Les impacts du RGPD sur le profilage

Le Règlement général sur la protection des données (RGPD) accorde une place particulière au profilage. À l’heure du Big Data, de l’ultra-personnalisation des services et des algorithmes, ses dispositions soulèvent de nombreuses interrogations de la part des responsables susceptibles d’avoir recours à ce type de traitements. C’est tout particulièrement vrai dans le secteur financier : ces traitements sont inhérents et nécessaires à l’activité de gestion des comptes et d’octroi de crédit, qu’il s’agisse d’analyser la solvabilité d’une personne, de procéder à une opération de segmentation marketing pour proposer un nouveau produit ou service ou d’évaluer la qualité des encours dans le cadre de la réglementation bâloise.

Les dispositions du règlement européen ne sont pourtant pas nouvelles et s’il est possible d’apporter certaines pistes de réflexion, la complexité de l’articulation des dispositions du RGPD entre elles appelle de nos vœux une clarification de la part des autorités de contrôle.

Un « nouveau » droit des personnes concernées

Le RGPD définit le profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire son rendement au travail, sa situation économique, sa santé, ses préférences personnelles, ses intérêts, sa fiabilité, son comportement, sa localisation ou ses déplacements ». Cette définition apparaît particulièrement large et susceptible d’englober différentes opérations d’analyse et de segmentation visant à prédire le comportement ou la situation future d’une personne concernée, souvent sur la base d’analyses statistiques.

Si le RGPD définit le profilage alors que la Directive 95/46/CE était muette sur ce point, il faut souligner que le profilage ne fait pas en soit l’objet d’une réglementation spécifique ; seule l’application du profilage à un individu dans le cadre d’une décision automatisée fait l’objet de règles particulières et donne lieu à un droit, celui de ne pas faire l’objet d’une décision exclusivement fondée sur un traitement automatisé.

La Directive 95/46/CE prévoyait déjà des dispositions équivalentes. Son article 15 dispose : « Les États membres reconnaissent à toute personne le droit de ne pas être soumise à une décision produisant des effets juridiques à son égard ou l’affectant de manière significative, prise sur le seul fondement d’un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité, tels que son rendement professionnel, son crédit, sa fiabilité, son comportement, etc. »

En elles-mêmes, les dispositions figurant à l’article 22 du RGPD et que nous allons examiner ne sont donc pas nouvelles, la nouveauté résidant plutôt dans le support juridique utilisé : un règlement qui permettra de corriger les problèmes de transposition inhérents au vecteur de la directive et notamment illustrés en France. En effet, alors qu’en 1995, le législateur européen avait souhaité inclure ces dispositions dans la partie relative aux droits des personnes concernées, le législateur français, lors de leur transposition dans le cadre de la loi du 6 août 2004, les avait quant à lui introduites à l’article 10 de la loi du 6 janvier 1978 [1] , dans le chapitre II dédié aux conditions de licéïté des traitements de données à caractère personnel. La loi actuelle ne fait donc pas strictement référence à un droit de ne pas être soumis à une décision automatisée, mais prévoyait déjà des garanties illustrées par la Commission nationale de l’informatique et des libertés (CNIL), notamment dans le cadre de l’autorisation unique AU 005 [2] qui dispose que « les décisions relatives notamment à la conclusion d’un contrat ne sont pas regardées comme prises sur le seul fondement d’un traitement automatisé, si, et seulement si, les personnes concernées ont été mises en mesure de présenter leurs observations ».

À l’égard de certaines décisions automatisées

L’article 22 précise que « la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».

Cette disposition ne s’applique pas lorsque la décision est :

• nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable de traitement ou ;
• autorisée par le droit de l’Union ou de droit de l’État membre auquel le responsable de traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ou ;
• fondée sur le consentement explicite de la personne concernée.

L’article 15 de la directive prévoyait déjà les deux premières exceptions dans des termes relativement similaires ; seul le consentement de la personne concernée apparaît donc comme une nouveauté.

Le RGPD réaffirme donc au bénéfice des personnes concernées le droit de ne pas être soumis à certaines décisions automatisées : celles produisant des effets juridiques concernant des personnes physiques ou les affectant de manière similaire. Dès lors, toute mesure de profilage n’est pas interdite ou soumise au consentement de l’intéressé : tout dépend de la finalité de la prise de décision et de son impact potentiel pour l’individu.

Le RGPD ne définit pas ce qu’il faut comprendre par « produisant des effets juridiques » ou « affectant la personne de manière significative ». Les considérants, notamment le 71, donnent des exemples de décisions produisant des effets juridiques, notamment « le rejet automatique d’une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention humaine ». La notion de décision produisant des effets juridiques à l’encontre des personnes concernées pourrait donc être interprétée comme une décision ayant pour conséquence d’entrainer l’exclusion du bénéfice d’un droit ou d’un contrat. La notion de décision affectant les individus de manière significative de façon similaire devrait donc produire le même type d’effets.

Quid des traitements mis en œuvre dans le secteur financier ?

