Lignes directrices du G29 sur les « décisions individuelles automatisées » et le « profilage » Les questions abordée dans ces lignes directrices sont d’une grande importance pour plusieurs secteurs d’activité publics ou privés. Le document cite les secteurs bancaire et financier, la santé, la fiscalité, l’assurance, le marketing et la publicité comme des exemples de domaines dans lesquels le profilage sert régulièrement de support à la prise de décision.
 
Si l’introduction du concept de « profilage » dans le RGPD est relativement nouvelle, ce n’est en revanche pas le cas pour les décisions individuelles automatisées, qui sont déjà interdites.

1. Le G29 aborde notamment les points suivants

  • La notion de profilage et les différentes situations dans lesquelles il est utilisé.
     
  • La notion de décision automatisée « affectant de manière significative » la personne concernée « de façon similaire » à un « effet juridique ». A savoir, même si un processus de décision automatisé n’a pas d’effet juridique sur les personnes, il pourrait encore entrer dans le champ d’application de l’article 22 s’il produit un effet équivalent ou d’une importance similaire. Le G29 envisage que cette notion puisse par exemple s’appliquer à certaines formes de publicité comportementale, notamment lorsqu’elle vise des personnes vulnérables.
  • La nécessité de fournir une information utile aux personnes concernées sur « la logique sous-jacente » des décisions individuelles automatisées. Elle doit être simple mais compréhensible et utile, sans avoir besoin d’aller dans le détail du fonctionnement de l’algorithme.
  • L’information des personnes concernées sur « l’importance et les conséquences prévues » des décisions individuelles automatisées.
  • La nécessité de procéder à des évaluations d’impact (DPIA) en cas de profilage sur la base duquel des décisions sont prises, y compris lorsqu’une décision n’est pas fondée exclusivement sur un traitement automatisé (article 35.3, a).

2. Les lignes directrices sont organisées de la façon suivante :

Le chapitre 1 traite des définitions de « décisions individuelles automatisées » et de « profilage » et de la façon dont le RGPD applique ces concepts.
 
Le chapitre II explique les dispositions spécifiques qui s’appliquent à la prise de décision individuelle automatisée, y compris le profilage.
 

  • Une interdiction générale de ce type de traitement existe pour refléter l’effet potentiellement préjudiciable sur les individus. Le RGPD prévoit un certain nombre d’exceptions.
  • Des mesures de sauvegardes comprennent le droit d’être informé (notamment des informations sur la logique sous-jacente, ainsi que l’importance et les conséquences prévues), le droit d’obtenir une intervention humaine et le droit de contester la décision.

Le chapitre traite aussi des données sensibles.  

Le chapitre III explique le cadre juridique du profilage général. Cela inclut la prise de décision basée sur le profilage qui n’est pas uniquement automatisé. Il traite des points suivants :
 

  • Principes relatifs au traitement des données personnelles (article 5)
     
  • Licéité du traitement (article 6)
  • Données sensibles (article 9)
  • Droits des personnes concernées (droit d’être informé, droit d’accès, droit de rectification, droit d’effacement, droit de limitation du traitement, droit d’opposition)

Le chapitre 4 aborde la question des enfants et du profilage.
 
Le chapitre 5 traite des évaluations d’impact sur la protection des données (DPIA).
 
Des annexes complètent le document :
 

  • Recommandations de bonnes pratiques
  • Principales dispositions du RGDP se rapportant :
    • à la prise de décision automatisée comme défini à l’article 22
    • au profilage général et prise de décision automatisée
  • Lectures complémentaires  

Ces lignes directrices sont d’une importance significative pour bon nombre de sociétés. Il est possible de présenter des commentaires auprès du G29 sur ce document jusqu’au 28 novembre 2017.
 
http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083&utm_source=POLITICO.EU&utm_campaign=ca202dfca6-EMAIL_CAMPAIGN_2017_10_17
  Contact : stephanie.faber@squirepb.com