Le RGPD (Règlement Général sur la Protection des Données) qui s’appliquera à partir du 25 mai 2018 dans l’UE constitue le nouveau texte de référence qui régira le monde de la protection des données à caractère personnel. Parmi les changements les plus importants apportés par ce nouveau règlement, l’encadrement relativement strict du profilage et des traitements de données. Mais de quels changements parle-t-on ?
Profilage : principe et limite
Le RGPD 2018 vient encadrer assez strictement la technique de profilage. Le profilage est une technique très utilisée par les entreprises de marketing pour analyser des données. Le profilage est utilisé pour analyser ou prédire des informations diverses : préférences, comportements, déplacements… Le RGPD vient encadrer cette pratique. Dorénavant, les citoyens auront le droit de ne pas faire l’objet d’une décision produisant des effets juridiques et exclusivement fondée sur un traitement automatisé.
Le profilage ne se fera alors que sous certaines conditions. Il ne sera autorisé que s’il est nécessaire pour l’exécution d’un contrat ou lorsque la personne concernée a donné son consentement de manière explicite. Malgré tout, le profilage des données appartenant aux enfants est interdit.
Traitements de données du point de vue du RGPD
La notion de traitement de données est une des notions clés du RGPD. Elle est définie par l’art 4 du nouveau règlement : c’est « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telle que : la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. »
Les données à caractère personnel sont pour faire simple des informations qui permettent d’identifier directement ou indirectement une personne physique ou morale : nom, numéro de téléphone, numéro d’identification, données de localisation… Bref, les données personnelles sont des informations liées à l’identité physique, génétique, psychique, économique, sociale, culturelle et culturelle.
Pour qu’un traitement soit licite, il doit répondre à plusieurs critères. Tout d’abord, un traitement ne sera licite que s’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à la réalisation d’une clause précontractuelle. Ensuite, le traitement ne doit pas porter sur des données sensibles (religion, courant politique, race, santé…). Les exceptions à cette règle sont prévues par l’article 8 du RGPD :
- La personne concernée a donné son consentement librement et de manière expresse sauf si cela est interdit par le droit européen ou la législation nationale ;
- Le traitement est nécessaire à la sauvegarde de la vie humaine ;
- Le traitement est mis en œuvre par une association ou un organisme à but non lucratif, à caractère religieux, philosophique politique ou syndical (il y a quelques réserves) ;
- Le traitement est nécessaire pour l’exercice ou la défense d’un droit devant une instance juridictionnelle ;
- La réalisation du traitement est nécessaire aux fins de la médecine préventive, diagnostics médicaux, administration de soins ou de traitements…
- …