RGPD : le profilage dans le droit et la pratique

L’évolution du numérique a largement influencé les techniques de vente des commerçants et d’analyse marketing. Les stratégies marketing et communication se veulent dorénavant digitales et se concentrent autour d’une connaissance des comportements du client toujours plus fine. Nombreuses sont aujourd’hui les entreprises qui analysent leur clientèle et leurs prospects, traduisent leurs données numériquement et adaptent leurs offres de produits ou services en fonction des besoins clients. La profusion des données à caractère personnel a permis le développement de la technique dite du « profilage ». En pratique, ce profilage va s’apparenter à un « portrait ou un profil digital » de chaque consommateur ou client, réalisé à partir de traitements automatisés. Plus généralement, lorsque l’on parle de profilage, on considère qu’il s’agit de traiter des données personnelles d’une ou de plusieurs personne(s) afin d’analyser ou prédire des éléments qui ont trait au rendement au travail, à la situation économique, au patrimoine, à la santé, aux préférences personnelles, ou encore à la localisation géographique ou aux déplacements de cette personne physique. On peut toutefois être surpris de trouver comme définitions dans le Larousse à l’entrée « profilage » : « Forme de carrosserie, étudiée pour présenter le minimum de résistance à l’avancement. En criminologie, établissement du profil psychologique d’un individu recherché (tueur en série, notamment), en fonction des indices recueillis par les services d’enquête. »
Sur le plan juridique, sa définition est pourtant moins aisée à appréhender, surtout lorsqu’il est question de l’automatisation du profilage et des décisions qui en dépendent.
La segmentation, instituée au cours des années 1980, constitue l’un des prémisses du profilage et désigne une opération de classification de la clientèle en groupes distincts plus ou moins homogènes, en segments. Il existe plusieurs types de segmentation, notamment la segmentation comportementale qui est effectuée à partir de l’analyse du comportement et des besoins des clients (historique, périodicité, caractéristiques, volumes, mode de consommation, canaux utilisés…). En 1993, à l’occasion du contrôle d’un établissement bancaire, la CNIL a déclaré que la segmentation comportementale était « une technique licite en son principe, mais elle ne doit pas aboutir à des décisions automatiques ». Cette décision fait écho aux dispositions de l’article 10, al. 2 de la loi « Informatique et liberté » selon lesquelles aucune « décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité » [1] . Une telle rédaction a permis de délimiter le périmètre des traitements fondés sur un profilage licite. Il en résulte qu’une décision produisant un effet juridique ne peut reposer uniquement sur une machine ou un robot, mais qu’elle nécessite l’intervention d’un être humain. Tel est le cas dans l’hypothèse de profilage comme le scoring [2] . De plus, l’article 39 de cette même loi prévoit que la personne concernée a le droit d’interroger le responsable de traitement afin d’accéder « aux informations permettant de connaître et de contester la logique », sous réserve du respect du droit des tiers. Le profilage nécessite soit une intervention humaine dans la prise de décision, soit la possibilité pour la personne qui est concernée de communiquer ses observations [3] .
Une première définition du profilage a été établie par la recommandation CM/Rec(2010)13 du Comité des ministres du Conseil de l’Europe, en tant que « Technique de traitement automatisé des données qui consiste à appliquer un “profil” à une personne physique, notamment afin de prendre des décisions à son sujet ou d’analyser ou de prévoir des préférences, comportements et attitudes personnels » [4] . Par ailleurs, toujours selon le Conseil de l’Europe, « le terme “profil” désigne un ensemble de données qui caractérise une catégorie d’individus et qui est destiné à être appliqué à un individu » (art. 1-d de l’annexe).
L’article 4, § 4, du Règlement européen (ci-après RGPD) [5] dresse une définition assez similaire du profilage, comme étant « toute forme de traitement automatisé de données personnelles consistant en l’utilisation de données personnelles pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique » [6] . Il résulte de cette définition que le caractère prédictif n’est pas un prérequis comme condition inhérente à la qualification du profilage, mais constitue bien une simple alternative [7] . Cette définition semble relativement large, sans doute dans l’objectif de rassembler sous cette appellation un nombre important de dispositifs.
Inspiré par la recommandation du Comité des ministres du Conseil de l’ Europe [8] , le G29 vient apporter quelques précisions en posant trois critères de qualification, à savoir : un traitement automatisé, effectué sur des données personnelles et ayant pour objectif d’évaluer les aspects personnels d’une personne physique [9] .
Bien qu’il puisse s’agir d’un critère d’orientation stratégique pour les entreprises, le profilage peut s’avérer particulièrement dangereux pour les consommateurs et les individus, dans la mesure où ces derniers peuvent se voir appliquer une décision avec des effets juridiques, uniquement sur la base des données personnelles qu’ils engendrent. Le RGPD est venu limiter l’utilisation des données personnelles en imposant le respect de plusieurs principes de protection ayant trait au respect de la finalité des traitements, à la proportionnalité des données par rapport aux finalités poursuivies et à leur sécurité. Il a pour objectif de permettre à la personne concernée de garder la main sur ses données.
C’est ainsi que l’encadrement avec de nouvelles garanties appropriées, afin d’en éviter les conséquences négatives pour la personne concernée, aura été un enjeu important lors de l’élaboration du RGPD. Au sein de l’article 22 du RGPD, il est prévu un principe d’interdiction, tempéré par des exceptions (I.), certes nombreuses mais dont l’étendue peut être sujette à interprétations et conduire à des nombreuses incertitudes (II.).

