Le profilage a été défini à l’art. 4 du RGPD comme “toute forme de traitement automatisé de données à caractère personnel qui implique l’utilisation de données à caractère personnel pour évaluer des aspects spécifiques d’une personne, notamment pour analyser ou prédire des aspects liés à la performance professionnelle, à la situation financière, à la santé, aux préférences personnelles, aux intérêts, à la fiabilité, au comportement, à la localisation ou aux déplacements de cette personne”.

En principe, le profilage peut apporter aux utilisateurs des avantages importants, puisqu’il pourrait accroître l’efficacité du système, économiser des ressources ou contribuer à fournir un meilleur service. Par exemple, le profilage par une télévision intelligente pourrait nous aider à trouver des séries qui correspondent bien à nos préférences sans passer beaucoup de temps à les chercher par nous-mêmes. Toutefois, il est également clair qu’il pourrait servir à des fins plus obscures et discriminatoires, qui comportent des risques importants pour les droits et libertés des personnes” et peuvent “perpétuer les stéréotypes existants et la ségrégation sociale” en l’absence de garanties appropriées.

La prudence concernant le profilage doit être particulièrement adoptée lorsque les responsables du traitement commencent à mélanger les données. Le rapprochement de différents types de données à caractère personnel peut révéler des informations sensibles sur les personnes. Parfois, ces processus aboutissent même à traiter des données personnelles de catégories spéciales de manière inaperçue. Par exemple, le fait de mélanger des catégories de données non spéciales, telles que des données sur les préférences, la localisation et les connexions aux médias sociaux, peut permettre de déduire avec un haut degré de réussite l’orientation sexuelle des personnes ou leurs croyances religieuses. Cela peut se produire sans que les personnes concernées en aient conscience. Il va sans dire que ces conséquences doivent être soigneusement évitées.

Afin d’aborder ces questions, les développeurs d’IA devraient avoir une bonne connaissance de l’article 22 du RGPD. Cette clause stipule que “les personnes concernées ont le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques les concernant ou les affecte de manière significative de façon similaire.” Sur cette base, il y a quelques considérations importantes à faire.

• Premièrement, l’interdiction de la “prise de décision entièrement automatisée” ne s’applique que lorsque la décision fondée sur une telle technologie “a un effet juridique sur quelqu’un ou l’affecte de manière significative de façon similaire“. Les lignes directrices de l’EDPB citent à titre d’exemple : le rejet d’un processus de sélection, le refus d’un crédit ou d’une assurance, ou l’application de prix différents à un même groupe. Il n’est pas nécessaire que cela affecte un grand nombre de personnes. Dans d’autres situations, il n’est pas toujours évident pour le responsable du traitement d’évaluer si le processus décisionnel entièrement automatisé crée des effets significatifs. Dans ces cas, nous recommandons de demander conseil au DPD.
• Deuxièmement, il faut garder à l’esprit qu’il n’y a pas de “décision fondée uniquement sur un traitement automatisé” si la décision est examinée par un être humain qui “tient compte d’autres facteurs pour prendre la décision finale”. Si un être humain ne fait que ratifier ce qu’un outil énonce, cela ne compterait pas comme une intervention humaine en tant que telle. L’élément humain doit avoir suffisamment de pouvoir pour rectifier la recommandation de l’outil. Parmi les facteurs d’évaluation, on peut citer le nombre de fois où l’humain s’écarte de la recommandation automatisée, si la personne dispose d’une autonomie au sein de l’organisation pour prendre la décision, et quels autres facteurs sont pris en compte par la personne qui ne sont pas inclus dans le modèle automatisé.
• En outre, l’article 22(2) introduit quelques exceptions à cette interdiction générale du profilage ou de la prise de décision automatisée. En effet, les lignes directrices publiées par l’A29WP déclarent que l’interdiction ne s’applique pas si le profilage ou la prise de décision automatisée est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ; autorisé par le droit de l’Union ou des États membres auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la protection des droits et libertés et des intérêts légitimes de la personne concernée (mesures techniques et organisationnelles, garanties, etc.) ; ou est fondé sur le consentement explicite de la personne concernée. C’est-à-dire que dans ces trois circonstances, les processus décisionnels entièrement automatisés sont autorisés. Par exemple, un service consistant à proposer des contenus médias personnalisés en fonction de vos préférences déclarées et de vos données de consommation, nécessitera nécessairement un profilage. Si la “nécessité” peut être prouvée, le profilage entièrement automatisé sera autorisé.

