Les nouvelles technologies, l’analyse de données, l’intelligence artificielle ont joué le rôle de catalyseurs de nouvelles pratiques telles que le profilage et la prise de décision individuelle automatisée. Ces dernières permettent d’analyser et de prédire le comportement, les intérêts et les goûts d’un individu.
Ces pratiques entraînent des risques pour les droits et libertés des individus et donc des obligations pour les responsables de traitement (RT) comme Andrea Jelinek, présidente du groupe de travail « Article 29 » l’a soulignée au sujet de l’affaire Cambrige Analytica[1].
Cette fiche vise à clarifier les dispositions du RGPD et Guidelines G29 face à ces pratiques.
Le profilage est un traitement automatisé[2]. Il permet l’analyse de schéma comportementaux des individus concernés ou même d’individus statistiquement similaires[3] pour en tirer des conclusions (leur capacité à réaliser une tâche, leurs intérêts…).
Il est important d’identifier ce qu’est une décision individuelle automatisée car un individu peut s’opposer à en faire l’objet[4]. Ainsi, la décision individuelle automatisée peut être basée sur des données fournies directement par un individu ou déduites de son comportement. Elle ne doit pas impliquer l’intervention d’une personne physique ayant autorité ou compétence pour influer dessus. Enfin, elle doit avoir des effets juridiques (impact sur les droits, le statut juridique) ou des effets affectant de façon similaire et significative la personne concernée (influence réelle des circonstances, du comportement ou des choix de l’individu, Ex : pratiques de e-recrutement sans aucune intervention humaine[5]).
ATTENTION : L’individu concerné ne pourra pas s’opposer à une telle décision si elle est nécessaire à la conclusion ou à l’exécution d’un contrat et un RT ; si elle est autorisée par le droit de l’UE ou le droit de l’État membre auquel le RT est soumis (prévention de la fraude, évasion fiscale…) ; si elle est fondée sur le consentement explicite par déclaration expresse de la personne concernée[6].
Le consentement[7] (preuve que la personne comprend à quoi elle consent, qu’il ne s’agissait pas d’une condition d’accès au service, ou ne découlait pas d’une relation déséquilibrée, Ex : employeur/employé) ;
La nécessité pour l’exécution du contrat[8];
L’existence d’obligations légales[9], Ex : la prévention des fraudes ou le blanchiment d’argent ;
La nécessité à la sauvegarde d’intérêt vitaux[10], Ex : Éviter la propagation de maladies mortelles ;
La nécessité pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique[11] ;
La nécessité aux fins d’intérêts légitimes du RT ou d’un tiers[12], Le RT doit mettre en balance ses intérêts et ceux de l’individu concerné en faisant état du niveau de détail du profil (description générale ou segmentée ou coordonnée à un niveau granulaire), de l’exhaustivité du profil (s’il décrit un seul petit aspect de l’individu concerné ou dépeint un image plus globale), de l’impact du profilage (ses effets sur l’individu concerné), des mesures de sécurité visant à assurer l’équité, l’absence de discrimination et la précision du profilage.
Il peut arriver que des corrélations indiquent des éléments concernant la santé, les convictions politiques, les croyances, l’orientation sexuelle d’un individu. Les RT devront alors prouver le respect des conditions établies par l’article 9(2) et 6 du RGPD.
ATTENTION : selon l’article 22 (4) du RGPD, les décisions individuelles automatisées portant sur des catégories particulières de données ne sont envisageables que si elles sont fondées soit sur un consentement explicite au traitement des données (sauf si le droit de l’Union ou de l’État membre prévoit que l’interdiction ne peut pas être levée par la personne concernée) ou sur la nécessité pour des motifs d’intérêt public (article 9(2) du RGPD a) et g)).
Enfin, ces mesures doivent obligatoirement inclure le droit d’obtenir une explication quant à la décision et de la contester (considérant n°71 du RGPD).
Le RGPD introduit des droits nouveaux pour l’individu concerné et donc de nouvelles obligations pour les RT qui peuvent notamment pratiquer le profilage ou la prise de décisions individuelles automatisées.
Tout d’abord, les RT doivent respecter les grands principes du RGPD (transparence, détermination des finalités du traitement, minimisation, précision).
La transparence[13] : Le profilage est souvent invisible aux yeux des individus et s’il est visible, il demeure complexe. Les RT doivent s’assurer que la personne concernée est informée de manière concise, transparente, compréhensible dans des termes clairs et simples[14]. Enfin, si le profilage permet la prise d’une décision automatisée[15], ou s’il en déduit des données d’une catégorie particulière (convictions, préférences, goûts), cela doit être précisé.
Ex : le courtier en données qui doit informer l’individu concerné du profilage et de son intention de transférer ses données vers un autre organisme qui à son tour devra informer l’individu des finalités du traitement et de quelle source elle tire ses données.
NOTA : l’information est renforcée lorsqu’il s’agit de décisions individuelles automatisées. En effet, le RT devra informer la personne concernée de l’objet du traitement, de la logique du processus (de façon simple), et des conséquences de ce traitement.
Ex : le prix d’une assurance moto peut évoluer en fonction du comportement du motard sur la route. Le motard doit donc être au fait des conséquences de son comportement et obtenir des précisions concernant le comportement idéal à adopter.
Enfin, le responsable de traitement doit informer l’individu concerné à propos de ses droits et de la manière dont il pourra les exercer (comme par exemple le droit à l’oubli).