I. LE CADRE JURIDIQUE FIXE PAR LE RGPD

Définir le cadre juridique du profilage n’est pas chose aisée. Il est cependant possible de l’appréhender à l’aune de deux principales limites posées par le RPGD [10] , l’une résidant dans l’encadrement même du profilage par le principe d’interdiction, assorti d’exceptions (1.), et l’autre ayant trait à l’exercice du droit des personnes (2.).
 

1. Les limites posées par l’encadrement du profilage

Selon les lignes directrices du Groupe de l’article 29 (G29), [11] il est possible de distinguer trois catégories d’application du profilage. Tout d’abord, le profilage au sens large qui suppose l’existence d’un traitement automatisé aux fins d’évaluation, d’analyse ou de prédiction des comportements ou des caractéristiques d’une personne physique. Ensuite, le profilage utilisé pour prendre une décision à l’égard des personnes concernées. Enfin les décisions exclusivement fondées sur un traitement automatisé y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. Cette dernière catégorie est susceptible d’entrer dans le champ d’application posé par le RGPD.
L’article 22 du RGPD s’intitule « Décision individuelle automatisée, y compris le profilage », ce qui positionne le curseur sur l’objet principal à traiter : la décision individuelle automatisée. Ainsi, les dispositions prévues à cet article 22 ont été établies en vue de répondre aux difficultés d’interprétation, en consacrant un principe d’interdiction du profilage lorsqu’il repose exclusivement sur un traitement automatisé impliquant une prise de décision automatisée, qui produit des effets juridiques sur la personne concernée, ou qui l’affecte de manière significative. Ces conditions sont évidemment cumulatives. Il résulte de cette rédaction que toutes les formes de profilage n’entrent pas dans le champ de cette prohibition. En effet, a contrario, est autorisé le profilage non associé à une prise de décision automatisée. De même, le processus de décisions non automatisées, reposant sur une intervention humaine, est autorisé. Dans ces hypothèses, le consentement de la personne concernée n’est pas requis, il suffira à l’entreprise de se conformer aux dispositions prévues par le RGPD (notamment aux articles 13 et 14).
Il ne faut pas confondre profilage et prise de décision automatisée. Précisons en cet endroit qu’aucune définition de la notion de prise de décision automatique n’est prévue par le RGPD. Le considérant 71 vient cependant apporter quelques réponses, « la personne concernée devrait avoir le droit de ne pas faire l’objet d’une décision, qui peut comprendre une mesure, impliquant l’évaluation de certains aspects personnels la concernant, qui est prise sur le seul fondement d’un traitement automatisé et qui produit des effets juridiques la concernant ou qui, de façon similaire, l’affecte de manière significative, tels que le rejet automatique d’une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention humaine ». Dans ce cas, le traitement doit être entièrement automatisé. Tel sera le cas par exemple de la décision prise par un algorithme sans aucune intervention humaine. La décision peut découler d’un profilage, mais pas obligatoirement car elle peut être prise sans qu’un profil préexiste.
Trois exceptions à ce principe d’interdiction sont prévues aux paragraphes suivants de l’article 22 du RGPD [12] . La première reprend les deux bases légales spécifiques déjà envisagées dans la directive 95/46, concernant les décisions nécessaires à la conclusion ou à l’exécution d’un contrat entre la personne concernée et le responsable de traitement. Cependant, il convient de garder à l’esprit que le profilage devra constituer le moyen le plus approprié pour atteindre la finalité poursuivie par le traitement.
