucoup de données relatives au comportement des utilisateurs sur la plateforme pour proposer des services adaptés.

Profilage et traitement automatisé : quel rapport ?

Le RGPD établit un lien étroit entre profilage et traitement automatisé. Dans les faits, l’un va souvent avec l’autre puisque le profilage est possible grâce à une succession d’algorithmes appliqués à des données personnelles.

Les décisions imposées par les algorithmes à l’utilisateur ont un réel impact dans sa vie personnelle : souscription d’une mutuelle d’assurance dictée en fonction de l’âge et des antécédents de santé ou exclusion d’un candidat à un poste en raison d’informations manquantes.

Concrètement, tous les domaines sont concernés puisque les acteurs privés et publics utilisent désormais ce type de technologie pour fluidifier les process et minimiser les risques d’erreurs de traitement.

La problématique majeure du profilage : l’absence d’intervention humaine.

Les algorithmes étudient “objectivement” une situation et donnent des directives qui ont non seulement des effets juridiques sur la personne, mais qui conditionnent, lorsque l’enjeu est de taille (exemple : la santé), son quotidien, sans aucune intervention humaine dans l’équation.

Le risque de l’absence d’intervention humaine est que l’analyse peut conduire à des prédictions inexactes, illégitimes ou tout simplement fausses. Et cela peut entrainer des conséquences très néfastes sur les droits des personnes : refus d’un avantage ou empêchement à l’accès à un droit ou un service fondé.Par exemple, une décision automatisée peut conduire une personne à se voir refuser l’accord d’un crédit bancaire ou un montant très élevé pour la souscription d’une assurance. Pour donner un autre exemple, ce type d’automatisation peut conduire les personnes à se faire exclure un réseau social.

Cadre réglementaire du profilage : article 22 du RGPD

Le droit à l’intervention humaine

En application de l’article 22 RGPD, la personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire. C’est-à-dire qu’à tout moment, la personne concerne a le droit de demander à faire l’objet d’une intervention humaine.

Il convient de distinguer deux situations :

  • Décision produisant des effets juridiques. Cela signifie que celle-ci à des conséquences sur les droits et libertés de la personne. Par exemple, une décision affectant la liberté d’aller et venir des personnes, le droit de vote, l’impossibilité de bénéficier d’une prestation sociale ou de contracter librement.
  • Décision produisant un impact significatif, similaire à un effet juridique. Concrètement, il s’agit de situations dans lesquelles le résultat généré par l’algorithme influence les conditions de vie de la personne, son environnement, son comportement. Par exemple, une décision de refus de crédit affecte la situation financière du demandeur.

→ Tout utilisateur qui s’estime lésé par le résultat d’un profilage peut demander qu’une personne humaine intervienne pour réexamen de sa situation, défendre son point de vue, obtenir des réponses et même contester la décision.

L’autorisation du profilage à certaines conditions

Au regard du principe précédemment posé, nous pourrions nous dire que toutes les interfaces que nous utilisons sont totalement illégales. Tel n’est pas le cas bien sûr. L’article 22 prévoit des gardes-fous contre les dérives, mais n'interdit pas le traitement automatisé ni le profilage puisque trois exceptions sont prévues :

  • les décisions fondées sur le consentement explicite des personnes intéressées. Elles doivent donc être informées et donner un accord exprès et non équivoque au traitement.
  • les décisions nécessaires à la conclusion ou à l'exécution d'un contrat. Le profilage est parfois plus efficace pour exécuter des décisions contractuelles en faveur du client. On peut notamment penser au remboursement par la mutuelle.
  • les décisions encadrées par des dispositions légales spécifiques. Tel est le cas lorsque les États membres ont recours au profilage pour surveiller et prévenir la fraude et l'évasion fiscale.

Lorsque les utilisateurs sont soumis à une décision entièrement automatisée qui produit des effets juridiques ou un impact significatif similaire, les entreprises répondant à l’une des trois exceptions ci-dessus doivent prévoir des mesures supplémentaires de protection. En effet, ces organismes doivent faire preuve de transparence par le biais d’une information précise et lisible lorsqu’elles collectent les données auprès des personnes intéressées qui doivent alors être en capacité de comprendre la façon dont fonctionne le profilage et les conséquences que cela peut générer.

Profilage et RGPD : par où commencer ?

1 - Informer les individus

Les individus ont le droit d'être informés de l'existence de la prise de décision automatisée, y compris le profilage (article 13 RGPD). Par conséquent, les entreprises doivent informer clairement et explicitement les individus sur les méthodes de profilage utilisées, les finalités du traitement, les catégories de données traitées et les conséquences potentielles du profilage pour les individus concernés.

2 - Obtenir le consentement des individus concernés

Le consentement est l'une des bases légales pour le traitement des données personnelles, y compris le profilage (article 6 RGPD). Les entreprises doivent donc s'assurer qu'elles obtiennent un consentement libre, spécifique, éclairé et univoque de la part des individus avant de procéder au profilage. Le consentement doit être facile à donner et à retirer et les entreprises doivent pouvoir prouver qu'elles ont obtenu ce consentement.

3 - Garantir la transparence et l'équité du traitement

En vertu des articles 5 RGPD et 22 Le RGPD exige que le traitement des données personnelles soit transparent et équitable. Les entreprises doivent donc s'assurer que les algorithmes et les méthodes de profilage utilisées sont transparents, compréhensibles et justes. Il est important d'éviter toute discrimination ou biais dans le traitement des données et d'offrir aux individus la possibilité de contester les décisions prises sur la base du profilage.

4 - Mettre en place des mesures de sécurité et de confidentialité

Les organismes doivent mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés (article 32). Cela inclut l'utilisation de techniques de pseudonymisation et d'anonymisation, la mise en place de protocoles de sécurité et de la sensibilisation des collaborateurs à la protection des données personnelles.

5 - Réaliser une analyse d'impact sur la protection des données (AIPD)

Enfin, il est fortement recommandé d'effectuer une analyse d'impact sur la protection des données (AIPD) pour évaluer les risques potentiels liés au profilage et déterminer les mesures appropriées pour atténuer ces risques. Cette analyse vous aidera à garantir la conformité aux exigences du RGPD, protéger les droits et libertés des personnes concernées et réassurer vos clients et partenaires sur vos actions entrepris en matière de protection des données personnelles.

Le logiciel RGPD Leto vous accompagne à chaque étape. N'hésitez pas à nous contacter pour échanger !

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre