Ce qu’il faut savoir

Monsieur Dupont a visité un site populaire de réservation d’hébergements pour trouver une chambre d’hôtel à Amsterdam. Quelques heures plus tard, en consultant un journal en ligne, une publicité affichée sur ce site lui propose des offres intéressantes de vols à bas prix… à Amsterdam. Coïncidence ? Non, Monsieur Dupont a fait l’objet d’un profilage.

Le RGDP(1) définit le profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique »(2).

Sur base de cette vaste définition, on remarque que trois éléments essentiels composent le profilage :

  1. un traitement automatisé (mais n’exclut pas une intervention humaine) ;
  2. le traitement est effectué sur des données à caractère personnel ;
  3. l’objectif du profilage est d’évaluer certains aspects personnels de la personne concernée.

L’intérêt du profilage est large alors que ce type de traitement permet, notamment, d’identifier des tendances à long terme, connaître les préférences de consommation de clients, prévoir des comportements et attitudes personnelles, cibler un public spécifique dans le cadre de publicité en ligne, etc. Le profilage est couramment utilisé, souvent à l’insu des Internautes, par des assureurs, commerçants par voie électronique, banquiers en ligne, courtiers, réseaux sociaux… Ce phénomène intrusif qui implique le traitement d’une masse importante de données personnelles pour dresser de manière automatisée « un profil » doit être encadré afin de minimiser les risques d’abus.

Profilage et Décision Individuelle Automatisée (DIA)

Le Groupe de travail Article 29 réunissant les autorités nationales de chaque Etat membre de l’UE a émis, le 3 octobre 2017, ses lignes directrices relatives aux décisions individuelles automatisées et au profilage qui apportent de précieux éclaircissements à ce sujet.

Selon le Groupe Article 29, le profilage peut être décomposé en plusieurs étapes : la première étape consiste en la collecte et le groupement des données personnelles. Ensuite, lors de la deuxième étape, ces données personnelles font l’objet d’une analyse automatisée (souvent par les biais d’algorithmes ou méthodes mathématiques) afin d’identifier les corrélations et rapports réciproques entre les informations recueillies. Enfin, à la troisième étape, les corrélations ainsi déterminées sont appliquées à l’individu concerné dans l’objectif final d’évaluer ses aspects personnels ou prévoir son comportement futur.

Il faut faire une distinction entre le profilage et une notion voisine : la Décision Individuelle Automatisée (« DIA »)(3). En effet, on comprend par DIA une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques sur la personne concernée ou l’affectant de manière significative de façon similaire.

Alors que les DIA peuvent être prises sur base de conclusions et corrélations tirées d’un profilage effectué sur la personne concernée, deux éléments caractéristiques dissocient ces traitements différents. Premièrement, contrairement au profilage, les DIA excluent toute intervention humaine. Deuxièmement, les DIA ont soit une incidence sur les effets juridiques de la personne concernée, c’est-à-dire que soit elles impactent ses droits légaux ou contractuels, soit ont une influence notable sur les circonstances, comportement ou choix de la personne concernée.

La distinction entre le profilage et les DIA est importante alors que ces deux types de traitement peuvent être soumis à des régimes juridiques différents. On distingue trois situations différentes :

  1. le profilage « pur » dans le cadre duquel les données sont collectées pour évaluer certains aspects de la personne concernée, par exemple une montre connectée qui analyse l’activité physique quotidienne de son utilisateur ;
  2. le profilage utilisé dans le cadre du processus d’une prise de décision concernant la personne en question, impliquant une intervention humaine (par exemple, un banquier décide, sur base des informations recueillies de manière automatisée, si la personne concernée remplit les conditions requises pour obtenir un prêt) ;
  3. enfin, les DIA (y compris profilage), c’est-à-dire des décisions qui sont exclusivement fondées sur un traitement automatisé, sans intervention humaine (ce serait le cas dans l’exemple qui précède si la décision concernant l’octroi du prêt n’avait pas été prise par une personne physique, mais était générée par un algorithme et automatiquement délivrée à la personne concernée, sans intervention humaine).

Alors que les deux premières catégories de traitement sont soumises au régime « général » applicable à tout traitement conformément au RGPD, qui impose, notamment, des obligations d’information, de transparence, de droit d’accès, la troisième catégorie se voit appliquer des dispositions spécifiques prévues par l’article 22 du RGDP.

En résumé, cet article prévoit en premier lieu une interdiction générale des DIA, y compris le profilage. A titre exceptionnel, l’article 22 autorise les DIA dans des cas limités et d’interprétation stricte, à condition que des mesures adéquates aient été prises pour garantir la sécurité du traitement et le respect des droits de la personne en question.

Ainsi, le RGDP prévoit trois exceptions à cette interdiction générale des DIA :

  1. la décision est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ;
  2. la décision est autorisée par le droit de l’Union ou le droit de l’Etat membre auquel le responsable du traitement est soumis (on vise ici plus particulièrement le cas où le responsable du traitement est soumis à des obligations spécifiques pour prévenir l’évasion fiscale et les fraudes) ;
  3. la décision est fondée sur le consentement explicite de la personne concernée.

Des obligations spécifiques sont imposées au responsable du traitement dans le cas où les exceptions 1 ou 3 s’appliquent.

Tout d’abord, le responsable du traitement doit mettre en oeuvre des mesures appropriées pour la sauvegarde des droits et libertés, et des intérêts légitimes de la personne concernée. Ces mesures englobent, notamment, l’obligation (i) d’utiliser les procédures mathématiques ou statistiques adéquates aux fins de profilage, (ii) de réduire au minimum le risque d’erreurs ou (iii) de prévenir d’éventuels effets discriminatoires à l’égard des personnes concernées(4).

Ensuite, le responsable du traitement doit faire preuve de transparence accrue en informant clairement la personne concernée au moins de son droit d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision. En tout état de cause, afin de garantir le traitement équitable et transparent, le responsable du traitement doit :

  • informer la personne concernée qu’elle fait l’objet d’une DIA ;
  • apporter à la personne concernée des informations pertinentes concernant la logique qui sous-entend le traitement (par exemple les algorithmes utilisés) ;
  • expliquer l’importance et les conséquences du traitement.

Rappelons que pour tout type de profilage, le responsable du traitement doit respecter les principes de licéité et de finalité ainsi que de garantir les droits des personnes concernées à l’accès, la rectification, l’opposition, la portabilité, etc.

Cet aperçu rapide des règles applicables au profilage permet aux responsables du traitement qui utilisent des techniques de profilage de prendre conscience des obligations qui leur seront imposées par le RGPD dès le 25 mai 2018. Au vu des droits des personnes concernées, les responsables du traitement devront effectuer une analyse des risques et, le cas échéant, revoir et mettre à jour leurs politiques de traitement des données personnelles.

Me Anne Morel, Partner, Bonn Steichen & Partners.
Me Anne Morel, Partner, Bonn Steichen & Partners.
Me Aleksandra Gucwa, Senior Associate, Bonn Steichen & Partners
Me Aleksandra Gucwa, Senior Associate, Bonn Steichen & Partners

(1) Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

(2) Article 4 (4) RGDP.

(3) Article 22 RGDP.

(4) Considérant 71 du RGPD.