La deuxième exception réside dans le consentement explicite de la personne concernée pour fonder le traitement. Dans ces deux cas, le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.
La troisième, et dernière exception, concerne la décision autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée. Le G29 considère que ces exceptions doivent rester d’interprétation stricte.
Ainsi, le profilage à des fins de marketing pourra être autorisé lorsque les principes de licéité sont respectés, à savoir que la personne en est spécifiquement informée et qu’elle peut à tout moment s’y opposer (articles 21 du RGPD). Ajoutons que les décisions individuelles fondées sur un traitement automatisé ne peuvent pas, sauf exceptions, s’appuyer sur des catégories particulières de données à caractère personnel, à savoir les données sensibles.
Cependant, dans le projet de loi Informatique et Libertés 3, l’article 10 de la loi a été modifié en ce qui concerne les décisions administratives individuelles comme suit : « 2° Des décisions administratives individuelles prises dans le respect de l’article L. 311-3-1 et du chapitre Ier du livre IV du code des relations entre le public et l’administration, à condition que le traitement ne porte pas sur des données mentionnées au I de l’article 8 de la présente loi ». 2° Le dernier alinéa est ainsi rédigé : « Pour les décisions administratives individuelles mentionnées au deuxième alinéa du présent article, le responsable de traitement s’assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard. »
La base légale du traitement peut également constituer un vecteur de sa licéité. En effet, le profilage sera autorisé lorsqu’il est fondé sur le respect d’une obligation légale. Tel sera le cas en matière bancaire et plus particulièrement lorsque le profilage aura pour finalité le credit scoring ou la lutte antiblanchiment ou la lutte contre la fraude [13] . En matière de paiement, l’article L. 521-6 du CMF dispose très clairement : « Les systèmes de paiement et les prestataires de services de paiement peuvent mettre en œuvre des traitements de données à caractère personnel lorsque cela est nécessaire pour garantir la prévention, la recherche et la détection des fraudes en matière de paiements dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et le règlement (CE) 45/2001 du Parlement européen et du Conseil ».
À cet égard, il convient de préciser que la CNIL adopte une vision relativement souple et tranche en faveur de la protection des droits de propriété intellectuelle en se fondant sur l’exception prévue par la loi de 1978 (Les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d’auteur au sens des dispositions du livre Ier et du titre IV du livre III du Code de la propriété intellectuelle) [14] et pourquoi pas en vertu du secret des affaires [15] . Les banques mettant en œuvre un dispositif de scoring n’ont pas à communiquer le modèle de score, ni les formules mathématiques utilisées et peuvent se contenter de répondre que leur savoir-faire est protégé par le droit d’auteur.
De même, le profilage sera autorisé lorsqu’il est fondé juridiquement sur un intérêt légitime, dès lors qu’il est réalisé à des fins de marketing, ayant pour objectif la mise en œuvre de publicités ciblées [16] . Dans cette hypothèse, le consentement de la personne concernée sera requis avant tout envoi de publicité électronique.
En tout état de cause, le profilage devra nécessairement être conforme aux dispositions relatives aux articles 13 et 14 du RGPD. De plus, les personnes concernées doivent être informées de l’existence d’un tel traitement à leur encontre et des modalités d’exercice de leurs droits.
 

