Votre traitement de données relève-t-il du «profilage» au sens du RGPD ?
L’entrée en application, le 25 mai 2018, du nouveau règlement général européen sur la protection des données, le RGPD (règlement UE 2016/679) oblige à revoir les pratiques en matière de traitement des données personnelles. Illustration, avec le profilage.
L’objectif poursuivi par la Commission européenne, avec le nouveau règlement RGPD, est de moderniser le cadre européen de la protection des données personnelles, afin de renforcer la confiance et la sécurité dans le marché européen du numérique. Ainsi, le profilage de données fait l’objet d’un encadrement juridique plus strict que d’autres traitements, en termes, par exemple, d’information des personnes physiques, d’étude d’impact à réaliser pour le responsable de traitement… À ce titre, l’article 4-4° du RGPD définit le profilage comme : «toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique». En conséquence, les traitements qui ne sont pas automatisés (intervention humaine) sont donc exclus de la notion de profilage. Le considérant 24 du Règlement indique que le profilage permet de prendre des décisions concernant une personne physique ou d’analyser ou prédire ses préférences, ses comportements ou ses dispositions d’esprit. L’article 22 du Règlement prévoit que «la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire». Sur la notion de «traitement automatisé produisant des effets juridiques concernant la personne physique ou l’affectant de manière significative», le considérant 71 du Règlement donne l’exemple du rejet automatique d’une demande de crédit en ligne ou des pratiques de recrutement en ligne, sans aucune intervention humaine. Toutefois, ce cadre juridique n’est pas définitif, le G29, groupe qui réunit les Cnil européennes, n’a pas encore publié ses lignes directrices ; celles éditées à ce jour relatives aux nouvelles exigences du Règlement concernent le Data Privacy Officer, la portabilité, l’autorité nationale chef de file et l’analyse d’impact. De même, la Cnil précise que ces lignes sont «en cours d’élaboration» et devraient être publiées au cours de ce second semestre. Des précisions utiles seront ainsi apportées sur cette notion de profilage.
Les professionnels consultés
En mars dernier, la Commission avait consulté les professionnels, acteurs publics et entreprises, pour recueillir leurs questions et appréhender leurs difficultés d’interprétation, notamment sur le profilage, afin d’orienter le G29. D’après la synthèse des contributions publiée le 23 mai dernier, les demandes des professionnels portent sur les définitions plus précises de certaines notions abordées dans les articles du Règlement européen relatifs au profilage (profilage, impact significatif, traitement automatisé etc.), l’étendue des droits des personnes, notamment vis-à-vis du degré de précision de l’information à fournir à la personne concernée ainsi que de son consentement, ou encore sur une argumentation visant à prouver la nécessité du profilage dans certains secteurs d’activité, notamment en matière de marketing (publicité ciblée), du secteur public et dans le domaine des ressources humaines.