Règles générales relatives au profilage
Qu’est-ce que le profilage ?
Il s’agit de « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique » (RGPD, art. 4 ). Le profilage ne comprend dès lors pas les traitements purement statistiques dont le but est de constituer une vue d’ensemble sur un groupe.
Comme le précise le CEPD dans ses lignes directrices sur la prise de décision automatisée et le profilage ( Lignes directrices du G29 WP251, 3 oct. 2017 ), trois éléments permettent de caractériser le profilage :
- le traitement doit porter sur des données à caractère personnel ;
- le traitement doit être automatisé. Mais contrairement à ce qui s’applique pour la prise de décision automatisée, qui ne peut être qualifiée comme telle en présence de la moindre intervention humaine, le profilage peut être caractérisé, pour le CEPD, même en cas d’intervention humaine ;
- le traitement, profilage, a pour objectif l’évaluation de certains aspects personnels de la personne concernée.
Le profilage doit permettre d’établir une sorte d’évaluation, d’analyse ou encore de jugement à propos d’une personne. Ces évaluations et analyses doivent notamment permettre de pouvoir placer la personne dans une certaine catégorie, et/ou permettre d’établir à son sujet des prédictions.
Point de vue de l’AFCDP |
---|
A noter : le fait d’associer un profil à une personne, même à partir de données anonymes, constitue un traitement de données à caractère personnel, et in fine du profilage. |
Quelles sont les règles applicables au profilage ?
Lorsque le traitement mis en œuvre répond aux trois critères énoncés ci-dessus, il pourra être qualifié de profilage. Le responsable du traitement devra alors respecter les mêmes obligations que pour les « traitements ordinaires » pour mettre en œuvre ses opérations.
La mise en œuvre du profilage devra donc respecter les grands principes du RGPD, à savoir les principes de licéité, de loyauté et de transparence prévus par l’article 5 du règlement. Le responsable du traitement devra également respecter les principes de limitation des finalités et de la conservation, de minimisation, d’exactitude des données, etc. (RGPD, art. 5 ).
En plus de respecter ces principes, le responsable du traitement devra déterminer la base légale sur laquelle il fondera son traitement (RGPD, art. 6 ). Dans le cadre du profilage tel qu’envisagé ici, le responsable du traitement devra choisir la base de traitement la plus appropriée pour les opérations qu’il envisage de mener. Contrairement aux cas où le profilage sert de support à la prise d’une décision automatisée produisant des effets juridiques à l’égard de la personne ou l’affectant de manière significative ou l’affectant de façon similaire (RGPD, art. 22 ), le responsable du traitement peut utiliser les six bases légales de l’article 6 pour fonder son traitement.
Règles spécifiques relatives à la prise de décision individuelle automatisée
RGPD, art. 22 L. n° 78-17, 6 janv. 1978, art. 47
Définition de la prise de décision automatisée
La prise de décision individuelle automatisée, telle qu’envisagée à l’article 22 du RGPD, suppose la réunion de deux éléments de façon cumulative, à savoir : une prise de décision automatisée et la production d’effets juridiques ou similaires.
Notion d’automatisation
L’article 22 du règlement vise une « décision fondée exclusivement sur un traitement automatisé », cela signifie qu’il ne doit y avoir aucune intervention humaine. Pour pouvoir écarter cet élément et donc ne pas se voir appliquer le régime de l’article 22, le responsable du traitement devra démontrer qu’une intervention humaine existe au cours de la prise de décision et qu’elle a un rôle effectif dans la prise de décision.
Remarque
Dans une affaire portant sur une société dont l’activité consiste à attribuer un score de manière automatisée à une personne en vue de l’examen de sa demande de prêt par un professionnel, la CJUE a retenu la qualification de décision automatisée. Elle a considéré qu’il « existerait un risque de contournement de l’article 22 du RGPD et, par suite, une lacune dans la protection juridique si une interprétation restrictive de cette disposition était retenue, selon laquelle l’établissement de la valeur de probabilité [devrait] seulement être considéré comme un acte préparatoire et seul l’acte adopté par la tierce partie [pourrait], le cas échéant, être qualifié de “décision”, au sens de l’article 22 ». Dans cette espèce, la Cour a relevé que les pronostics automatisés guidaient de manière déterminante les décisions des sociétés qui les recevaient, ce qui rendait le procédé, de fait, automatisé ( CJUE, 7 déc. 2023, aff. C-634/21, SCHUFA Holding ).