2. Les limites posées par l’articulation avec la protection des personnes

Le RGPD vient imposer un certain nombre d’obligations à la charge des responsables de traitement mettant en œuvre des dispositifs de profilage. Les droits des personnes ont fait l’objet d’un renforcement conséquent, notamment en ce qui concerne le profilage. Ainsi, la personne concernée bénéficie désormais d’un certain nombre de droits, à exercer d’une part, auprès du responsable de traitement qui crée le profil, et d’autre part, auprès de celui qui prend une décision automatique sur la base de ce profil.
La personne concernée doit être informée de l’existence de la prise de décision automatisée et, le cas échéant, du profilage, de la logique sous-jacente, ainsi que des conséquences du traitement réalisé (article 13 1. f) du RGPD). L’obligation de transparence incombant au responsable de traitement est donc renforcée. Le G29 conforte ce principe en estimant que l’information à l’égard du profilage doit être complète.
Le droit d’accès concerne lui aussi le profilage (article 15 du RGPD). Il est reconnu aux personnes concernées par un traitement et s’exerce auprès du responsable du traitement. Il s’agissait dans la loi initiale d’un accès aux « informations permettant de connaître et de contester la logique qui sous-entend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé » [17] . Dans le cadre de son exercice du droit d’accès, la personne concernée pourra avoir connaissance du segment dans lequel elle se trouve classée et sa signification, mais aussi les finalités du traitement, les catégories de données, les destinataires de ces données, etc. Le secret des affaires ou l’intérêt économique et commercial de l’entreprise ne pourront être invoqués dans le but de s’opposer à ce droit.
Le droit d’opposition constitue l’un des piliers de la réglementation du profilage. L’article 21 du RGPD précise en effet que « La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions ». Ainsi, lorsqu’une mesure de profilage est fondée sur l’exécution d’une mission d’intérêt public ou sur l’intérêt légitime poursuivi par le responsable du traitement, la personne concernée, faisant l’objet de ce profilage, pourra s’y opposer. Toutefois, il convient de préciser que ce droit d’opposition n’aboutira « que pour des raisons tenant à sa situation particulière », ce qui peut être source d’incertitude pour les personnes concernées ainsi que pour les entreprises en l’absence de critères plus précis.
Ainsi, tous les types de profilage ne se voient pas appliquer l’exercice du droit des personnes de la même manière.
 

II. LE TEMPS DES INCERTITUDES

En tentant de clarifier la situation, le RGPD a créé un certain flou, laissant place à de nombreuses interprétations (1.), et ce, malgré les précisions apportées par le G29 dans ses lignes directrices (2.).
 

