Y a t-il un consentement au profilage, les précisions des guidelines du g29

Martine RICOUART-MAILLET le 13 novembre 2017

Si le RGPD bouleverse la façon d’appréhender la gouvernance des données à caractère personnel, la question du profilage demeure un enjeu important, si ce n’est vital, pour les nombreuses sociétés effectuant ce genre de traitement.

D’autant que le nouveau texte de référence en donne une définition très large. Ainsi, l’article 4 du RGPD vient définir le profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

Les traitements non automatisés semblent de facto exclus car non mentionnée par le texte.  La notion n’en reste pas pour le moins étendue car le profilage inclut des activités  comme la détection de fraudes, le marketing comportemental ou les méthodes de sélection dans l’octroi de crédit ou en matière d’assurance dans l’appréciation des risques.

Le Groupe de travail du G29  ( Réunion des autorités de contrôle des différents pays de l’Union Européenne comme la Cnil en France ) a publié  le 17 octobre dernier  des lignes directrices ( guide-lines ) sur le sujet  qui visent  à rassurer le secteur du marketing notamment.

Ces lignes directrices sont divisées en 5 sections :

–        définition du profilage et des prises de décision automatisées au regard du RGPD ;

–        dispositions spécifiques sur les prises de décision automatisées tels que définies à l’article 22 du RGPD ;

–        dispositions générales sur le profilage et les prises de décision automatisées ;

–        la question du profilage des mineurs ;

–        l’évaluation de l’impact sur la protection des données à caractère personnel.

 

Si les deux dernières sections étaient des points qu’il fallait effectivement éclaircir, ce sont les dispositions spécifiques et générales relatives à la prise de décision automatisée et au profilage qui vont nous intéresser ici.

Le G29 différencient plusieurs types de profilages associés ou non avec une prise de décision automatisée :

1- Le profilage général non associé à un processus de décision purement automatisé  et les processus de décision basée sur du profilage avec intervention humaine sont tout à fait possibles sans autre exigence que de  répondre aux principes posés par le Règlement.( traitement licite basé sur l’intérêt légitime du responsable de traitement , information, finalité précise, modalités d’ exercice des droits et  opt out mentionnés)

A titre d’exemple sur l’intérèt légitime, fondement du traitement : « l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée. A noter que la prévention de la fraude ou la prospection commerciale peuvent répondre à cette notion d’intérêt légitime.

 

2- En revanche, les  processus de décision entièrement automatisés basés sur du profilage sans intervention – humaine , susceptible de produire des effets juridiques ou affectant les personnes de manière significative de façon similaire font l’objet de conditions plus stricte car vus, par le législateur et le G29, comme possiblement néfastes aux droits et libertés des personnes. Il est important de préciser que rentre également  dans cette catégorie des processus où l’intervention humaine serait insignifiante et sans conséquence sur la décision finale.

Spécifiant l’interdiction de principe de ces processus de décision automatisée ayant des effets juridiques, le groupe de travail rappelle les exceptions possibles, définies par le RGPD en son article 22, lorsque le traitement :

« a) est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement »

Le G29 fournit des exemples d’utilisation pour améliorer les prises de décisions et réduire les erreurs nées du facteur humain, permettre une réponse plus rapide ou simplement accéder à un service qui ne peut être humainement réalisable, le G29 rappelle les responsables de traitement à leur obligation d’accountability et de justification du caractère nécessaire de l’opération pour l’exécution du contrat. Ce qui devra la plupart du temps  amener le responsable du traitement à envisager une analyse d’impact  car c’est désormais à lui d’analyser et puis de décider s’il met en place ou non le traitement sans recourir à une autorisation de la CNIL.

«  b) est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concerné »

Cette disposition est intéressante car laisse la possibilité aux Etats membres d’édicter leur propre règle, notamment en matière de prévention de la fraude ou d’évasion fiscale, là où le RGPD cherchait une unification de la réglementation au sein de l’Union.

«  c) est fondée sur le consentement explicite de la personne concernée. »

Bien sûr, le RGPD ne vient pas définir cette notion de consentement explicite sauf à préciser que cela résulte d’une déclaration écrite ou de tout autre acte non équivoque impliquant le consentement .Le G29 reste quant à lui silencieux sur le sujet renvoyant à de futures lignes directrices et à la notion de consentement simple.