Par conséquent, le profilage ou la prise de décision automatisée peuvent être acceptables si l’une de ces circonstances s’applique, à condition que le traitement ne contrevienne pas au règlement sur la protection des données de toute autre manière possible. Cependant, même dans ces cas, des actions supplémentaires devraient être intégrées. Les développeurs IdO doivent être particulièrement prudents s’ils traitent des catégories spéciales de données déduites par les systèmes. L’article 22, paragraphe 4, contient des limitations quant à l’utilisation de catégories spéciales de données pour une prise de décision ou un profilage entièrement automatisé. Dans ce cas, l’art. 22 doit être appliqué conformément à l’art. 9 duRGPD. Plus précisément, lorsqu’il s’agit de catégories particulières de données, les décisions entièrement automatisées ne sont autorisées qu’avec le consentement explicite de la personne concernée (art. 9, paragraphe 1, point a)) ou pour des raisons d’intérêt public important, sur la base de la législation existante (art. 9, paragraphe 1, point g)). Par exemple, un responsable du traitement souhaite créer des profils de citoyens pour déduire les risques de contracter un virus et prévenir une pandémie. À cette fin, différentes sources de données doivent être mélangées, y compris des données relatives à la santé. Cela pourrait être considéré comme nécessaire à la protection d’un intérêt public important. En outre, il doit exister une législation européenne ou nationale autorisant ce traitement. Si toutes ces circonstances sont réunies, l’art. 9, paragraphe 2, point g), est applicable, et le responsable du traitement peut donc bénéficier de l’exception prévue à l’art. 22(4) autorisant ce profilage entièrement automatisé.

Encadré 6 : Profilage des effets négatifs et analyse inférentielle Méthodes possibles de surveillance et de profilage pouvant entraîner des problèmes de confidentialité et de discrimination dans les systèmes IdO : le profilage par inférence de données, que ce soit sur la base de celles fournies en premier lieu par le sujet des données ou d’autres sources de données (par exemple, le comportement de navigation sur Internet) ; le profilage en reliant les ensembles de données de l’IdO ; le profilage qui se produit lorsque les données sont partagées avec des tiers qui combinent les données avec d’autres ensembles de données (par exemple, les fournisseurs de produits, l’assistance technique).

Dans tous les cas, toutes les autres obligations et garanties doivent être remplies. Par exemple, les obligations d’information, l’évaluation d’un AIPD, etc. En outre, l’art. 22(3) contient des garanties supplémentaires qui doivent être observées lors de la prise de certaines décisions entièrement automatisées, comme le droit d’obtenir une intervention humaine, d’exprimer le point de vue de la personne concernée et de contester la décision. Les personnes concernées devraient être informées de toutes ces informations et des droits et actions correspondants qu’elles pourraient intégrer.

Comme indiqué précédemment, le processus de profilage est “souvent invisible pour la personne concernée”. Il fonctionne en créant des données dérivées ou déduites sur les individus. Les individus ont des niveaux de compréhension différents et peuvent trouver difficile de comprendre les techniques complexes impliquées dans les processus de profilage et de prise de décision automatisée”. ^[1]

Encadré 7 : Déduire des données. Exemple “La société X a développé une application qui, en analysant les données brutes des signaux d’électrocardiogramme générés par des capteurs commerciaux couramment disponibles pour les consommateurs, est capable de détecter des schémas de dépendance aux drogues. Le moteur de l’application peut extraire des caractéristiques spécifiques des données brutes de l’ECG qui, selon les résultats d’enquêtes précédentes, sont liées à la consommation de drogues. Le produit, compatible avec la plupart des capteurs du marché, pourrait être utilisé comme une application autonome ou par le biais d’une interface web nécessitant le téléchargement des données. Très probablement, le consentement explicite sera la base légale la mieux adaptée pour ce traitement.” Source : Avis 8/2014 du groupe de travail Art 29 sur la protection des données sur les développements récents de l’Internet des objets (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088.

1. Groupe de travail Article 29 (2017) Lignes directrices sur la prise de décision individuelle automatisée et le profilage aux fins du règlement 2016/679. Adopté le 3 octobre 2017, tel que révisé en dernier lieu et adopté le 6 février 2018. Commission européenne, Bruxelles, p.9. Disponible à l’adresse : https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053. ↑