1. Le vide laissé par le RGPD

Un grand nombre d’instabilités est lié aux définitions, voire à l’absence de définitions, du profilage. La définition prévue par l’article 4, al. 4, du RGPD nous semble relativement obscure et constitue sans aucun doute une source d’inquiétudes. L’adoption du RGPD ne règle qu’en partie les problèmes liés à ce dispositif et en crée de nouveaux.
Tout d’abord, la notion d’intervention humaine est quelque peu discutable en ce que, aucun critère n’est offert afin d’apprécier la latitude de cette intervention. L’intervention humaine doit avoir une véritable incidence sur la prise de décision et être réalisée par une personne qui a autorité ou compétence pour changer la décision automatisée. Le critère de l’intervention humaine sur la chaîne de traitement permet de distinguer les profilages interdits de ceux qui, bien qu’autorisés, devront faire l’objet de mesures singulières notamment en ce qui concerne le droit des personnes. Or, la CNIL s’est souvent satisfaite de « la seule existence d’un réexamen humain des refus prononcés sur le fondement d’un traitement en se préoccupant finalement peu des résultats concrets de celui-ci ». [18] Ainsi, il demeure des cas de profilage autorisés, où l’intervention humaine est insignifiante ou n’a pas d’impact sur le résultat final du profilage. Seulement, il s’agit là d’une appréciation au cas par cas, il est impossible d’en dégager un ou plusieurs seuil(s) de référence.
En outre, il convient de souligner que le principe de prohibition de l’article 22 repose sur la production « d’un effet juridique pour la personne concernée ou des effets similaires l’affectant de manière significative ». Quand bien même la référence aux effets juridiques peut être aisément compréhensible, le renvoi aux effets similaires demeure quant à lui relativement obscur et mériterait davantage de précisions. Alors que la similarité peut renvoyer à un principe d’équivalence, « la question reste le degré d’incidence que doit avoir la décision dès lors qu’il peut exister un tel effet même si aucun changement n’en résulte pour les droits et obligations des personnes concernées » [19] . Le G29 tente de répondre en partie à ces incertitudes par trois conditions : la décision doit affecter significativement les comportements ou les choix des personnes concernées, avoir un impact permanent ou prolongé sur la personne concernée, et générer une exclusion ou une discrimination à son encontre. Malgré cette tentative de réponse, des incertitudes persistent toujours, puisque tout est affaire de gradation, il est quasiment impossible d’en définir un seuil applicable.
Les exemples ne sont pas plus éclairants, notamment concernant la publicité ciblée qui repose, comme le précise Mme Nathalie Martial-Braz, « dans la plupart des hypothèses sur une segmentation des profils réalisée sur la base de traitements entièrement automatisés et nourris le plus souvent à l’aide de données personnelles diverses et croisées dont certaines résultent de témoins de connexion de type cookies ou autres » [20] . Il n’y a pas nécessairement d’effet sur les droits ou obligations de la personne concernée. Le G29 s’est efforcé d’apporter quelques précisions, en préconisant une approche in concreto, ayant trait au caractère intrusif du profilage. L’utilisation de la connaissance de la vulnérabilité peut conduire à des abus et se matérialise par les attentes et souhaits de la personne concernée, la façon dont la publicité est délivrée ou encore la vulnérabilité particulière de la personne ciblée par la publicité [21] . Face à cette vulnérabilité, la publicité ciblée pourrait être susceptible d’affecter de manière significative les personnes concernées, et entrerait donc dans le champ d’interdiction posé à l’article 22 du RGPD. Le G29 préconise une analyse au cas par cas, puisque les impacts peuvent être différents selon les personnes concernées. Là encore, il demeure de nombreuses interrogations qui n’ont pas été traitées ni par le RGPD, ni par le G29.