Effets de la décision à l’égard de la personne concernée
Le régime de l’article 22 s’applique dès lors que la décision automatisée produit des « effets juridiques à l’égard de la personne concernée ou [l’affecte] de manière significative de façon similaire ».
S’agissant des effets juridiques, toute décision qui affectera les droits d’une personne pourra être considérée comme produisant des effets juridiques, par exemple le droit de voter dans une élection, de mener des actions en justice ou encore de s’associer avec autrui. Le CEPD ( Lignes directrices du G29 WP251, 3 oct. 2017 ) donne comme exemple tous les cas où la décision automatisée conduit à l’annulation d’un contrat ou encore au refus de l’attribution d’une prestation sociale.
Concernant les effets affectant la personne de manière significative de façon similaire, le considérant 71 du règlement donne pour exemple tous les cas où la prise de décision automatisée a pour conséquence le refus d’octroi d’un crédit ou encore toutes les pratiques de recrutement en ligne sans intervention humaine. La prise de décision doit produire des effets significatifs à l’égard de la personne concernée, cela signifie que l’impact doit être suffisamment important et peut avoir pour conséquences notamment d’affecter le comportement ou les choix de l’individu ou encore avoir un impact prolongé ou permanent sur l’individu et a fortiori le conduire à être victime de discrimination.
Dans tous les cas où la prise de décision est strictement automatisée et produit de tels effets (juridiques ou similaires) à l’égard de la personne concernée, le régime de l’article 22 s’appliquera. Il convient de noter que ce régime, plus strict, ne s’applique pas systématiquement au profilage mais à toute prise de décision automatisée produisant des effets juridiques ou similaires y compris par voie de profilage. Dans les cas où le profilage sert de support à une prise de décision automatisée, il conviendra ainsi de s’intéresser aux effets de cette dernière. Dès lors que la décision produit des effets juridiques ou affecte la personne concernée de façon similaire, le régime de l’article 22 s’appliquera et inversement.
Décision individuelle automatisée et profilage : quelles différences ?
Comme le souligne le CEPD ( Lignes directrices du G29 WP251, 3 oct. 2017 ), décision individuelle automatisée et profilage ont une portée différente mais peuvent potentiellement se recouper. La seule décision individuelle automatisée consiste à prendre une décision grâce à des moyens technologiques et sans intervention humaine. Elle peut être basée sur n’importe quel type de données.
Remarque
Exemples : données fournies directement par les personnes concernées (telles que réponses à un questionnaire), obtention de données sur des personnes (comme les données de localisation recueillies par une application), données d’une personne issues d’un profil déjà existant (notation de crédit).
Point de vue de l’AFCDP |
---|
Une décision automatisée peut découler d’un profilage mais cet élément n’est pas indispensable. En effet, celle-ci peut être mise en place sans la constitution préalable d’un profil. On parle d’une décision entièrement automatisée dans le cas où elle a été prise par le recours à un algorithme, sans aucune intervention humaine. |
Selon la manière dont les données sont utilisées, profilage et décision individuelle automatisée ne constituent pas nécessairement des activités séparées et immuables.
Remarque
Exemple : les lignes directrices du CEPD nous éclairent : infliger une amende pour excès de vitesse sur la seule base des images capturées par un radar constitue une décision individuelle automatisée qui n’implique pas nécessairement un profilage. Cependant, cette décision serait considérée comme basée sur un profilage dans le cas où les habitudes de conduite de la personne concernée étaient contrôlées dans la durée, et que, par exemple, le montant des amendes infligées était le résultat d’une évaluation impliquant d’autres facteurs, comme le fait que l’excès de vitesse soit récurrent ou que le conducteur ait enfreint d’autres règles de la circulation ( Lignes directrices du G29 WP251, 3 oct. 2017 ).
