Cnil : profilage, décision automatisée et RGPD

La Cnil a mis sur son site, le 29 mai un article de synthèse intitulé "Profilage et décision entièrement automatisée".

Le RGPD a en effet pris des dispositions spécifiques concernant le profilage et les décisions individuelles automatisées (article 22).

Rappelons que le profilage, aux termes de l'article 4 du règlement (Définitions) se définit comme "toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique" (art. 4, 4).

Quant à la décision automatisée, elle est précisée dans l'article 22, 1 lui-même : "décision fondée exclusivement sur un traitement automatisé".

En d'autres termes ce qui est encadré et peut faire l'objet d'un droit d'opposition de la personne concernée, ce qui est visé dans ce texte, ce sont :

  • Les cas où l'on observe et recueille des données sur les comportements d'une personne, par exemple à l'aide de cookies sur internet, et qu'on en tire des déductions sur ses habitudes, ses pratiques ou toute autre information permettant d'établir le profil de cette personne, profil commercial ou autre.
  • Les cas où les personnes se voient associées à une action, quelle qu'elle soit sur la base d'un traitement uniquement automatique. C'est par exemple le nombre de points sur une carte de fidélité qui ouvre automatiquement des droits à ristourne, c'est le cas de la personne qui s'inscrit à une veille thématique sur les alertes de Google : toutes les fois où les occurrences désignées par l'inscrit apparaissent il est alerté par courriel.

Un nouvel article didactique de la Cnil

La Cnil publie donc un texte qui explique les règles en vigueur aux termes du RGPD.

Citons l'introduction :
"La collecte et l’analyse de l’activité des personnes, par exemple sur Internet, les réseaux sociaux ou les sites marchands, permettent de construire des profils pour mieux cerner leur personnalité, leurs habitudes d'achat ou leur comportement. Ces processus sont toutefois susceptibles d’aboutir à des analyses et prédictions inexactes, voire à des refus de services injustifiés ou à d’autres décisions défavorables aux personnes, de perpétuer des stéréotypes et d’enfermer des personnes dans leurs choix. Le RGPD vise à limiter ces risques, en prévoyant des obligations adaptées pour les organismes recourant au profilage et des droits spécifiques pour les personnes à l’égard de tels traitements."

S'ensuivent quelques paragraphes didactiques aux intitulés suivants :

  • Qu’est-ce que le profilage ?
  • Qu’est-ce qu’une décision entièrement automatisée ?
  • Quelles catégories de décisions sont concernées ?
  • Quels liens entre profilage et décision automatisée ?
  • Quelles règles applicables à ces traitements ?
  • Toutes les décisions entièrement automatisées sont-elles interdites ?
  • Quelles mesures doivent être prises dans le cadre d’une prise de décision entièrement automatisée ?

Des sanctions fortes qui réveillent les entreprises

Rappelons que tout d'un coup, le RGPD a rendu fébrile plus d'un dirigeant qui découvre avec quelque inquiétude que le Règlement prévoit des "amendes administratives" pouvant aller de 10 à 20 millions d'euros et de 2 à 4% du chiffre d'affaires mondial de l'entreprise en cas de non-respect des textes.

Comme nous confiait la Cil d'une grande entreprise, s'amusant autant que nous de cette agitation : "C'est pas comme si on avait eu 2 ans pour se préparer"...

En savoir plus

Il n'est jamais trop tard pour prendre connaissance du RGPD lui-même, sur EUR-Lex :
http://eur-lex.europa.eu/legal-content/FR/ALL/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FRA

Lire l'article de la Cnil :
https://www.cnil.fr/fr/profilage-et-decision-entierement-automatisee

Toutes nos actualités sur le RGPD.

Didier FROCHOT