Profilage : ce qu’en dit le RGPD

Le RGPD vient modifier profondément la manière dont les entreprises appréhendent actuellement la gouvernance des données à caractère personnel.

Et à partir du 25 mai 2018, le profilage sera strictement encadré. Grand angle sur ce que dit le RGPD sur le profilage.

Le profilage, c’est quoi ?

Le RGPD 2018 donne une définition assez large du profilage. Dans son article 4, il affirme que le profilage est « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

Le profilage permet de prévoir et de prédire dans une certaine mesure les choix, le rendement professionnel, la situation économique, les préférences personnelles, le comportement, ou encore la localisation d’une personne. Le profilage est un outil de prédiction du comportement des personnes. Il est très utilisé par de nombreuses entreprises surtout celles appartenant aux secteurs du digital. Le profilage permet donc de connaitre les habitudes de vies, et surtout les habitudes de consommation des clients. Cela va permettre de concevoir des offres encore plus ciblées.

Comment faire du profilage à l’heure du RGPD ?

Le RGPD encadre assez rigidement le profilage. Ainsi, le profilage ne nécessitera aucune exigence particulière s’il est non associé à un processus de décision exclusivement automatisé. Ce sera également le cas si le profilage est basé sur l’utilisation d’un processus automatisé avec intervention humaine. Dans les 2 cas, le traitement doit être conforme aux principes posés par le RGPD : intérêt légitime du traitement, licéité, mise en place de mesures pour permettre aux personnes concernées d’exercer leurs droits, consentement donné de manière libre et en toute connaissance de cause).

Les process de prise de décision fondés sur le profilage entièrement automatisé sont par contre interdits. C’est aussi le cas si l’intervention humaine dans le processus automatisé est insignifiante. Bien évidemment, cette règle connait plusieurs exceptions :

• Le traitement est indispensable à la conclusion ou l’exécution du contrat passé entre le responsable de traitement et la personne concernée ;
• Le traitement est autorisé par le droit européen ou le droit national et le responsable du traitement a mis en place des mesures appropriées pour sauvegarder les droits des personnes concernées ;
• La personne concernée a donné son consentement explicite : le responsable du traitement doit être capable de démontrer que la personne concernée est bien informée de l’usage qui sera fait de ses données. Et bien évidemment, il devra faire une étude d’impact sur la vie privée.

Bref, le recueil du consentement n’est pas indispensable pour faire du profilage sauf si le processus de décision est exclusivement automatisé ou si l’intervention humaine dans le processus n’a que des incidences insignifiantes. En outre, il faut rappeler que les personnes concernées peuvent à tout moment s’opposer à un traitement, et ce, sans qu’il avance un motif (surtout pour les prospections commerciales).