Skip to content
[sibwp_form id=1]
  1. HomeLegalPlace
  2. Guides
  3. RGPD
  4. Le RGPD et le profilage

Le RGPD et le profilage

RGPD

Dernière mise à jour le 15/04/2024

Sommaire

Obtenir un devis RGPDObtenir un devis RGPD

Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données Personnelles (RGPD) en 2018, de nombreuses dispositions ont été mises en place afin de garantir la protection des données personnelles des personnes. A cette occasion, le législateur s’est intéressé au profilage, une technique de traitement des données personnelles très largement utilisée dans les entreprises 

Obtenir un devis gratuit RGPD

Qu’est-ce que le profilage selon le RGPD ? 

Il convient dans un premier temps de définir ce qu’est le profilage au sens du RGPD, puis de voir en quoi il peut s’avérer utile dans l’élaboration de décisions entièrement automatisées. 

Définition  

Le profilage est défini par l’article 4 du RGPD comme étant « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique (…) ».

Grâce au profilage, il est possible d’analyser et de prédire le comportement d’une personne, notamment concernant :  

  • Ses performances au travail 
  • Sa situation financière 
  • Sa santé 
  • Ses préférences 
  • Ses habitudes de vie 
  • Etc  
A noter : Le RGPD encadre également de manière stricte le traitement des données liées à la santé. 

Les décisions entièrement automatisées 

Grâce au profilage, il est possible d’établir un profil individualisé concernant une personne en particulier et d’émettre un jugement ou de tirer des conclusions sur cette dernière. Ainsi, par le biais d’algorithmes appliqués à des données personnelles, on peut obtenir des décisions entièrement automatisées.  

Le profilage permet également d’évaluer une personne, de prédire ses réactions ainsi que ses préférences.  

Attention : Le profilage ne concerne pas les traitements purement statistiques visant à acquérir une vue d’ensemble sur un groupe.  

Comment ces traitements sont-ils encadrés par le RGPD ?  

Le profilage peut mener à la prise de décisions automatisées concernant des personnes, il constitue donc un enjeu important pour ces dernières. C’est pourquoi le législateur, par l’intermédiaire du RGPD, a souhaité poser un cadre quant à son utilisation. 

Le cadre posé par le RGPD  

L’article 22 du RGPD pose un cadre à la pratique du profilage. En effet, il prévoit des règles plus restrictives concernant les décisions fondées exclusivement sur un traitement automatisé. Elles s’appliquent si un des deux critères suivants est rempli :   

  • La décision produit des effets juridiques : lorsqu’elle impacte les droits et libertés de la personne (Exemple : la liberté de réunion, les droits contractuels, etc).  
  • La décision produit des effets significatifs : lorsqu’elle influence l’environnement de la personne, son comportement, ses choix ou aboutit à une forme de discrimination (Exemple : une décision impacte la situation financière de la personne).  
Bon à savoir : Les personnes concernées par le RGPD, telles que les entreprises ou TPE, fondent rarement leurs décisions uniquement sur la base d’un algorithme. Cela leur permet ainsi d’effectuer du profilage tout en respectant le RGPD.

Les droits des personnes 

Ce type de traitement est susceptible de porter atteinte aux droits et libertés des personnes. C’est pourquoi le RGPD est également venu leur consacrer les droits supplémentaires suivants : 

  • Le droit à une intervention humaine : toute personne faisant l’objet d’une décision automatisée peut demander l’intervention d’une personne humaine afin d’obtenir un réexamen de la situation, exprimer son propre point de vue et obtenir une explication ou contester la décision prise.  
  • L’obligation de transparence : les personnes doivent être informées de la collecte de leurs données. Ils peuvent également demander à être informés de l’existence d’une décision automatisée et de la logique qui en est à l’origine.  

Quelles sont les exceptions posées par le RGPD ? 

