Lexique IT
Profilage
Le profilage se définit au sens du RGPD comme une forme de traitement automatisé de données à caractère personnel ayant pour finalité l’évaluation de certains aspects personnels relatifs à la personne concernée, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.
Le profilage est ainsi nécessairement composé des trois éléments suivants :
- D’une forme de traitement automatisé en tout ou partie ;
- Sur des données à caractère personnel ;
- Et dont l’objectif est d’évaluer les aspects personnels de la personne concernée.
Il est généralement utilisé pour faire des prédictions au sujet des personnes concernées, en se fondant sur une analyse statistique d’autres personnes présentant certaines similarités.
Le profilage implique une forme d’appréciation ou de jugement par le responsable du traitement à l’égard de la personne concernée afin de la placer dans une certaine catégorie et ainsi analyser et/ou faire des prédictions diverses sur cette dernière.
Du profilage peut notamment résulter une prise de décision automatisée, par des moyens technologiques sans intervention humaine du responsable du traitement.
Le profilage est expressément prohibé lorsqu’il concerne un enfant.
Au titre du droit à l’information, le responsable du traitement doit informer la personne concernée de l’existence d’une prise de décision automatisée, y compris de profilage, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
Par ailleurs, la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.
Ce droit n’a toutefois pas d’effet lorsque la décision :
- Est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ;
- Est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ou ;
- Est fondée sur le consentement explicite de la personne concernée.
Point RGPD
« Afin d’assurer un traitement équitable et transparent à l’égard de la personne concernée, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées, le responsable du traitement devrait utiliser des procédures mathématiques ou statistiques adéquates aux fins du profilage, appliquer les mesures techniques et organisationnelles appropriées pour faire en sorte, en particulier, que les facteurs qui entraînent des erreurs dans les données à caractère personnel soient corrigés et que le risques d’erreur soit réduit au minimum, et sécuriser les données à caractère personnel d’une manière qui tienne compte des risques susceptibles de peser sur les intérêts et les droits de la personne concernée et qui prévienne, entre autres, les effets discriminatoires à l’égard des personnes physiques fondées sur la l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions, l’appartenance syndicale, le statut génétique ou l’état de santé, ou l’orientation sexuelle, ou qui se traduisent par des mesures produisant un tel effet. La prise de décision et le profilage automatisés fondés sur des catégories particulières de données à caractère personnel ne devraient être autorisés que dans des conditions spécifiques. »
Point jurisprudence
L’autorité de contrôle espagnole rappelle que :
« Le profilage peut être opaque. Il repose souvent sur des données dérivées ou déduites d’autres données, plutôt que sur des données fournies directement par la personne concernée.
Les responsables du traitement qui souhaitent fonder le profilage sur le consentement devront montrer que les personnes concernées comprennent exactement ce à quoi elles consentent, et se rappeler que le consentement n’est pas toujours une base appropriée pour le traitement. Dans tous les cas, les personnes concernées doivent disposer de suffisamment d’informations pertinentes sur l’utilisation et les conséquences envisagées du traitement pour garantir que le consentement qu’elles donnent représente un choix éclairé. »
Agencia Española de Protección de Datos, 21 octobre 2021, N°PS/00500/2020
Le Cabinet Bouchara vous accompagne notamment dans :
- La mise en conformité de votre organisme au RGPD ;
- La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
- La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
- L’obtention de certifications et l’adhésion à des codes de conduite ;
- L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
- La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
- L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
- La rédaction et la négociation de vos accords de traitements de données (DPA) ;
- La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
- La formation et la sensibilisation de vos collaborateurs.
Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.