01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Vie Privée, Protection des données : ce qui va changer en 2016 – Partie 2 – quel droit pour le profilage ?

Fotolia 95592074 Subscription Monthly M

Par Gérard HAAS et Stéphane ASTIER, avocats à la Cour

2016 s’annonce comme l’année de tous les changements en matière de législation pour la protection des données à caractère personnel.

Précurseur en la matière avec sa loi de 1978 « informatique et libertés »[1], l’Etat Français se prépare activement à une nouvelle étape déterminante dans la construction d’un droit à part entière ; un droit tourné vers une conciliation nécessaire entre le développement des nouvelles technologies et la préservation des libertés publiques des citoyens.

Le projet de règlement Européen[2] du 25 janvier 2012 modifié le 11 juin 2015 constitue le moteur de cette grande réforme qui devrait bouleverser de nombreux secteurs.

A l’heure du déploiement des technologies dites de Big Data[3], de la mutation accélérée des solutions de marketing comportemental et des transferts de fichiers, un ensemble de règles nouvelles s’apprête à être adopté.

Après avoir détaillé les importantes modifications attendues concernant la définition du consentement de la personne (PARTIE 1 Le consentement de la personne), il convient d’aborder une autre question importante : celle de l’encadrement des décisions automatiques et discriminantes.

 

  • Vers des décisions automatiques et discriminantes encadrées ?

 

L’article 10 de la loi informatique et libertés du 6 janvier 1978 dispose qu’« aucune décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ».

Or, tel est par exemple la finalité des solutions dites de Big Data : arrêter des décisions en s’appuyant sur des algorithmes prédictifs.

Un client qui « like » des marques d’alcool et qui se géolocalise régulièrement dans des établissements possédant une licence IV en délivrant par exemple cette information sur son compte Facebook, pourrait voir son assureur tenir compte de ces informations pour calculer le montant de sa prime d’assurance grâce à une solution Big Data.

L’intrusion dans la vie privée à travers cet exemple – dont on peut espérer qu’il soit encore fictif – apparaît évidente.

Tel n’est peut être pas le cas de cet autre exemple d’un utilisateur d’un objet connecté à sa voiture ou à son poignet, qui donne en temps réel des informations à son assureur pour justifier d’un comportement « normal » ou « adéquat » en contrepartie d’une baisse de ses primes d’assurances…

Il en résulte un besoin prégnant de clarification des règles applicables. Le droit est en effet ici non seulement le garde fou nécessaire mais également l’arbitre en charge du tracé des frontières entre différents avenirs possibles.

C’est dans ce contexte et au regard de ces différentes problématiques que le projet de Règlement Européen prévoit en son article 20 que :

« toute personne physique a le droit de ne pas être soumise à une mesure produisant des effets juridiques à son égard ou l’affectant de manière significative, prise sur le seul fondement d’un traitement automatisé destiné à évaluer certains aspects personnels propres à cette personne physique ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement ».

L’ouverture est ici abyssale. En effet, au-delà des effets juridiques prévus jusqu’alors, le droit de ne pas être soumis à un traitement automatisé dit de profilage s’appliquera également aux cas de mesures susceptibles « d’affecter de manière significative la personne », notion particulièrement vague et source d’interprétations multiples.

Quid en effet, à la lecture de ce considérant, de l’opposabilité future des traitements de données mis en œuvre par les DSI pour contrôler l’utilisation des systèmes d’information par les différentes catégories de collaborateurs, des traitements de données associés aux objets connectés dans le domaine de la santé, des traitements réalisés par les directions marketing pour cibler la clientèle à partir de carte de fidélité, d’achat de base de données financières sur les personnes ou encore d’aspiration massive de données sur les réseaux sociaux ? Où placer le curseur ?

 

  • Une définition du profilage étendue

Le profilage est défini au considérant 58 du projet de Règlement européen amendé par le Conseil de l’Union européenne comme :

« La personne concernée devrait avoir le droit de ne pas faire l’objet d’une décision impliquant l’évaluation de certains aspects personnels la concernant, qui résulterait exclusivement d’un traitement automatisé et qui produirait des effets juridiques la concernant ou qui l’affecterait de manière sensible, par exemple le rejet automatique d’une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention humaine. Ce type de traitement inclut notamment le « profilage », à savoir toute forme de traitement automatisé de données à caractère personnel visant à évaluer certains aspects personnels liés à une personne physique, notamment par l’analyse et la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles ou les intérêts, la fiabilité ou le comportement, ou la localisation et les déplacements, dès lors qu’il produit des effets juridiques la concernant ou qu’il l’affecte de manière sensible […] ».

L’analyse prédictive et ses effets sur la personne « même de manière sensible » entrent donc directement dans la définition du profilage.

Les conséquences juridiques d’une telle définition pourraient être ici tout à fait significatives pour les directions marketing ou compagnies d’assurance usant de méthodes d’analyse prédictive dont la performance est décuplée par les solutions Big Data.

En effet, le profilage tel que défini ci-avant sera non seulement soumis aux dispositions générales du règlement (incluant notamment les obligations liées au consentement étudiées dans la partie 1) mais également de garanties spécifiques : par exemple, l’obligation de réaliser une analyse d’impact dans certains cas, ou les dispositions prévoyant que des informations spécifiques soient fournies à la personne concernée…

*******

Une fois adopté, le Règlement Européen sera d’application immédiate. Il importe donc, pour chaque responsable de traitement de prendre les mesures adéquates pour s’assurer de la légalité desdits traitements, ou à tout le moins, de s’assurer d’être en mesure de justifier d’une telle légalité.

Pour ce faire, les professionnels du droit sont amenés à intervenir aux côtés des responsables de traitement dans le cadre d’audits et d’études d’impact consistant à :

  • délimiter et décrire les traitements considérés, leur contexte et leurs enjeux ;
  • identifier les mesures existantes ou prévues (d’une part pour respecter les exigences légales, d’autre part pour traiter les risques sur la vie privée) ;
  • apprécier les risques liés à la sécurité des données et qui pourraient avoir des impacts sur la vie privée des personnes concernées,
  • formuler des recommandations de consolidation afin de traiter ces impacts de manière proportionnée;

Vous souhaitez en savoir plus sur les prestations d’audit et d’étude d’impact ? Cliquez ICI

Lire la suite : « Vie privée, Protection des données : ce qui va changer en 2016 (partie 3 : une obligation de sécurité renforcée) Cliquez ICI.

[1] Cf. http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/

[2] Cf.

[3] Cf. https://www.haas-avocats.com/actualite-juridique/loffre-big-data-entre-casse-tete-juridique-et-defi-ethique/?nabe=5279665716461568:1&utm_referrer=https%3A%2F%2Fwww.google.fr%2F

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com