Le profilage, lui, peut être utilisé de trois manières :
- profilage global ;
- décision individuelle automatisée basée sur le profilage ;
Remarque
Exemple : dans le cas d’une demande de crédit en ligne, c’est un être humain qui décide ou non d’accorder le crédit sur la base d’un profil généré via des moyens purement automatisés.
- décision individuelle automatisée, y compris le profilage (RGPD, art. 22 ).
Remarque
Exemple : toujours dans le cas d’une demande crédit en ligne, c’est un algorithme qui décide si le crédit est accordé et la décision est automatiquement transmise à la personne concernée, sans intervention humaine aucune.
Les exceptions à l’interdiction du profilage prévues par le RGPD et par la loi Informatique et libertés
La problématique du régime relatif aux décisions produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative, prises sur le seul fondement d’un traitement automatisé, n’est pas nouvelle. Elle a déjà été abordée par la directive 95/46/CE, aujourd’hui abrogée, et par la loi Informatique et libertés. Le RGPD et la loi française apportent aujourd’hui des précisions. Le RGPD rappelle que la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire (RGPD, art. 22, § 1).
La loi Informatique et libertés semble plus stricte dans son énoncé puisqu’elle indique, d’une part, « qu’aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité », d’autre part, qu’« aucune décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel, y compris le profilage » (L. n° 78-17, 10 janv. 1978, art. 47 ). Ainsi, là où la loi semble bannir ce type de décision, le RGPD évoque « le droit de ne pas en faire l’objet ».
Cependant, face à ce principe d’interdiction, le RGPD et la loi Informatique et libertés apportent une liste d’exceptions permettant de mener un tel traitement.
Nécessité contractuelle ou consentement explicite de la personne concernée
La personne concernée peut faire l’objet d’une décision individuelle automatisée, y compris d’un profilage, si la décision est nécessaire à la conclusion ou à l’exécution d’un contrat avec le responsable du traitement ou si elle a donné son consentement explicite, sous réserve pour le responsable du traitement de mettre en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit d’obtenir une intervention humaine de la part du responsable de traitement, d’exprimer son point de vue ou de contester la décision. La loi Informatique et libertés ajoute une condition : les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en œuvre doivent être communiquées à la personne concernée si elle en fait la demande au responsable du traitement, à l’exception des secrets protégés par la loi.
Remarque
Le consentement explicite est un consentement renforcé impliquant une déclaration expresse de la personne concernée, à l’aide par exemple d’un écrit ou via l’envoi d’un e-mail comportant un document portant la signature écrite de la personne ou encore au moyen d’un système de vérification à deux niveaux.
Le cas des décisions administratives individuelles
Le RGPD exige pour ce type de décisions que le droit national prévoie des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée. C’est ainsi que la loi Informatique et libertés autorise la prise de décision individuelle sur le fondement d’un traitement algorithmique dès lors qu’il comporte une mention explicite en informant l’intéressé. Le responsable du traitement doit également s’assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard. La loi ajoute que par dérogation, aucune décision par laquelle l’administration se prononce sur un recours administratif (réclamation à l’administration) ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel (L. n° 78-17, 10 janv. 1978, art. 47 ).
Spécificité des catégories particulières de données (données sensibles)
Lorsque la décision relève de l’une des exceptions visées ci-dessus, elle ne devrait néanmoins pas être fondée sur des catégories particulières de données (RGPD, art. 22, § 4). Il s’agit des données relatives à l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, biométriques, de santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique (RGPD, art. 9, § 1er ).
En revanche, si la personne concernée a donné son consentement explicite ou si le traitement est nécessaire pour des motifs d’intérêt public (RGPD, art. 9, §, 2, a et g), ces données sensibles peuvent alors servir de fondement à une prise de décision individuelle, à condition toujours que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée soient en place.