La limitation de la finalité : le profilage peut requérir l’utilisation de données à l’origine collectées pour une autre finalité[16]. Ex : les données de localisation qui permettent à un utilisateur de trouver un restaurant à proximité peuvent être utilisées pour créer son profil dans une finalité marketing (préférences culinaires, habitudes).
Considérés comme vulnérables, les enfants méritent une protection particulière. Les RT ont donc des obligations additionnelles lorsqu’ils effectuent un profilage en lien avec un enfant.
Le considérant n°71 du RGPD formule l’interdiction de prise de décisions individuelles automatisées basées ou non sur le profilage concernant des enfants. Il semblerait que le groupe de travail G29 ne considère pas cette interdiction comme une interdiction absolue dans la mesure où elle n’est pas répétée à l’article 22 du RGPD.
Toutefois, il peut s’avérer nécessaire d’effectuer ce type de traitement notamment pour la protection du bien-être de l’enfant. Dans ce cas, le traitement pourra être justifié par les exceptions de l’article 22 (2) du RGPD et des mesures de sauvegarde adaptées et préservant les droits, libertés et intérêts légitimes des enfants concernés devront être adoptées, article 22 (3) du RGPD.
Enfin, l’art 40 (2) g du RGPD impose la mise en œuvre de codes de conduite avec des mesures concernant les enfants.
Pour cela, le RT doit s’assurer si ces finalités additionnelles au traitement initial lui sont compatibles (lien entre finalité initiale et objectifs nés par la suite ; contexte et attente raisonnables de l’individu concerné ; nature de la donnée et impact de cette nouvelle finalité sur l’individu ; mesures de sauvegarde pour assurer le traitement loyal des sonnées et prévenir les conséquences excessives).
Le principe de minimisation : Les RT sont parfois tentés de collecter plus de données que ce dont ils ont en réalité besoin pour leurs finalités initiales. Pour éviter cela, ils doivent être en mesure de justifier clairement leur finalité, le traitement qu’ils réalisent (collecte, conservation) ou bien envisager l’agrégation ou l’anonymisation des données pour le profilage.
La précision : elle doit être recherchée à tous les niveaux du processus (collecte, analyse, construction d’un profil, application de ce profil pour prendre une décision)[17]. Si les données d’origine sont imprécises, le résultat fera état de présomptions incorrectes. Les RT doivent donc prendre des mesures permettant de vérifier et d’assurer que les données collectées sont précises et à jour ce qui permettra aux individus concernés d’exercer leur droit plus aisément.
La durée de conservation : une conservation de longue durée des données peut entrer en contradiction avec le principe de minimisation et risque même d’entrainer des imprécisions dans leur traitement.
L’analyse d’impact RGPD [18] (PIA) : le RT doit mettre en place une PIA en cas d’évaluation systématique et large des données d’une personne physique basée sur un processus automatique, incluant du profilage et sur lequel une décision est déduite qui produit des effets légaux ou similaires affectant l’individu. Cette PIA lui permet d’évaluer le risque d’une telle décision automatisée et de démontrer que des mesures appropriées ont été adoptées afin de répondre aux risques existants.
La personne concernée doit pouvoir accéder à ses données personnelles[19] et ce, même à distance via un système sécurisé[20]. Elle possède également un droit de rectification, d’effacement et de limitation du traitement[21].
En effet, la personne concernée peut rectifier la donnée saisie ou déduite qu’elle considère erronée ou imprécise, la compléter par une autre (article 16 du RGPD), ou bien en demander l’effacement (article 17 du RGPD). Si le fondement du profilage en question est le consentement et qu’il est retiré, en l’absence de base légale justifiant ce profilage, le RT devra effacer ces données. Enfin, elle peut toujours limiter le traitement et notamment le profilage réalisé à partir de ses données.
La personne concernée pourra aussi contester, s’opposer au traitement [22] ce qui force le RT à interrompre le traitement à moins qu’il ne parvienne à démontrer que l’intérêt légitime du traitement prime les droits et libertés de l’individu (L’intérêt légitime doit être celui de la société en générale et pas seulement celui de la société) mais cela peut aussi le forcer à effacer les données personnelles de l’individu.
ATTENTION : L’article 21 (2) du RGPD confère à l’individu concerné par un traitement à des fins de prospection (y compris le profilage) un droit inconditionnel de s’opposer au traitement en question sans balance des intérêts à réaliser, à tout moment et sans coût[23].
[1]Cambridge Analytica statement of the Article 29 Chair, CNIL.
[2]Article 4 (4) du RGPD.
[3]Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, le 3 octobre 2007, CNIL.
[4]Article 22 du RGPD.
[5]Considérant n°71 du RGPD.
[6]Article 22 du RGPD.
[7]Article 6 (1) du RGPD.
[8]Article 6 (1) b) du RGPD.
[9]Article 6 (1) c) du RGPD complété par ses considérants 41 et 45.
[10]Article 6 (1) d) du RGPD.
[11]Article 6(1) e) du RGPD.
[12]Article 6 (1) f) du RGPD.
[13]Article 5 (1) a) du RGPD.
[14]Article 12.1, 14 et 15 du RGPD.
[15]Considérant n°60 du RGPD.
[16]Article 5 (1) b) du RGPD.
[17]Article 5 (1) d) du RGPD.
[18]Article 35 (3) a) du RGPD.
[19]Article 15 du RGPD.
[20]Considérant n°63 du RGPD.
[21]Article 16, 17 et 18 du RGPD.
[22]Article 21 du RGPD.
[23]Considérant n°70 du RGPD.
En complément nous vous invitons à consulter cet article sur l’audit RGPD.