Une des évolutions les plus probantes de l’ère des nouvelles technologies est de permettre d’apprécier d’avantage les caractéristiques des personnes par la collecte et l’interconnexion de leurs données. L’objectif étant d’affiner le degré de connaissance et d’en tirer des enseignements notamment par la technique du profilage, véritable enjeu commercial. Il rend plus efficaces les opérations et permet de réaliser un projet d’achat jusqu’à un déplacement.
Le profilage s’apparente à la prise de décision exclusivement automatisée dès lors qu’il a un impact direct sur les personnes concernées.
Conscient de cette automatisation exponentielle des traitements,l’article 22 du RGPD (Règlement n°2016/679 Règlement Général sur la Protection des Données) prévoit l’interdiction d’une prise de décision exclusivement automatisée dans des milieux non règlementés tels que l’e-commerce. L’enjeu pour le responsable de traitement est de contourner les critères du régime strictement encadré pour leur permettre une marge de manœuvre relative.
Du principe d’interdiction pour l’entreprise de recourir à la prise de décision entièrement automatisée produisant des effets juridiques ou similaires découle un droit pour la personne de ne pas faire l’objet d’un tel procédé.
La CNIL (Commission Nationale Informatique et Libertés) s’est dotée d’outils de droit souple pour réguler la protection des données personnelles : des lignes directrices, des recommandations, des référentiels. L’objectif est d’orienter les comportements des acteurs selon des domaines d’activités prédéfinis dans le cadre d’obligations légales. Il s’agit notamment de délibérations portant sur les systèmes d’aide à l’octroi de crédit, la lutte contre la fraude à l’assurance et la lutte contre la fraude externe dans le secteur bancaire/financier. Or, la lutte contre la fraude ne bénéficie pas seulement à ces cas règlementés.
Cette année, selon Lemondeinformatique, pas moins de 60 000 packs de profils volés combinant informations de cartes de crédit et données biométriques sont en vente clandestinement sur le Dark web. Ce sont autant de personnes susceptibles d’être victimes de fraude à la carte bancaire.
Les e-commerçants cherchent tout naturellement à se prémunir de la fraude. Toute transaction comporte des risques, qu’elle soit à distance, en magasin, par mobile ou encore sans contact.
Un traitement de lutte contre la fraude à la carte bancaire présente donc un intérêt aussi évident que certain. Tout l’enjeu sera alors pour le responsable de traitement est de mettre en place un système de prévention basé sur le profilage légalement.
A ce titre, il serait judicieux pour lui d’intégrer une mention lors de la vente permettant ainsi d’arguer la base légale du consentement.
En effet, selon l’article 22, les seules exceptions qui s’appliquent à la prise de décision exclusivement automatisée sont : la nécessité (pré)contractuelle, l’obligation légale pour la société et le consentement explicite de la personne.
Dans certain cas, il n’existe aucun contrat, la personne ne peut pas donner son accord. Dans quel cadre sommes-nous ? La poursuite de la commande pourrait constituer un consentement (la personne ayant été avisée) comme c’est le cas par exemple pour le dépôt de cookies en cas de poursuite de la navigation.
Un exemple concret des bénéfices de la lutte contre la fraude dans le secteur de l’e-commerce est celui d’une maison de prêt à porter. Le site marchand a mis en place un algorithme permettant de déterminer le risque potentiel de fraude (processus de scoring). A l’étape de résumé de la commande, une mention d’information énonce que « dans le cadre de notre prévention de lutte contre la fraude, la validation de votre commande entraîne une analyse automatique de l’ensemble de vos Données afin d’en évaluer sa fiabilité. En cas de doute sur la cohérence de ces éléments, votre commande sera refusée et nous vous invitons à venir passer votre commande directement en boutique ».
Aussi, la prise de décision exclusivement automatisée n’entraîne pas d’effet juridique puisqu’il n’y a pas de contrat, et elle n’affecte pas la personne de manière significative dans la mesure où elle pourra toujours bénéficier de la prestation par un autre moyen.
Toutefois, l’intérêt légitime du responsable de traitement ne permet pas de procéder à ce profilage pour se protéger car son seul objectif est de se prémunir contre la fraude, sans tenir compte des droits et libertés des personnes concernées. Les organismes devront alors contourner les critères d’interdiction de l’article 22 de la conformité RGPD.
Dès lors, et sauf à pouvoir appliquer une exception prévue par l’article 22, le traitement tombe sous le joug du principe d’interdiction. Il devra être purement et simplement arrêté, ce qui n’est souvent pas une solution envisageable pour le responsable de traitement. Le responsable de traitement pourra agir sur le critère d’automatisation avec une intervention humaine dans le processus décisionnel. Le responsable de traitement pourra aussi agir sur le critère des conséquences en arguant que la décision ne produit pas « d’effets juridiques pour la personne ou ne l’affecte pas de manière significative ».
Les risques sont variés et la solution la plus sûre pour les entreprises est de se doter d’une technologie algorithmique permettant de détecter un comportement suspect. Cette technologie permet de recenser tous les cas possibles et inimaginables de fraude. L’outil délivre une note à la personne concernée (scoring), déterminant le sort de la commande et pouvant aboutir à un refus de vente.
L’enjeu est de minimiser le risque de pertes financières et de ne pas obérer la réputation du commerçant. L’enjeu est aussi de protéger le client d’une dépense inhérente à la fraude. Or, rappelons que l’intérêt légitime ne figure pas parmi les exceptions autorisées.
La doctrine de la CNIL conforte cette possibilité d’analyse manuelle lorsqu’une transaction présente un caractère frauduleux : affaire Ikéa,affaire Voyagessncf.com, affaire Rue du commerce.
A contrario, le responsable de traitement pourra mettre en place une prise de décision exclusivement automatisée dès lors qu’elle n’a pas d’impact juridique ou affectant de manière significative la personne.
Dans le cadre de la lutte contre la fraude à la carte bancaire analysée précédemment, il n’y a pas d’effet juridique systématique pour la personne. Celui-ci ne sera caractérisé que si le score établi par l’algorithme démontre un risque de fraude élevé : le traitement n’aura alors aucune incidence sur la majorité des transactions. Par ailleurs, en cas de fraude, le refus de vente impacte le fraudeur et non le titulaire légitime de la carte bancaire. Enfin, la personne pourra éventuellement finaliser son achat par autre moyen de paiement (virement bancaire par exemple) ou un autre canal (en boutique).
Les composantes de cette notion sont parfois floues, ce qui laisse au responsable de traitement une marge de manœuvre dans son appréciation de la lutte contre la fraude.
D’autres informations pertinentes sur cet article loi informatique et liberté
– Marie de Asis-Trem