La nécessité de mettre en place des garanties
En tout état de cause, un traitement de ce type devrait être assorti de garanties appropriées pour assurer la sauvegarde des droits et libertés et des intérêts légitimes des individus. L’article 22, § 3 du règlement précise notamment que la personne concernée doit au moins pouvoir réclamer une intervention humaine de la part du responsable du traitement. Ce dernier devra donc veiller à ce que les individus puissent exprimer leurs points de vue et contester la décision s’ils le souhaitent. Cela signifie que les personnes devront être informées de l’existence d’une telle prise de décision.
Point de vue de l’AFCDP |
---|
Il est donc indispensable pour le responsable de traitement de mettre en place des mesures appropriées telles que l’information de la personne concernée, mais également de prévoir la possibilité pour elle d’exprimer son point de vue, d’obtenir des explications concernant la décision, ou de la contester. Le responsable de traitement devra également s’assurer d’appliquer les mesures adéquates afin de limiter et de corriger les risques d’erreur liés à la décision, ainsi que s’interroger sur ses éventuelles conséquences en termes de discrimination. |
Des droits et obligations renforcés
Obligations supplémentaires à la charge du responsable du traitement
En raison de l’impact du profilage et des prises de décisions automatisées sur les droits et les libertés des individus, des obligations spécifiques incombent au responsable du traitement.
Une information renforcée
Lorsqu’un responsable du traitement procède à une prise de décision automatisée, telle que celle envisagée à l’article 22, il sera tenu d’informer la personne concernée de l’existence d’une telle décision. Il devra également lui communiquer des informations utiles afin de lui permettre de comprendre la logique sous-jacente à cette prise de décision et afin qu’elle puisse prendre conscience des conséquences de ce traitement.
Le responsable du traitement devra alors communiquer des informations claires et intelligibles à la personne concernée lui permettant de comprendre le raisonnement derrière la prise de décision et les critères utilisés.
La nécessité de mener une analyse d’impact (AIPD)
L’article 35 du RGPD édicte une liste de traitements pour lesquels la conduite d’une AIPD est impérative. Le premier traitement envisagé par cette liste vise « l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ».
La rédaction de cet article, sensiblement différente à celle de l’article 22 en raison de la suppression de l’adverbe « exclusivement », indique que ne sont pas visées uniquement les décisions prises dans le cadre de l’article 22 mais aussi toutes les décisions non exclusivement automatisées dès lors qu’elles ont pour conséquence de produire des effets juridiques à l’égard de la personne concernée ou l’affectent de manière similaire. Cela signifie que tout profilage conduisant à une prise de décision, non forcément exclusivement automatisée, et produisant des effets de ce genre, devra être soumis au préalable à la conduite d’une analyse d’impact.
Renforcement des droits de la personne concernée
En raison des possibles effets que peuvent avoir le profilage ou la prise de décision automatisée sur elle, la personne concernée voit ses droits renforcés face à la mise en œuvre de tels traitements.
C’est le cas lorsqu’elle exerce son droit d’accès, grâce auquel elle peut obtenir confirmation que ses données sont traitées et le responsable du traitement devra l’informer d’un certain nombre d’éléments concernant ce traitement. Parmi ce lot d’informations, le responsable du traitement devra communiquer à la personne concernée tous les éléments relatifs à l’existence d’une prise de décision automatisée, à la logique sous-jacente de cette décision et aux possibles conséquences de cette dernière.
La personne concernée dispose enfin d’un droit d’opposition renforcé dans les cas où des opérations de profilage sont réalisées sur les fondements de l’exécution d’une mission d’intérêt public ou de l’intérêt légitime du responsable du traitement (RGPD, art. 21, § 1er ).
En tout état de cause, dès lors que le traitement et les opérations de profilage mis en œuvre ont pour finalité la prospection commerciale, la personne concernée dispose du droit de s’opposer à tout moment à la mise en œuvre de telles opérations.