Que dit la réglementation en ce qui concerne le profilage des personnes dans les traitements informatiques, l’avis de l’avocat en droit informatique à Paris
La réglementation en matière de protection des données personnelles, telle que le Règlement général sur la protection des données (RGPD) de l’Union européenne, encadre strictement le profilage des personnes dans les traitements informatiques.
Selon l’article 4 du RGPD, le profilage est défini comme “toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique”.
Le profilage n’est autorisé que dans certaines circonstances spécifiques, et la personne concernée doit être informée et doit avoir donné son consentement explicite pour que ses données personnelles soient utilisées de cette manière. En outre, les personnes ont le droit de s’opposer à tout moment au profilage les concernant.
Le RGPD exige également que les organisations prennent des mesures pour garantir la transparence, la sécurité et la précision des données utilisées pour le profilage, ainsi que pour protéger les droits et libertés fondamentaux des personnes concernées.
Quelques remarques de l’avocat spécialisé en droit informatique à Paris sur la réglementation concernant le profilage des personnes dans les traitements informatiques, en particulier en ce qui concerne le RGPD (Règlement Général sur la Protection des Données), qui s’applique aux pays membres de l’Union européenne.
Le profilage est défini par le RGPD comme “toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant les préférences, les intérêts, la situation financière, le comportement, etc.”
Le RGPD encadre le profilage pour protéger les droits et libertés des personnes concernées, notamment en ce qui concerne les décisions automatisées ayant des effets juridiques ou similaires. Voici quelques points clés à prendre en compte :
- Consentement : Le profilage nécessite généralement le consentement de la personne concernée. Les personnes doivent être informées de l’existence du profilage et de ses conséquences potentielles.
- Droit d’opposition : Les personnes ont le droit de s’opposer au profilage lorsqu’il est utilisé pour le marketing direct.
- Décisions automatisées : Les personnes ont le droit de ne pas être soumises à une décision fondée uniquement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques les concernant ou les affectant de manière significative.
- Limitation des données : Le traitement des données doit être limité aux données strictement nécessaires pour atteindre les objectifs du traitement.
- Transparence : Les responsables de traitement doivent fournir des informations claires et accessibles sur les procédures de profilage et les critères utilisés pour prendre des décisions automatisées.
- Évaluation d’impact : Pour les traitements à haut risque, tels que le profilage à grande échelle, une évaluation d’impact sur la protection des données (AIPD) peut être requise.
Il est important de noter que la réglementation peut varier en fonction de la juridiction et du contexte. Consultez le cabinet Pierre de Roquefeuil pour obtenir des conseils juridiques spécifiques à votre situation.
Datenschutzbehörde, GZ : D124.3816, Greffier :2023-0.193.268
L’autorité autrichienne de protection des données (DPA) a jugé que la grande majorité des données personnelles collectées par le bureau de crédit CRIF étaient illégales et devaient être supprimées.
Le CRIF recueillait les adresses, les dates de naissance et les noms de presque tous les Autrichiens afin de calculer leur «solvabilité» sans consentement ni autre base légale
. La plupart des données de base utilisées par le CRIF pour calculer les «valeurs de solvabilité» proviennent de l’éditeur d’adresses AZ Direkt (qui appartient au groupe allemand Bertelsmann).
AZ Direct n’est autorisé à transmettre ces données qu’à des fins de marketing et non pour le calcul de la cote de crédit.
Ces notations de crédit ont également des impacts réels, a expliqué Max Schrems : « Des millions de personnes en Autriche sont concernées par cela. Les clients ne reçoivent pas de contrat de téléphonie mobile ou de contrat d’électricité si leur score est trop bas. On pourrait avoir à payer des versements de prêt plus élevés si la banque utilise ce score. Nous pensons que les données ne devraient être collectées qu’au maximum auprès des défaillants manifestes, et non auprès de l’ensemble de la population. » noyb s’attend à ce que le CRIF fasse appel de cette décision car il s’agit d’un coup dur porté à son modèle économique.
CJUE, Conclusions de l’avocat général dans l’affaire C-634/21 | SCHUFA Holding e.a. (Scoring) et dans les affaires jointes C-26/22 et C-64/22 SCHUFA Holding e.a. (Libération de reliquat de dette) Avocat général Pikamäe : l’établissement automatisé d’une probabilité sur la capacité d‘une personne à honorer un prêt constitue un profilage selon le RGPD
L’affaire C-634/21 concerne un litige opposant un citoyen au Land Hessen, représenté par le délégué à la protection des données et à la liberté d’information du Land de Hesse (ci-après le « HBDI »), au sujet de la protection des données à caractère personnel. Dans le cadre de son activité économique consistant à fournir à ses clients des informations concernant la solvabilité des personnes tierces, SCHUFA Holding AG (ci-après « SCHUFA »), une société de droit privé, a fourni à un établissement de crédit un score concernant le citoyen en question qui a servi de base au refus du crédit demandé par ce dernier. Le citoyen a ensuite demandé à SCHUFA d’effacer l’enregistrement y relatif et de lui donner accès aux données correspondantes. Cette dernière ne lui a cependant communiqué que le score pertinent et, de manière générale, les principes qui sous-tendent la méthode de calcul du score, sans l’informer des données spécifiques prises en compte dans ce calcul et de la pertinence qui leur est attribuée dans ce contexte, en faisant valoir que la méthode de calcul relève du secret des affaires. Dans la mesure où le citoyen concerné fait valoir que le refus de SCHUFA est contraire au régime de protection des données, la Cour de justice est appelée par le tribunal administratif de Wiesbaden à se prononcer sur les restrictions que le règlement général sur la protection des données 1 (ci-après le « RGPD ») impose à l’activité économique des agences de renseignement dans le secteur financier, en particulier dans la gestion des données, ainsi que sur l’incidence à reconnaître au secret des affaires. De même, la Cour devra préciser l’étendue des pouvoirs réglementaires que certaines dispositions du RGPD confèrent au législateur national par dérogation à l’objectif général d’harmonisation poursuivi par cet acte juridique.
Dans ses conclusions, l’avocat général Priit Pikamäe indique, d’abord, que le RGPD consacre un « droit » de la personne concernée de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé, y compris le profilage. L’avocat général constate ensuite que les conditions de ce droit sont réunies puisque : – la procédure en cause constitue un « profilage », – la décision produit des effets juridiques à l’égard de la personne concernée ou l’affecte de manière significative de façon similaire, et que 1 Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO 2016, L 119, p. 1). Direction de la Communication Unité Presse et information curia.europa.eu – la décision peut être considérée comme fondée exclusivement sur un traitement automatisé. La disposition du RGPD prévoyant ce droit est donc applicable dans des circonstances telles que celles de l’affaire au principal.
English 
French