Le Règlement général de protection des données encadre, par une législation unique, sur l’ensemble du territoire de l’Union Européenne, le traitement des données personnelles. C’est pourquoi, la technique de profilage est définie, précisée et encadrée par le RGPD.

Le profilage défini par le RGPD

L’article 4 du RGPD définit le profilage comme tout traitement automatisé afin de prédire le comportement d’un individu et analyser des éléments le concernant : rendement au travail, état de santé, centres d’intérêt, situation financière, etc. C’est pourquoi, ne peuvent donc être profilées que des personnes physiques. N’entrent donc pas en compte les études statistiques, qui concernent les groupes. Il s’agit, de fait, d’un traitement particulier des données relatives à un seul individu, afin de tirer des conclusions le concernant. Ainsi, la possession de ces données personnelles permet, par une meilleure appréhension de la personne ciblée, de proposer à cette dernière des contenus et offres en adéquation avec son profil.

Si la technique définie par le RGPD ne concerne que les traitements automatisés, sa définition est large et englobe un grand nombre d’activités. Cependant la gestion de données profilées est encadrée législativement afin d’assurer les droits et libertés fondamentales de chaque individu. Aussi, le G29, qui regroupe les « CNIL » européennes, précise cette notion comme suit : « il s’agit d’un traitement automatisé, qui porte sur des données personnelles et dont l’objectif est d’évaluer des critères personnels. » Par ailleurs, il est strictement interdit de profiler sur les enfants.

Profiler des données personnelles avec décision automatisée ou avec décision non automatisée

La décision non automatisée

Dans la mesure où le RGDP règlemente le traitement automatisé, avec une lecture implicite du texte, dès lors que le traitement se fait avec décision non automatisée, il est donc autorisé. De la même façon, si la prise de décision s’effectue sur la base d’un recueil de données avec une intervention humaine, elle est autorisée. De fait, dans ce cas, le traitement des données personnelles doit être accompli en conformité avec le RGPD.

La décision automatisée

La décision est considérée comme automatisée dès lors qu’elle ne nécessite pas d’intervention humaine et qu’elle est générée par des algorithmes permettant de traiter les données personnelles. Puisque ces décisions automatisées peuvent avoir des conséquences juridiques pour la personne ayant fait l’objet d’un traitement par algorithme de ses données personnelles, le RGPD définit un cadre strict les concernant dans son article 22.

Données profilées ou décision automatisée

Puisqu’une décision automatisée n’est pas toujours la conséquence directe d’une action de profilage, cette notion et celle de décision automatisée, bien que liées, ne sont pas moins distinctes. En effet, si l’action de l’une peut découler de l’autre, il peut y avoir décision automatisée sans que les données aient été profilées auparavant, et inversement.

La protection de la personne profilée : l’article 22 du RGPD

Principe général

« La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. »

Ainsi l’individu concerné par une décision automatisée a le droit de contester les mesures prises dès lors que ses droits et libertés sont menacées.

Les exceptions

Dans certains cas, néanmoins, un individu peut faire l’objet d’une décision automatisée avec des conséquences juridiques ou autres. En effet, le droit de contestation prévu au paragraphe 1 de l’article 22 connaît trois exceptions :

• La décision est nécessaire au contrat passé, que ce soit pour son exécution ou sa conclusion, entre l’organisme et la personne. Le responsable du traitement doit être dans la capacité de prouver la nécessité de l’opération de collecte de données profilées
• L’application d’une loi en vigueur dans un État membre de l’Union Européenne peut venir contrer ce droit de contestation. Il peut s’agir par exemple d’empêcher les évasions fiscales.
• La décision implique le consentement de la personne . Celle-ci doit en effet avoir été mise au courant du traitement profilé existant concernant ses propres données personnelles, par écrit, et en toute connaissance de cause. Par ailleurs, le responsable du traitement a, là encore, l’obligation de fournir à tout moment les preuves de ce consentement ainsi que la bonne information à la personne de l’usage qui serait fait de cette collecte de données.

Le paragraphe 3 de l’article 22 garantit la sauvegarde des droits et libertés de l’individu et confère à ce dernier le « droit d’obtenir une intervention humaine de la part du responsable du traitement ». Ainsi, même si le processus est basé sur un algorithme et peut être entièrement automatisé, la responsabilité ne peut être le fait que d’une personne : le responsable du traitement.

Ainsi, profiler est règlementé par le RGPD. Cette règlementation garantit à l’usager la sauvegarde de ses droits et libertés. En cas de manquement ou d’erreur, les sanctions prévues par la loi européenne sont lourdes. Aussi, il est recommandé de se rapprocher d’un avocat afin de mieux appréhender la portée du texte juridique.