L’article 20 du RGPD aborde la question du profilage :
« La personne concernée a le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques le concernant ou qui l’affectent de manière significative. »
À cette fin, le terme « profil » désigne un ensemble de données caractérisant une catégorie d’individus et destiné à être appliqué à une personne physique.
Les nouvelles règles concernant le profilage
La disposition stipule que les individus ont le droit de ne pas être soumis à une décision fondée uniquement sur le profilage, qui produit des effets juridiques le concernant ou qui l’affecte de manière significative. Toutefois, les décisions fondées sur le profilage peuvent être autorisées si :
– La décision est nécessaire pour conclure un contrat : (i) qui a été demandé par l’individu ; ou (ii) lorsque des mesures adéquates ont été prises pour protéger les intérêts légitimes de l’individu ;
– Les mesures ont été expressément autorisées par une loi de l’UE ou d’un État membre. Cette loi doit également établir les outils appropriés pour protéger les intérêts légitimes de l’individu ;
– Les mesures sont fondées sur le consentement explicite de l’individu (consentement qui doit être conforme aux dispositions générales du RGPD) et si l’organisation a mis en œuvre des mesures appropriées pour protéger les intérêts légitimes de l’individu.
Données personnelles sensibles
Le profilage fondé sur les catégories particulières de données n’est autorisé que si la personne a donné son consentement explicite ou si le traitement est nécessaire pour des raisons d’intérêt public substantiel. Dans de telles circonstances, le responsable du traitement des données doit s’assurer que des mesures appropriées sont en place pour sauvegarder la confidentialité des données, les droits et libertés individuels et les intérêts légitimes.
Pourquoi le profilage est une préoccupation
Le profilage est généralement considéré comme ayant un effet considérable en ce qui concerne les droits fondamentaux des individus. Notamment, le Conseil européen considère que « le profilage d’un individu peut avoir pour conséquence de le priver de manière injustifiée de l’accès à certains biens ou services et de violer ainsi le principe de non-discrimination ».
Il existe cependant des avantages reconnus, tant pour l’organisation que pour les individus, de l’établissement de profils et des décisions de base sur ces techniques de profilage ; à condition que ces opérations soient entourées d’une transparence suffisante et que des mesures soient mises en œuvre pour protéger les intérêts légitimes des individus. Ces mesures peuvent inclure la garantie d’une intervention humaine avant que les décisions soient prises, afin que les organisations ne s’appuient pas uniquement sur le profilage.
En quoi les règles du RGPD sont différentes du cadre actuel
Les dispositions du RGPD sur le profilage ne diffèrent pas sensiblement de celles de la directive 95/46/CE. En fait, si la directive contient également une interdiction générale des mesures fondées uniquement sur le profilage, elle ne permet pas expressément que de telles mesures soient légitimées par consentement, comme le fait le RGPD.
Pourquoi les organisations devraient être concernées
Avec le développement des technologies de traitement des données, qui permettent la collecte et le traitement des données » en masse » pour des coûts très réduits, et le développement parallèle des offres de monétisation des données, les organisations sont fortement incitées à créer des profils détaillés de leurs clients et à capitaliser sur ces profils. Toutefois, sans la mise en œuvre de mécanismes appropriés d’adéquation opérationnelle, y compris un consentement visible et explicite approprié, ils risquent de se voir infliger des amendes très lourdes.
Avec le profilage et ses restrictions, le parcours doit commencer par la compréhension de ce que sont la vision, la stratégie et les structures de données de l’organisation. Comment s’articulent elles avec le profilage dans lequel l’organisation s’engage ou a l’intention de continuer. Et comment cette vision, stratégie et structure des données sont réalisées de manière conforme.
Si vous avez besoin d’aide pour vous mettre en conformité pour le RGPD, vous pouvez faire appel à RGPD Express.