Le profilage des données : ce que prévoit le RGPD ?

Le profilage des données, technique permettant le traitement des données personnelles de manière automatisée, représente un véritable enjeu stratégique pour les organismes privés ou publics et les entreprises dont le résultat en dépend. Depuis le 25 mai 2018 et l’entrée en vigueur du nouveau Règlement européen général sur la protection des données, le RGPD, les règles concernant le traitement des données personnelles ont été profondément modifiées. Le profilage fait donc désormais l’objet d’un strict encadrement qu’il convient de respecter sous peine d’importantes sanctions financières.

Le profilage tel que le défini le RGPD

Le profilage permet à une entreprise, grâce aux informations collectées en amont, de proposer aux consommateurs un contenu pertinent en fonction de son profil. Cette notion de profilage est désormais strictement encadrée par l’article 4 du Règlement européen général sur la protection des données, qui défini le profilage comme une «forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

Le profilage tel que le défini le RGPD regroupe donc de nombreuses activités exploitées par des domaines variés, par exemple la détection de fraudes ou bien le marketing comportemental.

Le profilage encadré par le RGPD

Le profilage encadré par le RGPD doit désormais être assorti de mesures adéquates afin d’informer spécifiquement la personne concernée. Le profilage automatisé tel que l’entend le RGPD doit également prévoir une intervention humaine permettant à la personne d’exprimer son point de vue et d’obtenir une explication suite aux décisions prises à l’issue de ce type d’évaluation, et le cas échéant de pouvoir les contester.

En outre, le profilage, désormais encadré par le RGPD, n’est pas autorisé en matière de traitement des données sensibles, telles que celles relatives à la race, les opinions politiques ou religieuses ou encore la santé et l’orientation sexuelle. Une cartographie des données apparaît donc comme indispensable, afin d’analyser les informations demandées et d’en exclure celles dites “sensibles”. Des logiciels, comme ceux présentés sur le site https://donnees-rgpd.fr/, se révèlent particulièrement efficaces en la matière. Certaines offres de service permettent en effet d’analyser l’ensemble des données collectées par une entreprise et d’accompagner cette dernière dans son processus de mise en conformité avec le RGPD.

Pour finir, la personne concernée par le profilage doit être clairement informée de l’existence d’une prise de décision automatisée. L’article 22 du RGPD prévoit également que le responsable du traitement des informations recueillies de manière automatisée soit en mesure d’expliquer la logique de l'algorithme à la personne, ainsi que les conséquences potentielles des résultats la concernant.