2. Une pratique peu éclairante

Quelques réponses, se matérialisant en limites, ont cependant été données par la CNIL à l’occasion d’un contrôle des traitements réalisés par admission post-bac APB. Ce contrôle a abouti à une mise de demeure le 30 août 2017 [22] . L’autorité administrative a considéré que le traitement allait à l’encontre du principe selon lequel une prise de décision ayant des effets juridiques ne peut être fondée sur le seul traitement automatisé de données. Ainsi, il aurait sans doute fallu mettre en œuvre un dispositif de réexamen humain. Dans le cas d’espèce, ce réexamen aurait été purement formel puisqu’il n’y a généralement pas de places à proposer aux recalés d’APB. La seule issue étant la mise en œuvre d’autres modalités de sélection [23] .
En outre, le profilage est étroitement lié avec la notion d’algorithme, qui ne trouve pas de définition juridique. Il peut être cependant présenté comme étant « un ensemble de règles opératoires dont l’application permet de résoudre un problème énoncé au moyen d’un nombre fini d’opérations. Un algorithme peut être traduit, grâce à un langage de programmation, en un programme exécutable par un ordinateur ». [24] L’algorithme est « un code informatique dépouillé de toute identité » [25] . Ainsi, l’algorithme élabore des modèles de comportements. La CNIL a par ailleurs souligné que les algorithmes sont présents dans tous les domaines : « résultats de requêtes sur un moteur de recherche, fils d’actualité sur les réseaux sociaux, recommandations personnalisées sur des sites de e-commerce, pilotage automatique d’avions, ordres financiers passés par des robots sur les marchés, diagnostics médicaux automatiques ». [26] Néanmoins, gardons à l’esprit que les algorithmes se nourrissent de données sans cohérence les unes avec les autres afin d’en tirer des résultats non prédictibles par l’humain, et dont la logique n’est pas immédiatement accessible. Il s’avère que plus le nombre de données est élevé, plus le résultat sera pertinent, ce qui va se situer en contradiction avec le RGPD et son principe de minimisation des données. [27]
Dans la pratique, on assiste à un renforcement positif de l’opt-in. Ce procédé consiste à permettre à un individu de donner son consentement préalable avant de pouvoir être la cible d’une quelconque prospection. L’opt-in suppose par conséquent l’information et le recueil du consentement libre, spécifique et éclairé de la personne visée. Néanmoins, le régime juridique et la licéité de bon nombre de pratiques demeurent encore incertains. Tel est le cas des cookies, pratique essentielle pour appliquer les règles du consentement au profilage sur l’Internet.
Précisons que les sanctions prévues par le RGPD ne sont pas des moindres, puisqu’elles s’élèvent à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel. Ces dernières peuvent être infligées en cas de violation des principes relatifs aux droits de personnes. Les entreprises doivent se montrer particulièrement vigilantes lorsqu’elles décident de mettre en place des procédés de profilage. Conformément aux dispositions de l’article 35-3. a), une analyse d’impact devra être menée systématiquement pour « l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ». Cette obligation semble concerner à la fois l’article 22 mais aussi toutes sortes de profilage.
« La profusion de données personnelles va de pair avec le développement du profilage, c’est-à-dire, concrètement, l’établissement du “profil” d’une personne à partir de la réalisation de traitements automatisés sur ses données [28] ». Dès lors, l’ensemble des incertitudes en la matière laissera sans doute place à une plus grande créativité juridique, mais ces pratiques ne seront pas exemptes de risque. Toutefois, certaines réponses devraient se préciser dans les années à venir et notamment grâce à la pratique et au travail des régulateurs.

