Qu'en est-il des décisions automatisées, en ce compris le profilage ?

Vous avez le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, et qui produit des effets juridiques à votre égard ou qui vous affecte de manière significative.

Commençons par la définition du profilage : « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

Le principe étant que vous avez le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, et qui produit des effets juridiques à votre égard ou qui, de façon similaire, vous affecte de manière significative. Qu’est-ce que l’on veut dire ici, c’est que une décision peut ne pas produire d’effet juridique mais peut affecter une personne de la même manière qu’un effet juridique.

Le considérant 71 donne deux exemples : le rejet automatique d’une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention humaine.

Ce droit ne va cependant pas s’appliquer si la décision :

  • est nécessaire à la conclusion ou à l'exécution d'un contrat entre vous et une entité qui traite vos données (appelée « responsable de traitement »);
  • est autorisée par une loi qui doit prévoir des mesures appropriées pour la sauvegarde de vos droits et libertés et de vos intérêts légitimes (considérant 71 donne l’exemple du contrôle et de la prévention de la fraude et de l’évasion fiscale)
  • est fondée sur votre consentement explicite

2 points importants à garder en tête :

  • Dans les cas du contrat et du consentement, l’entité qui traite vos données (appelée « responsable de traitement ») devra mettre en œuvre des mesures appropriées pour la sauvegarde de vos droits et libertés et de vos intérêts légitimes, et au moins vous donner un droit :
    • d'obtenir une intervention humaine,
    • d'exprimer votre point de vue et de contester la décision.
  • Dans le cas de données sensibles (comme par exemple les données relatives à la santé, les données relatives à la religion, aux affiliations syndicales, aux préférence sexuelles, …), le principe est qu’aucune décision automatisées ne peut être fondée sur ce type de données. Le considérant 71 précise qu’il s’agit d’éviter et de prévenir les effets discriminatoires liés au traitement de ce type de données. Néanmoins, il sera possible de prendre une décision automatisée, en ce compris le profilage, fondée sur des données sensibles si l’on est dans le cas d’un traitement basé sur le consentement explicite ou nécessaire pour des motifs d’intérêts public important et que des mesures appropriées pour la sauvegarde de vos droits et libertés et de vos intérêts légitimes aient été mises en place.