Le consentement sera requis lorsqu’il y aura une décision entièrement automatisée sans intervention humaine et avec conséquence juridique possible.

Dans ce cas, les Responsables de traitement, s’appuyant sur le consentement pour établir leur traitement de profilage et décision automatisée, devront bien sûr démontrer que les personnes concernées ont bien été informées et ont compris ce à quoi elles consentent afin de justifier d’un choix éclairé. Comme tout traitement de données personnelles, il est nécessaire pour le Responsable de traitement d’évaluer les conséquences probables et l’impact de la conduite de son activité basée sur ses intérêts légitimes en les confrontant aux droits et libertés des personnes concernées.

Le G29 énonce des critères pour cette évaluation préalable :

  • le niveau de détail du profil ( ex une personne ayant fait l’objet d’un profil au sein d’une catégorie large en tant que «professeurs d’anglais natifs vivant à Paris», ou bien segmentés et ciblés plus finement);
  • l’exhaustivité du profil (si le profil ne décrit qu’un petit aspect du sujet de données, ou dresse un tableau plus complet);
  • l’impact du profilage (les effets sur la personne concernée); et
  • les garanties visant à garantir l’équité, la non-discrimination et l’exactitude du profilage.

S’appuyant sur un exemple , celui d’une pharmacie en ligne se livrant à des activités de prospection fondées sur les achats de médicaments et d’autres produits, le groupe de travail met en avant le danger d’un résultat trop précis pouvant entrainer  la révélation d’informations relevant de la catégorie et des dispositions spécifiques relatives aux données sensibles.( données de santé révélée par le profilage trop ciblé ou exhaustif )

 

En conclusion il n’est donc pas exigé , de recueil du consentement , hormis pour les cas de  décisions automatisées ayant des effets juridiques ou similaires,  sans intervention humaine . Ill y a lieu de veiller néanmoins à ce que la conduite des opérations de profilage non associées à un processus de décision automatisée  et celle des processus de décision basée sur du profilage avec intervention humaine induisent un résultat respectant une certaine  granularité, un niveau de détail qui resterait  adéquat et  proportionné à la finalité définie, le Responsable de traitement n’étant  tenu que de respecter les principes d’information et d’exercice des droits des personnes concernées y compris le droit d’opposition .

A noter que le droit d’opposition au traitement  dans le Règlement Européen fait explicitement référence aux traitements intégrant du profilage et particulièrement en matière de prospection commerciale, laissant la possibilité pour les personnes concernées de s’opposer sans motif . Cette opposition peut aller dans ce cas de prospection jusqu’à l’effacement , et  pourra conduire  à la suppression des profils créés ou tout au moins  à  leur anonymisation ou pseudonymisation.

 

Martine Ricouart-Maillet Avocat Associée BRM AVOCATS

Mathieu AUBERTIN , juriste Data Privacy BRMAVOCATS

Partagez
photo MartineRicouartM 2

Martine RICOUART-MAILLET

Martine RICOUART-MAILLET, Cofondatrice de BRM Avocats, dispose d’une expérience de 20 ans en droit de la Propriété intellectuelle.

L’expertise du Cabinet BRM s’est également développée en droit de la consommation, de l’informatique et des nouvelles technologies, et en matière Informatique et Libertés. Cette dernière expertise a trouvé son aboutissement dans la labellisation de la procédure d’audit Informatique et Libertés décernée par la CNIL le 9 Janvier 2014 au Cabinet BRM Avocats.

Martine RICOUART-MAILLET est également investie dans de nombreuses Associations. Elle est Vice-Présidente de l’AFCDP (Association Française des correspondants à la protection des données à caractère personnel), et membre d’Associations professionnalisantes autour de la sécurité des systèmes d’information et du marketing direct.

Elle est chargée de cours à la Sorbonne et au Mastère Spécialisé Informatique et libertés de l’ISEP.

www.brmavocats.com
https://fr-fr.facebook.com/pages/BRM-Avocats/120595024787490
https://twitter.com/brm_avocats