Le RGPD ou Règlement général de protection des données encadre le traitement des données personnelles. Celui-ci est régi par une législation unique sur l’ensemble du territoire de l’Union européenne et comprend la technique de profilage. Il convient de préciser que cette technique est précise, définie et encadrée par le RGPD. Par ailleurs, son fondement repose sur l’accountability qui est le principe de responsabilisation de l’ensemble des acteurs des données personnelles. Ces acteurs peuvent être des sous-traitants ou des responsables du traitement. Par ailleurs, le Data Protection Officer ou DPO tient également un rôle important dans cette approche. Voyons de ce fait ce que sont le profilage ainsi que le DPO selon le RGPD.
Le profilage rgpd
Tout d’abord, il convient de définir le terme profilage au sens du RGPD. Ensuite, il peut s’avérer utile de connaître la relation entre le profilage et les décisions entièrement automatisées.
Définition du profilage rgpd
Le profilage est défini selon le RGPD comme étant le traitement automatisé de données à caractère personnel. Les données seront ensuite utilisées pour évaluer certains aspects de la personne concernée. En outre, elles seront analysées afin de prédire ses intérêts ainsi que ses comportements. Dans certains cas, elles peuvent servir pour d’autres attributs. Pour plus de détails sur le thème du profilage rgpd, lire cet article vous sera d’une aide précieuse. En outre, vous pourrez aussi voir la définition officielle selon le RGPD dans l’article 4.4 du RGPD. Une fois que des activités de profilage sont effectuées, une analyse d’impact relative à la protection des données s’impose.
Sa mission
L’emploi de la technique de profilage aide à analyser et prédire le comportement d’une personne. Par exemple, elle est utile pour connaître les performances des salariés d’une entreprise donnée. Aussi, certaines sociétés de consommation gèrent les données dans le but d’avoir connaissance de la situation financière et des préférences de leurs clients. D’autres les utilisent pour avoir une idée de leur santé et de leurs habitudes de vie.
Les décisions entièrement automatisées
Qu’est-ce que c’est ?
Il s’avère assez facile d’établir un profil individualisé concernant une personne en particulier grâce au profilage. En effet, celui-ci permet d’émettre un jugement et de tirer des conclusions sur cet individu. Ce sont les algorithmes appliqués aux données personnelles qui s’assemblent pour former les décisions entièrement automatisées. Une personne peut, de ce fait, passer à une évaluation par le biais du profilage. Celle-ci concerne par exemple ses préférences, mais aussi ses réactions.
Qu’en est-il des droits de la personne ?
Il est important de savoir que ce type de traitement est tout à fait susceptible de porter atteinte aux droits et libertés des personnes. D’où l’entrée en matière du RGPD où il y consacre les droits supplémentaires que vous retrouverez dans les lignes suivantes. Premièrement, cela concerne le droit à une intervention humaine. En effet, toute personne faisant l’objet d’une décision automatisée a le droit de demander l’intervention d’une personne humaine. L’objectif est de permettre un réexamen de la situation où cette dernière aura l’occasion de donner son propre point de vue. Elle peut ainsi obtenir une explication ou contester la décision prise. Deuxièmement, cela concerne l’obligation à la transparence. C’est-à-dire que les personnes concernées doivent être informées de la collecte de leurs données. En cas d’existence d’une décision automatisée, ces personnes peuvent également demander à être informées.
Comment le RGPD encadre les traitements automatisés ?
Comme le profilage peut mener à des décisions automatisées concernant des personnes, il se révèle judicieux de déterminer un cadre. En effet, l’enjeu est primordial pour les individus concernés, raison pour laquelle un cadre d’utilisation a été posé par l’intermédiaire du RGPD.
L’essentiel sur le cadre à la pratique du profilage
Le cadre à la pratique du profilage est régi par l’article 22 du RGPD. Effectivement, des règles de restrictions peuvent toucher les décisions fondées exclusivement sur un traitement automatisé. Celles-ci s’appliquent lorsque les décisions ont une incidence sur les droits et libertés de la personne et influencent son environnement. Il s’avère donc intéressant de souligner que la décision prise engendre des effets juridiques et des effets significatifs. Citons entre autres le cas où la personne est privée de sa liberté de réunion ou de ses droits contractuels. Si le comportement et les choix de la personne changent à cause du profilage, il peut s’agir d’une forme de discrimination.
Profilage et décision automatisée, quel est le rapport ?
La notion de profilage et celle de décision automatisée se rejoignent en plusieurs points. D’une part, le fait de profiler une personne amène sans aucun doute vers une décision à son sujet. D’autre part, bon nombre de décisions entièrement automatisées sont basées à partir d’un profilage. Cela signifie que l’établissement de profils appelle l’utilisation des algorithmes automatisés appliqués à des jeux de données personnelles. Une fois que ces dernières sont lancées, l’analyse aboutit à des décisions entièrement automatisées. Cela touche de nombreux domaines tels que la santé, la protection sociale, l’assurance, l’éducation, la lutte contre la fraude, etc.
Un délégué à la protection des données ou DPO
Définition
La Commission Nationale de l’Informatique et des Libertés ou CNIL qualifie le délégué à la protection des données ou DPO de « chef d’orchestre ». Celui-ci est également connu sous le nom de Data Protection Officer et se charge de la protection des données à caractère personnel au sein des organismes publics ou privés. Ses fonctions, ses missions et sa désignation sont dirigées par le Règlement Général sur la Protection des données (RGPD). Les informations sur la notion de DPO ainsi que la certification se trouvent dans le chapitre 4 du RGPD du 25 mai 2018.
Quel est son rôle ?
Le principal rôle du DPO est d’accompagner l’entité qui le désigne et de le conseiller en ce qui concerne ses obligations : celles qui se rapportent à tous les traitements de données personnelles qu’elle met en œuvre. Il est également de son devoir de sensibiliser aux enjeux de la réglementation applicable et d’informer de tout changement intervenu. Au moment où l’entité effectue des analyses d’impact, son rôle est de le conseiller uniquement à la demande. En outre, il assume le contrôle du respect de la réglementation applicable. Enfin, il est l’unique interlocutoire entre l’entité et l’autorité de contrôle, qui ne sont autres que la CNIL en France.
Comment travailler avec un DPO ?
Étant donné qu’il s’agit du premier coordonnateur avec la CNIL, le DPO doit être au courant de tout. Il est essentiel qu’il se trouve au premier plan de toutes les questions relatives à la protection des données. De plus, il devrait bénéficier du soutien du dirigeant de l’entreprise pour laquelle il travaille dans le but de lui faciliter l’accès aux données et aux opérations de traitement. À cela s’ajoutent les ressources financières, le temps nécessaire, la formation ainsi qu’une équipe dévouée à lui fournir les ressources nécessaires. L’objectif est de simplifier la réalisation de ses tâches. Par ailleurs, il faut savoir qu’un DPO doit être capable d’agir en toute indépendance et dans l’absence de conflit d’intérêts.
Dans quel cas le DPO est-il obligatoire ?
Une entité est dans l’obligation de désigner un DPO dans les cas suivants :
- elle représente les autorités publiques et les organismes publics (hormis les juridictions agissant dans l’exercice de leur fonction juridictionnelle) ;
- elle exerce des activités les amenant à réaliser un suivi régulier et systématique à grande échelle des personnes concernées ;
- elle exerce des activités entraînant un traitement à grande échelle des catégories particulières de données. Cela peut être lié à l’origine raciale ou ethnique, aux opinions politiques des personnes concernées ou encore à des condamnations pénales et des infractions.