[Données personnelles]

Lignes directrices relatives aux décisions individuelles automatisées et au profilage - Groupe de travail du G29, 3 octobre 2017

Le groupe de travail réunissant les autorités européennes de protection des données à caractère personnel (« G29 ») a publié, en octobre 2017, ses lignes directrices relatives aux décisions individuelles automatisées et au profilage. A quelques mois de l’entrée en vigueur du règlement, ces lignes directrices fournissent des éclaircissements attendus.

Rappelons que le RGPD a spécifiquement défini le profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire » des éléments la concernant. Cette définition particulièrement large a logiquement fait naître beaucoup d’interrogations, d’autant qu’elle contraste avec le nombre limité de dispositions du RGPD (hors les « considérant ») visant spécifiquement le profilage :

  • L’article 22 affirme le droit de toute personne concernée à s’opposer à « une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire », ce principe étant assorti d’une série limitée d’exceptions dont celle du « consentement explicite » ;
  • L’article 35.3 affirme le caractère obligatoire d’une analyse d’impact lorsque le traitement implique une évaluation systématique et approfondie reposant sur le profilage et qu’il donne lieu à une décision automatisée répondant à la définition de l’article 22 ;
  • L’article 47.2 e) relatif aux BCR (« binding corporate rules ») impose aux entreprises qui utilisent ces BCR de fournir une information spécifique sur le droit d’opposition des personnes concernant les traitements impliquant une décision automatisée « y compris le profilage ».
  • Le G29 vient d’abord clarifier le fait que si les notions de « profilage » et de « décision exclusivement automatisée » sont souvent liées, elles ne doivent pas être confondues. Le G29 souligne ainsi qu’il existe trois grands domaines d’application du profilage :
    • Le profilage au sens large ou dit « général » qui suppose l’existence d’un traitement automatisé aux fins d’évaluer, d’analyser ou de prédire des comportements ou des caractéristiques d’une personne physique ;
    • Le profilage utilisé pour prendre une décision à l’égard des personnes concernées ;
    • Les décisions « exclusivement » fondées sur un traitement automatisé y compris le profilage et qui, elles, sont susceptibles d’entrer dans le champ d’application du régime spécifique fixé à l’article 22, à condition qu’elles produisent des effets juridiques pour les personnes concernées ou qu’elles les affectent de manière significative de manière similaire.

Pour le G29, seule la troisième catégorie peut se voir appliquer les dispositions de l’article 22 alors que les deux premières catégories sont soumises au régime « général » de protection des données personnelles dont le G29 rappelle les principales composantes (existence d’une base juridique, loyauté et transparence du traitement, limitation des finalités, minimisation des données, etc..).

  • Le G29 souligne que les dispositions de l’article 22 posent bien (ii) un principe général de prohibition des traitements exclusivement fondés sur une décision exclusivement automatisée en ce compris le profilage dès lors que ces traitements produisent des effets juridiques pour les personnes concernées ou les affectent de manière significative (ii) et que les trois exceptions prévues par le texte doivent demeurer d’interprétation stricte, en particulier celle relative à l’existence d’un consentement explicite ou à la nécessité d’une telle décision automatisée lors de la conclusion ou de l’exécution d’un contrat avec la personne concernée. Rappelons à cet égard que « l’intérêt légitime » du responsable de traitement ne fait pas partie de ces exceptions.

Sur la notion de consentement « explicite » propre à l’article 22 mais non définie, le G29 fournit peu d’indications si ce n’est qu’il doit s’agir d’une déclaration expresse et non d’une simple action positive par opposition aux dispositions générales du RGPD sur la notion de consentement. Ce sujet sera à suivre puisque le G29 annonce de prochaines lignes directrices consacrées au consentement.

  • Mais l’un des points majeurs de discussion réside dans la condition de l’article 22 relative aux effets juridiques produits par la décision automatisée ou qui doit affecter de manière similaire et significative la personne concernée. Sur ce point, le G29 adopte une approche extensive en considérant que l’un des domaines majeurs du profilage, en l’occurrence la publicité ciblée en ligne, pourrait tomber dans certains cas dans le champ d’application de l’article 22 en raison des conséquences produites à l’égard des personnes exposées à cette publicité ; par exemple des personnes confrontées à des difficultés financières pourraient voir leurs actions influencées par l’exposition répétée à des publicités sur les paris en ligne.

Le G29 admet tout de même que dans de nombreux cas, la publicité ciblée en ligne bien que donnant lieu à une décision entièrement automatisée basée sur le profilage (qui se traduit par le fait d’exposer telle personne à telle publicité plutôt qu’à une autre) n’est pas assortie d’effets affectant les personnes de manière significative. En pratique, la position adoptée par le G29 pourrait tout de même contraindre les acteurs du secteur à mettre en place des mécanismes d’évaluation pour certains types de publicités ciblées en ligne qui pourraient exiger un consentement « explicite ».

  • Que le traitement tombe ou non dans le champ d’application de l’article 22, le G29 insiste sur le caractère essentiel de l’information des personnes, de la transparence de l’information et de son corollaire qu’est le droit d’accès. Si l’article 22 s’applique, s’ajoute à cette obligation générale d’information celle d’expliquer aux personnes concernées, en termes simples mais précis, la logique sous-tendant la décision automatisée et ses effets mais aussi leur droit intangible de contester cette décision ou d’exiger une intervention humaine.

La mise en œuvre de ces préceptes est éclairée par l’annexe 1 des lignes directrices qui fournit aux organisations des recommandations de « bonnes pratiques ». Pour avoir une vision totalement complète du paysage réglementaire applicable, il faudra néanmoins également prendre en compte futures les lignes directrices du G29 sur la notion de consentement, sans oublier la possibilité pour les Etats membres d’introduire dans leur législation des dispositions spécifiques autorisant certaines décisions entièrement automatisées.