Le Règlement Général sur la Protection des Données (RGPD) est une nouvelle réglementation européenne qui est entrée en vigueur en mai 2018. Ce règlement encadre la protection de la vie privée de personnes physiques. La législation s’est fortement intéressée au profilage. Il s’agit ici d’une méthode de traitement de données très utilisée au sein des plus grandes entreprises sur le marché. Comment le RGPD encadre-t-il ce type de traitement de données à caractère personnel ? Quels sont les droits des personnes concernées ? Voici tout ce que vous devez savoir sur le profilage rgpd.
Qu’est-ce que le profilage rgpd ?
Le profilage est défini de manière explicite dans l’article 4 du RGPD. C’est une technique de traitement de données automatisée qui permet d’analyser les comportements ainsi que d’autres aspects de la vie d’une personne physique. Cette méthode de traitement est très utile pour les entreprises sur le marché afin d’élaborer des décisions entièrement automatisées. Pour en savoir plus sur le profilage rgpd, consultez cet article. De plus en plus d’entreprises y ont recours pour diverses raisons :
- une évaluation des performances des employés par un employeur ;
- une détermination de la situation financière d’un client par une banque ;
- ou encore l’étude du coût d’une assurance auto par un assureur, etc.
Qu’entend-on par décisions automatisées ?
Le profilage permet aux entreprises d’élaborer un profil individuel pour une personne physique. Cette analyse permet de juger et de tirer des conclusions spécifiques sur les personnes concernées. L’usage de certains algorithmes concernant les données personnelles de personnes physiques offre la possibilité d’avoir ce que l’on peut appeler décisions automatisées.
Il faut noter que le profilage ne concerne en aucun point les traitements de données statistiques.
Le profilage : un traitement fortement encadré par le RGPD
Le profilage est alors une technique de traitement de données à caractère personnel qui peut mener à des prises de décisions automatisées. Des textes spécifiques dans le règlement européen sur la protection des données ont alors été apposés pour protéger le droit des personnes concernées par le profilage. Tous les points essentiels à connaitre dans ce contexte sont mentionnés dans l’article 22 du RGPD. Des normes plus restrictives ont été implantées dans le cadre d’un traitement automatisé de données du fait que l’utilisation de cette technique est susceptible de porter atteinte au droit et liberté des concernés.
Dans quels cas le profilage est autorisé par le RGPD ?
Il existe des cas spécifiques pour lesquels le profilage rgpd est autorisé par la réglementation en vigueur.
Une décision prise avec le consentement explicite de la personne concernée
Le profilage est autorisé par les textes à condition qu’il y ait le consentement explicite des personnes faisant l’objet des collectes de données. Ce consentement doit être écrit, clair et précis. Le responsable de traitement se trouve dans l’obligation d’informer les personnes sur les diverses conséquences de ce consentement ainsi que les finalités du profilage. A partir de ces informations, les personnes peuvent changer d’avis ou non.
Une décision suite à la conclusion ou à l’exécution d’un contrat
Le profilage lié à une décision automatisée peut être nécessaire dans le cadre de l’établissement d’un contrat. Seulement, le responsable de traitement, ses prestataires ou ses sous-traitants doivent mettre en place le principe d’accountability. Des moyens spécifiques doivent obligatoirement être mis en œuvre. Ce sont des moyens qui peuvent être utilisés en vue de justifier le processus de profilage pour réaliser le contrat. Une analyse d’impact est conseillée au préalable suivant les objectifs recherchés.
Une décision suite à des dispositions légales
L’interdiction du profilage peut faire l’objet d’une opposition de la part de l’Union Européenne ainsi que les pays membres. Ces derniers ont tout à fait le droit de mettre en vigueur des dispositions légales en vue d’autoriser une opération de profilage. Les traitements de données personnelles peuvent être nécessaires pour prévenir les risques d’évasion fiscale et de fraude.
Quels sont les droits des personnes soumises au profilage ?
Les individus soumis au profilage doivent absolument connaitre leurs droits :
Le droit à une intervention humaine
Toutes les personnes concernées par des opérations de décision automatisée ont le droit de demander l’intervention d’une personne physique pour réévaluer leur situation. Cette intervention leur permet d’exprimer leur point de vue et bénéficier d’une explication plus claire.
Le droit d’être informé
Tous les individus faisant l’objet d’un profilage doivent être informés sur le traitement de données réalisé :
- les types de données collectées ;
- les finalités du traitement ;
- la durée de conservation ;
- le partage ou non de ces données avec des organismes tiers.
Le droit d’accès
Les personnes concernées peuvent soumettre une demande d’accès à leurs données personnelles. Les responsables de traitement sont alors dans l’obligation de leur fournir toutes les informations dont elles auront besoin. Un délai d’un mois est accordé aux responsables de traitement pour fournir ces données. Il existe tout de même des exceptions à cette obligation en cas de demandes infondées, excessives ou répétitives.
Le droit de rectification
La personne concernée par le traitement a le droit de faire rectifier ses données à caractère personnel, dans le cas où celles-ci sont inexactes. Si les données collectées sont incomplètes, l’individu peut également demander à les compléter.
Le droit à l’oubli
Les individus ont la possibilité de demander l’effacement des données collectées dès que celles-ci ne sont plus nécessaires. Ce droit est également appelé « le droit à l’effacement ».
Le droit à la portabilité des données
Le droit à la portabilité des données offre la possibilité pour les individus de demander et de réutiliser les données collectées comme bon leur semble. C’est un droit qui s’applique uniquement sur les données à caractère personnel collectées avec un consentement explicite de la personne.
Peut-on s’opposer à un traitement de données automatisé ?
Une personne peut refuser de faire l’objet d’un traitement automatisé de données, sauf si ce dernier est requis pour la conclusion d’un contrat, s’il est autorisé par le droit de l’UE ou s’il est fondé sur le consentement explicite de la personne. Pour ces cas spécifiques pour lesquels le traitement est obligatoire, les responsables de traitement sont tenus d’assurer la sauvegarde des droits et libertés des personnes concernées.
Que faire en cas de non-respect du RGPD ?
Un organisme spécifique peut être sanctionné par la Commission Nationale Informatique et Libertés (CNIL) en cas de non-respect du RGPD. Les personnes concernées ont tout à fait le droit de déposer une plainte au niveau de cette autorité compétente si elles ne sont pas en mesure d’exercer leurs droits relatifs à la loi Informatique et libertés. Le signalement peut aussi bien avoir lieu si des traitements portent atteintes aux règles de protection des données à caractère personnel les concernant. Les réclamations peuvent se faire sur le site officiel de la CNIL. Il est également possible de contacter l’autorité compétente via son adresse postale : CNIL – Services des plaintes – 3 Place de Fontenoy – TSA 80715 -75334 Paris Cedex 07. Tous les documents attestant les faits doivent être joints à la réclamation.
Un non-respect du RGPD soumet les organismes concernés à des sanctions administratives ou pénales.