Réponse

Le profilage a lieu lorsque vos aspects personnels sont évalués afin de réaliser des prédictions à votre sujet, même si aucune décision n’est prise. Par exemple, si une entreprise ou une organisation évalue vos caractéristiques (telles que votre âge, votre sexe, votre taille) ou vous classe dans une catégorie, cela signifie que vous êtes profilé.

La prise de décision exclusivement automatisée a lieu lorsque des décisions sont prises à votre sujet par des moyens technologiques et sans aucune intervention humaine: elles peuvent même être prises sans profilage.

La législation en matière de protection des données établit que vous avez le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un procédé automatisé si la décision produit des effets juridiques vous concernant ou vous affectant de manière significative de façon similaire. Une décision produit des effets juridiques lorsque vos droits sont affectés (par exemple votre droit de vote). En outre, le traitement peut vous affecter de manière significative s’il influence vos caractéristiques, votre comportement ou vos choix. Par exemple, le traitement automatisé peut mener au refus de votre demande de crédit en ligne.

Le profilage et la prise de décision automatisée sont courants dans un certain nombre de secteurs, tels que la banque et la finance, la fiscalité et les soins de santé. Ils peuvent être plus efficaces, mais moins transparents, et peuvent limiter votre choix.

En règle générale, bien que vous ne fassiez pas l’objet d’une décision basée exclusivement sur un traitement automatisé, ce type de prise de décision peut exceptionnellement être autorisé si une loi permet l’utilisation d’algorithmes et prévoit des garanties appropriées.

Les décisions exclusivement automatisées sont également autorisées lorsque:

  • la décision est nécessaire (c’est-à-dire qu’il n’existe pas d’autre manière d’atteindre le même objectif) pour conclure ou exécuter un contrat avec vous,
  • vous avez donné votre consentement explicite.

Dans ces deux cas, la décision prise doit protéger  vos droits et libertés en mettant en œuvre des garanties appropriées. L’entreprise ou l’organisation doit, à tout le moins, vous informer de votre droit d’obtenir une intervention humaine et de prendre les mesures procédurales requises. En outre, l’entreprise ou l’organisation devrait vous permettre d’exprimer votre point de vue et vous informer que vous avez la possibilité de contester la décision.

Les décisions basées sur des algorithmes ne peuvent pas utiliser certaines catégories de données, sauf si vous avez donné votre consentement ou si le traitement est autorisé  par le droit de l’UE ou le droit national (voir ci-dessus).

Exemple

Vous avez recours à une banque en ligne pour un prêt. Vous devez introduire vos données, et l’algorithme de la banque vous informe si la banque vous accordera le prêt ou non et vous communique le taux d’intérêt suggéré. Vous devez être informé de votre droit à: exprimer votre avis, contester la décision, exiger qu’une personne intervienne pour examiner la décision prise au moyen de l’algorithme.

Références