Le RGPD prévoit trois exceptions dans lesquelles le profilage est autorisé pour établir une décision entièrement automatisée, et ce même si cette dernière a un effet juridique ou un impact significatif sur la personne concernée. Les exceptions sont les suivantes :  

  • La décision est fondée sur le consentement explicite de la personne concernée 
  • La décision est nécessaire à la conclusion ou à l’exécution d’un contrat 
  • La décision est encadrée par des dispositions légales spécifiques 
🔎 Zoom : La manipulation des données est source d’actualités et demande une grande rigueur pour les entreprises. Aussi, afin de vous aider dans cette tâche difficile, LegalPlace vous propose de réaliser un devis de mise en conformité RGPD : une solution simple, efficace et économique ! 

Le consentement explicite de la personne concernée 

Le profilage est autorisé à condition que la personne concernée donne son consentement explicite. Il doit être écrit, clair et précis.  

Néanmoins, le consentement explicite ne dispense pas le responsable de traitement de certaines obligations. En effet, ce dernier est tenu d’informer et de conseiller les personnes concernées sur les conséquences du consentement donné et de la décision née du profilage automatisé. Ainsi, à partir de ces informations, la personne concernée pourra faire un choix éclairé.  

La décision est nécessaire à la conclusion ou à l’exécution d’un contrat 

Dans certains cas, le profilage lié à une décision automatisée peut constituer un élément nécessaire à la réalisation du contrat. Il peut alors être autorisé, néanmoins, le RGPD oblige le responsable de traitement à un devoir d’accountability. Il est, de ce fait, soumis au respect d’un certain nombre d’obligations.  

Ils doivent notamment mettre en place des moyens permettant de vérifier et de justifier du caractère nécessaire de l’opération de profilage liée à l’exécution du contrat. Il est conseillé d’effectuer une analyse préalable d’impact du traitement par rapport aux finalités recherchées.  

A noter : l’analyse préalable d’impact du traitement peut notamment être réalisée par le délégué à la protection des données (DPO), au sein de l’entreprise. 

La décision est encadrée par des dispositions légales spécifiques  

L’Union européenne ainsi que ses Etats membres se réservent le droit de s’opposer à l’interdiction du profilage automatisé. En effet, ceux-ci ont la liberté d’ériger des dispositions légales autorisant le profilage lié à une décision automatisée. 

Cela s’explique par le fait que l’utilisation et le traitement des données personnelles est une technique de plus en plus utilisée au sein des administrations. En effet, elle permet notamment de prévenir les risques de fraude ou d’évasion fiscale. 

FAQ

Qu’est-ce que le profilage ?

Le profilage est une technique de traitement automatisé des données personnelles. Elle permet notamment l’analyse et la prédiction de comportements, de performances, etc. Lorsque le profilage est lié à une prise de décision, les personnes physiques peuvent s’y opposer.

Quelles sont les exceptions autorisant le profilage ?

Il existe plusieurs exceptions permettant le profilage et la prise de décision automatisée. En effet, cela est notamment permis lorsqu’il est nécessaire à l’exécution d’un contrat. Il est également permis si la personne concernée donne explicitement son consentement.

Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) est une directive européenne qui a pour but de fixer les conditions dans lesquelles sont collectées, conservées et exploitées des données à caractère personnel au sein de l’Union européenne. Il a été adopté en 2016 et trouve son application en France depuis 2018.

Obtenir un devis RGPDObtenir un devis RGPD

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L’ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Dernière mise à jour le 15/04/2024

S’abonner
Notification pour
guest

0 Commentaires
Le plus ancien
Le plus récent
Commentaires en ligne
Afficher tous les commentaires

Rédigé par

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L'ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Articles similaires

Le principe d’accountability RGPD
Les obligations d'une association avec le RGPD
Le RGPD pour les TPE
Rédiger une politique de confidentialité conforme au RGPD
Le RGPD et les données de santé
Le consentement explicite et positif dans le RGPD
Les sanctions en cas de non-respect du RGPD
Le droit à la portabilité des données personnelles
Le RGPD et le profilage
Se mettre en conformité au RGPD en quelques étapes