#DonnéesPersonnelles : Les administrations publiques et le profilage

Recommander cet Article   Imprimer ce billet
Laetitia Levasseur, le vendredi 29 septembre 2017

Peu connu du public, le profilage consiste à la prise de décision individuelle, automatisée ou non, fondée sur un traitement automatisé de données personnelles.

Pourtant, il est exercé depuis longtemps par les entreprises et les administrations publiques pour définir un « profil » à travers la réunion des données personnelles nous concernant. Les entreprises peuvent s’en servir comme outil de marketing pour cibler leurs publicités selon nos goûts ou nos intérêts, ou comme outil de choix de recrutement ou de promotion de telle ou telle personne selon ses horaires, ses taux de réussite, ses langues parlées…

Le profilage peut donc avoir des conséquences juridiques importantes pour la personne concernée et l’être humain doit être ramené dans l’équation pour permettre à la personne concernée d’obtenir une explication sur le fondement décisionnel ou de présenter sa défense.

Mais c’est l’administration publique qui va occuper l’objet de cet article.

 

1/ Contexte

Le profilage était déjà pris en compte par les articles 15 de la Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et de la libre circulation de ces données et 10 de la Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Ils énoncent que la personne concernée peut s’opposer à la prise de décision produisant des effets juridiques à son égard ou l’affectant de manière significative, lorsqu’elle est prise sur le seul fondement d’un traitement automatisé destiné à évaluer certains aspects de sa personnalité comme son crédit, son comportement, son rendement professionnel…L’article 10 de la loi de 1978 interdit même les décisions de justice sur ce fondement.  

Le Règlement général sur la protection des données (RGPD) du 27 avril 2016 vient renforcer la protection de ces données et les droits des personnes concernées par un traitement automatisé.

Il précise, en son article 4.4, la définition du profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

Son article 22 précise les conditions du profilage, en rappelant le droit pour la personne concernée de ne pas en faire l’objet.

Curieusement, la notion de « profil » qui serait établi par le traitement automatisé et sur lequel se fonde la décision individuelle automatisée, y compris le profilage, n’est pas définie par le RGPD. Mais l’on peut se référer à la Recommandation du Conseil de l’Europe concernant le profilage du 23 novembre 2010, qui considère que le « profil » désigne « un ensemble de données qui caractérise une catégorie d’individus et qui est destiné à être appliqué à un individu » (1. d de la Recommandation).

 

2/ Mise en conformité

Le RGPD entre en vigueur le 25 mai 2018 et demande une mise en conformité importante dans la législation de chaque Etat Membre et au sein de chaque personne privée ou publique (procédures internes à mettre en place pour permettre l’exercice des droits de la personne concernée, art. 12 du RGPD).

Prenant acte de cette échéance pour se mettre en conformité avec celui-ci, la France a promulgué, le 8 octobre 2016, la Loi n° 2016-1321 pour une République numérique qui modifie notamment l’article L311-3-1 du Code des relations entre le public et l’administration (CRPA). Cet article permet à la personne concernée de demander et d’obtenir communication des modalités du profilage mis en œuvre par l’administration publique.

L’article L311-3-1 CRPA prévoit que ses conditions d’application seront précisées par un décret pris en Conseil d’Etat. Le décret n°2017-330 du 14 mars 2017 relatif aux droits des personnes faisant l’objet de décisions individuelles prises sur le fondement d’un traitement algorithmique vient donc énoncer les modalités de communication de ce texte. Les administrations ont jusqu’au 1er septembre 2017, date d’entrée en vigueur du décret, pour mettre en place les procédures internes nécessaires au traitement de ces demandes.

 

3/ La communication publique sur le profilage administratif

L’article L311-3-1 CRPA dispose qu’en cas de profilage, la décision doit comporter une mention explicite informant l’intéressé de ce profilage. Selon le futur article R311-3-1-1 CRPA, cette mention doit indiquer la finalité poursuivie par le traitement algorithmique. Cela reprend l’exigence générale du RGPD d’indiquer la finalité du traitement automatisé de données personnelles à la personne concernée (articles 13 c) et 14 c) du RGPD).

Si l’intéressé en fait la demande, l’administration doit lui communiquer les règles qui régissent ce traitement automatisé et les principales caractéristiques de sa mise en œuvre.

L’article L300-2 CRPA précise que cette demande peut être introduite auprès de l’Etat, des collectivités territoriales, de toute autre personne de droit public ou de toute personne de droit privé chargée d’une mission de service public.

Lorsque cette demande est introduite, l’administration doit fournir à la personne concernée les informations relatives au degré et au mode de contribution du traitement algorithmique à la prise de décision ; les données traitées et leurs sources ; les paramètres de traitement appliqués à la personne concernée, leur pondération ; les opérations effectuées par le traitement (futur article R311-3-1-2 CRPA).

Ces informations doivent être délivrées à l’intéressé sous une forme intelligible, ce qui reprend l’exigence sur la forme de l’information fournie à la personne concernée qui avait été énoncée par un arrêt de la Cour de cassation du 6 mai 2008 (D. 2008 AJ). L’article 12 du RGPD rappelle cette exigence en précisant que l’information fournie à la personne concernée par un traitement automatisé de données doit être « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».  

Par exception, ces informations ne pourront pas être communiquées à l’intéressé lorsque (article L311-5, 2° CRPA) :

« 2° Les autres documents administratifs dont la consultation ou la communication porterait atteinte :

  1. a) Au secret des délibérations du Gouvernement et des autorités responsables relevant du pouvoir exécutif ;
  2. b) Au secret de la défense nationale ;
  3. c) A la conduite de la politique extérieure de la France ;
  4. d) A la sûreté de l’Etat, à la sécurité publique, à la sécurité des personnes ou à la sécurité des systèmes d’information des administrations ;
  5. e) A la monnaie et au crédit public ;
  6. f) Au déroulement des procédures engagées devant les juridictions ou d’opérations préliminaires à de telles procédures, sauf autorisation donnée par l’autorité compétente ;
  7. g) A la recherche et à la prévention, par les services compétents, d’infractions de toute nature ;
  8. h) Ou sous réserve de l’article L. 124-4 du code de l’environnement, aux autres secrets protégés par la loi ».

Le futur article R311-3-1-2 CT prévoit également que la communication à l’intéressé des modalités du profilage est interdite lorsque cela porte atteinte à des secrets protégés par la loi.

L’administration qui garde le silence pendant un mois suite à la demande est considérée comme ayant exprimé un refus à cette dernière (art. R311-12 et R311-13 CRPA).

 

Expert depuis plus de vingt ans dans le domaine des NTIC, le Cabinet HAAS reste à votre disposition pour vous conseiller en matière de données personnelles.

Pour plus d’informations, cliquez ici.

 

#DonnéesPersonnelles : Les(...)




home contact quisommesnous puce rouge suite