Les traitements de profilage sont notamment utilisés pour lutter contre la fraude, évaluer les risques en matière d’octroi de crédit, de lutte contre le blanchiment et le financement du terrorisme ou d’évaluation du niveau de fonds propres réglementaire dans le cadre des accords de Bâle et des obligations prudentielles. Ces traitements sont nécessaires à l’évaluation de la solvabilité de l’emprunteur et au respect de dispositions légales et réglementaires auxquelles sont soumis les établissements de crédit. Ils apparaissent donc nécessaires à la conclusion ou à l’exécution d’un contrat entre la personne concernée et l’établissement financier ou au respect de dispositions légales. Ils pourraient, dès lors, relever des exceptions mentionnées plus haut et ne nécessiteraient pas le recueil du consentement explicite des personnes concernées.

La question se complique cependant en ce qui concerne les opérations de marketing. En effet, les traitements de segmentation marketing conduisant à l’affectation d’un profil à la personne concernée, en fonction de données collectées parfois sur la base de différentes sources et visant à lui proposer de nouveaux produits ou services. Ces traitements ne sont pas strictement nécessaires à l’exécution du contrat ni de nature à permettre le respect d’une obligation légale. Or ils sont fréquents et il apparaît parfaitement légitime, pour un responsable de traitement, de procéder à des opérations de prospection (comme l’indique le considérant 47).

Dès lors, c’est sous l’angle de l’impact pour les personnes concernées qu’il semble pertinent d’examiner ces opérations de profilage. Quel serait l’impact d’une opération de profilage conduisant à l’envoi d’une sollicitation commerciale par courrier électronique ? La réception d’une prospection commerciale ne semble pas de nature à exclure une personne du bénéfice d’un droit ou d’un contrat [3] . En outre, quelle serait la conséquence d’une décision d’affectation d’un individu à un segment non pertinent ? Si l’objet de cette segmentation est uniquement de lui proposer un produit ou un service qui serait accessible par ailleurs (par exemple, en se rendant directement sur le site Internet de l’établissement), l’impact et les conséquences de ce profilage apparaissent faibles et, en tout état de cause, comme n’étant pas de nature à priver la personne concernée du bénéfice d’un droit ou d’un contrat. Dès lors, cette catégorie de décision automatique ne semble pas relever des dispositions de l’article 22 du RGPD. La personne ne bénéficierait donc pas de ce droit, mais d’un droit d’opposition au titre de l’article 21. À noter que l’analyse pourrait être différente si le produit ou service était uniquement destiné à un segment de clients identifié sur la base d’un profilage et non accessible aux autres.

Les garanties à mettre en place

Dans l’hypothèse où il s’agirait d’une décision automatisée rentrant dans le champ d’application de l’article 22, les personnes devront être informées spécifiquement, conformément aux dispositions des articles 13 et 14. Ces derniers précisent en effet que la personne doit être informée de « l’existence d’une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée ». Délivrer cette information en « des termes clairs et simples » [4] pourrait s’avérer complexe. La question se pose également des modalités d’information des personnes dans l’hypothèse où une mesure de profilage ne rentrerait pas dans le périmètre d’application de l’article 22. Le client doit-il en être informé ou cette information peut-elle se limiter à une information générale au titre de la finalité ? Le texte ne semble viser que les prises de décision automatisée « visée à l'article 22, paragraphes 1 et 4 » ; toutefois une clarification du Groupe de l’article 29 [5] serait opportune, afin de respecter au mieux cette obligation d’information.

A minima, dans l’hypothèse où la décision n’aurait pas d’impact juridique pour les personnes concernées, celles-ci devraient avoir la possibilité de s’opposer à la mise en œuvre de ce profilage conformément aux dispositions de l’article 21. Un droit d’opposition spécifique au profilage pourrait donc être prévu indépendamment de celui relatif à la prospection commerciale et le client pourrait donc choisir de recevoir de la publicité par mail, sans pour autant qu’il s’agisse de publicité personnalisée. Offrir deux droits d’opposition distincts pourrait cependant s’avérer particulièrement complexe à mettre en œuvre et à gérer de manière effective dans les systèmes d’information.

Enfin, le responsable de traitement devra :

• utiliser des procédures mathématiques ou statistiques adéquates aux fins du profilage ;
• appliquer les mesures techniques et organisationnelles appropriées pour faire en sorte, en particulier que les facteurs qui entraînent des erreurs dans les données à caractère personnel soient corrigés et que le risque d'erreur soit réduit au minimum ;
• sécuriser les données à caractère personnel d'une manière qui tienne compte des risques susceptibles de peser sur les intérêts et les droits de la personne concernée et qui prévienne, entre autres, les effets discriminatoires à l'égard des personnes physiques.

La mise en œuvre de ces traitements pourrait également nécessiter la réalisation d’une étude d’impact, conformément aux dispositions de l’article 35 du règlement.

Le Groupe de l’article 29 a d’ores et déjà annoncé des lignes directrices relatives au profilage, qui devraient être publiées avant la fin de l’année. Au vu de la complexité des questions soulevées, en particulier pour les établissements financiers, il faut espérer que ces Guidelines permettront d’identifier clairement les situations relevant des dispositions de l’article 22 et les autres.