1 Article 10, al. 2, modifié par la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. V. Anne Debet, Jean Massot, Nathalie Metallinos, Informatique et Libertés, Lextenso, 2015, v. n° 846 s. 2 V. AU-005 relative à certains traitements de données à caractère personnel mis en oeuvre par les établissements de crédit pour aider à l’évaluation et à la sélection des risques en matière de crédit, délibération n° 2008-198 du 9 juillet 2008 qui a modifié le texte de l’AU-005, JO du 5 août 2008. Pour un exemple d’application, v. la délibération n° 2012-218 du 5 juillet 2012 qui autorise le Crédit Agricole Consumer Finance à mettre en oeuvre un traitement automatisé de donnée à caractère personnel ayant pour finalité l’aide à l’évaluation et à la sélection des risques en matière d’octroi de crédit à la consommation. 3 Éric A. Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri, Banque et assurance digitales – Droit et pratiques, RB Édition, Paris, 2017, v. n° 299 et suivants, pp. 143-144. 4 Définitions 1.e. en Annexe à la Recommandation CM/Rec(2010)13 du Comité des ministres aux États membres sur la protection des personnes à l’égard du traitement automatisé des données à caractère personnel dans le cadre du profilage, adoptée par le Comité des ministres le 23 novembre 2010. 5 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). 6 Emmanuel Jouffin et Xavier Le Marteleur, Du psautier de Mayence aux zettaoctets, Quel environnement juridique pour le Big Data ?, Banque et Droit, juin 2016. 7 L’article 4 comporte bien un « ou », alors que la CNIL indique : « en vue d’analyser et de prédire son comportement […] » : v. https://www.cnil.fr/fr/profilage-et-decisionentierement- automatisee. 8 Recommendation CM/Rec(2010)13 and explanatory memorandum, Council of Europe 23 nov. 2010, The protection of individuals with regard to automatic processing of personal data in the context of profiling. 9 Article 29 Data protection working party, Guidelines on Automated individual decisionmaking and Profiling for the purposes of regulation 2016/679, WP. 251, 3 oct. 2017, rev. 1 on 6 february 2018. 10 Emmanuel Jouffin et Xavier Le Marteleur Marie-Noëlle Gibon, « Le règlement sur la protection des données : les 10 commandements à connaître pour passer de la théorie à la pratique », RDBF 2016, v. p. 13 s. 11 Article 29 Data protection working party, Guidelines on Automated individual decisionmaking and Profiling for the purposes of regulation 2016/679, WP. 251, 3 oct. 2017, rev. 1 on 6 february 2018. 12 Article 22-2. « Le paragraphe 1 ne s’applique pas lorsque la décision : a) est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable de traitement ; b) est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable de traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ; ou c) est fondée sur le consentement de la personne concernée. 3. Dans les cas visés au paragraphe 2, points a) et c), le responsable de traitement met en oeuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision. 4. Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à, l’article 9, paragraphe 1, à moins que l’article 9, paragraphe 2, point a) ou g) ne s’applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place. » 13 Éric A. Caprioli, « Profilage et algorithmes dans la banque – Brèves réflexions juridiques », Hors-série Banque & Droit, mars-avril 2017, v. p. 24. Nathalie Martial- Braz, « Le profilage », Comm. Com. électr. n° 4, avril 2018, dossier 15, p. 71. 14 Anne Debet, « Profilage – APB enfin remise en cause par la CNIL ! », Comm. Com. électr. 2017, comm. 101. 15 On peut penser qu’il en ira de même pour le secret des affaires lorsque la loi de transposition de la directive 2016/943 du 8 juin 2016 (http://eur-lex.europa.eu/ legalcontent/FR/TXT/PDF/?uri=CELEX:32016L0943&from=FR) « sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention et la divulgation illicites » aura été adoptée dans notre système juridique. V. Thibault du Manoir de Juaye, « Secret des affaires : transposition iminente de la directive du 8 juin 2016 », RLDI, mai 2018, p. 45 s. 16 G29, avis 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE, 844/14/FR, WP. 217 du 9 avril 2014. 17 Article 39-5 de la Loi n° 78-17 du 6 janvier 1978, modifiée, relative à l’informatique, aux fichiers et aux libertés. 18 Anne Debet, « Profilage – APB enfin remise en cause par la CNIL ! », Comm. Com. électr. 2017, comm. 101. 19 Nathalie Martial-Braz, « Le profilage », Comm. Com. électr n° 4, avril 2018, dossier 15, p. 71. 20 Ibid. 21 Nathalie Metallinos, « Tentative de Lignes directrices du G29 sur le Profilage – Tentative de clarification sur le régime spécial applicable au profilage et à la prise de décision automatisée », Comm. Com. électr. n° 2, février 2018, comm. 14. 22 Délibération CNIL n° MED-2017-053 du 30 août 2017 mettant en demeure le ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation. Délibération CNIL n° 2017-233 du 7 septembre 2017 décidant de rendre publique la mise en demeure n° 2017-053 du 30 août 2017 prise à l’encontre du ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation. 23 Anne Debet, « Profilage – APB enfin remise en cause par la CNIL ! », Comm. Com. électr. 2017, comm. 101. 24 Éric Sadin, La Vie algorithmique, éd. L’échappée, 2015. 25 Lémy D. Godefroy, « Pour un droit du traitement des données par les algorithmes prédictifs dans le commerce électronique », D. 2016 n° 8, 25 février 2016, p. 439. 26 CNIL, communiqué du 5 septembre 2017, « Algorithmes utilisés par l’administration : vers plus de transparence ». 27 Noémie Weinbaum et Marie Delamorinière, « Algorithmes en milieu bancaire et financier : entre responsabilité et conformité », Banque et Droit n° 178, mars-avril 2018, p. 6. 28 Éric A. Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri, Banque et assurance digitales…, op. cit., v. n° 294, p. 142.