Profilage, algorithmes et projet de Règlement : comment trouver un équilibre entre les intérêts économiques des entreprises et la protection des droits et libertés individuelles ?

algorithmes

Photo-CV-Céline-Avignon-CA-originalCéline Avignon
Avocat à la Cour
ALAIN BENSOUSSAN
Intervenante lors de la conférence EFE « Réforme de la protection des données personnelles » le 24 mars 2016 à Paris.

La croissance exponentielle des technologies de l’information et de la communication (TIC) ainsi que le changement de paradigme créé par le big data placent les algorithmes prédictifs au coeur des enjeux économiques et éthiques de notre société. Ils offrent une efficacité et une rapidité redoutables pour traiter des données complexes et de masse (big data) et surtout tirer des analyses pertinentes dans de nombreux domaines. C’est grâce au Big Data que peuvent se faire l’analyse prédictive ou la détection d’un comportement par l’analyse d’un ensemble de « signaux faibles » permettant d’anticiper une action particulière.

Les processus de profilage deviennent extrêmement fin précis et permettent de tenir compte en temps réel des variations dans les comportements individuels. Leur force ou leur caractère potentiellement dangereux pour les libertés individuelles réside dans le fait qu’ils permettent d’établir des corrélations statistiquement signifiantes entre des éléments à priori sans rapport pour établir des profils exploitables.
Dans ce contexte, la proposition de règlement européen tenant compte des risques inhérents à l’utilisation d’algorithmes de plus en plus puissants renforce les dispositions applicables au profilage pour assurer un droit effectif notamment aux consommateurs de ne pas voir des quantités importantes d’informations à propos de leurs activités, trajectoire où habitue d’exploiter à des fins de profilage de leur comportement par les sociétés privées.
Aux termes de l’article 4.3.bis.bis. de la dernière version du projet de Règlement, le profilage est défini comme :

– « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels liés à une personne physique, notamment pour analyser et prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles ou les intérêts, la fiabilité ou le comportement, ou la localisation et les déplacements ».

Cette définition fait écho à celle des « moyens automatisés » de la Directive 95/46/CE, de même que le principe d’interdiction des traitements automatisés, repris à l’article 20 du projet de Règlement. Il résulte effectivement de cet article que les individus ont le droit de ne pas être soumis à une décision résultant exclusivement d’un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière sensible.

Cette interdiction est significativement plus large que celle actuellement en vigueur et la protection des citoyens s’en trouve donc accrue. Ce principe est néanmoins tempéré par certaines exceptions pour garantir l’efficience et la pertinence des dispositions du Règlement avec la réalité économique de la société de l’information.

L’article 20 du projet de règlement prévoit un certain nombre d’exceptions au principe d’interdiction, telles que, notamment, l’obtention du consentement de la personne concernée par le traitement ou le recours au profilage s’il est rendu nécessaire pour conclure ou exécuter un contrat entre la personne concernée et le responsable de traitement, s’il est autorisé par le droit de l’Union européenne ou le droit d’un État membre.

Ces exceptions sont soumises au respect préalable de certaines conditions par le responsable de traitement, qui doit :

– Explicitement informer la personne concernée par le profilage et mettre en œuvre les garanties appropriées pour sécuriser ce traitement et protéger les droits de la personne concernée. Ces mesures consistent a minima en un droit d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision ;

– Informer expressément, au moyen de la mention obligatoire d’information en application de l’article 14.1., de la logique sous-jacente du traitement, de son importance et des conséquences d’un tel traitement.

Ainsi, la proposition de règlement tout en tenant compte du principe de réalisme économique tente de donner aux individus, lorsque des algorithmes prédictifs sont utilisés pour prendre des décisions à leur égard des garanties pour assurer l’effectivité de l’intervention humaine dans la prise de décision, l’absence de discrimination, en prévoyant l’obligation pour les entreprises de mettre en place des garanties de procédure et de transparence en imposant une information spécifique permettant un contrôle des résultats produits par les algorithmes, en informant notamment de la logique sous jacente du traitement et de ces conséquences.

En conséquence, les entreprises ayant recours de manière régulière au profilage par des algorithmes vont devoir être particulièrement vigilantes quant à la mise en œuvre de ces traitements à la suite de l’entrée en vigueur du Règlement. Elles disposeront d’un délai de deux ans à la suite de sa publication au Journal Officiel de l’UE pour se mettre en conformité. Elles devront tout particulièrement déterminer les moyens d’information et de recueil de consentement à mettre déployer compte-tenu des nouvelles exigences établies par le Règlement sur ce point.

Laisser un commentaire