5

La question du profilage

< Rapport d'information >

La définition du profilage dans le règlement du 27 avril 2016

L’article 4 du règlement définit le profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

Le profilage faisait déjà l’objet d’un encadrement par la directive 95/46 (article 15 relatif aux « décisions individuelles automatisées »).

L’article 22, paragraphe 1, dispose que « la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. » Le considérant 71 cite comme exemples de telles décisions le rejet automatique d’une demande de crédit en ligne ou les pratiques de recrutement en ligne sans aucune intervention humaine.

Cette disposition ne s’appliquera pas si la décision est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement, si elle est autorisée par le droit de l’Union ou le droit de l’État membre ou si elle se fonde sur le consentement explicite de la personne concernée. Par rapport à la directive 95/46, le règlement ajoute le consentement explicite comme fondement du profilage.

Lorsque la décision pourra être fondée sur le profilage, le responsable de traitement devra mettre en place, en application de l’article 22, paragraphe 3, « des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision. » L’encadrement du profilage est précisé car la directive 95/46 ne faisait référence qu’à « des mesures appropriées, telles que la possibilité de faire valoir son point de vue, garantissant la sauvegarde de son intérêt légitime » (45).

Le règlement prévoit par ailleurs une information spécifique : les personnes concernées devront être informées de l’existence du profilage et disposer d’informations sur la « logique sous-jacente, ainsi que l’importance et les conséquences prévues » du traitement (article 14, paragraphe 2). Les représentants de la Commission européenne rencontrés par vos rapporteurs leur ont précisé qu’il ne s’agissait pas de la communication des algorithmes eux-mêmes, ceux-ci étant protégés en tant que secrets commerciaux.

Enfin, en application de l’article 35, paragraphe 3, une analyse d’impact devra être réalisée par le responsable de traitement lorsque des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire seront fondées sur le profilage.

< Rapport d'information >