RGPD : Le profilage des données
La GDPR (General Data Protection Regulation), également appelée en France RGPD (Règlement général sur la protection des données) est une nouvelle norme européenne qui entrera en vigueur dès le 25 mai 2018. Si ce nouveau texte a pour but de responsabiliser chacun, il accorde aussi plus de droits à chaque individu sur ses propres données personnelles. Le profilage RGPD en offre une bonne illustration.
Le traitement des données strictement encadré
À l’issue de la mise en place de ce texte, chaque entreprise devra être en mesure de prouver à ses clients qu’elle est parfaitement capable de protéger ses données personnelles. C’est la raison pour laquelle le profilage RGPD sera surveillé avec attention.
Pour rappel, le profilage peut-être défini comme l’utilisation des données personnelles pour « pour évaluer certains aspects personnels relatifs à une personne physique ». Ces données (un pseudo, une adresse, l’âge…) permettent ainsi à l’entreprise de dessiner un profil « pour analyser ou prédire des éléments (…) de cette personne physique », tels que « ses comportements ou ses dispositions d’esprit ».
Les données détenues par l’entreprise et partagées à ses clients (hébergeur, mainteneur…) devront faire l’objet d’un contrat assurant le respect de la confidentialité des données.
Des droits renforcés sur leurs données personnelles
Le Règlement renforce également les droits de chaque individu sur ses données personnelles ; à l’issue de sa mise en place, chacun sera notamment en droit de bénéficier d’informations complémentaires et d’exprimer son point de vue à ce sujet, d’obtenir une explication ou encore de contester le profilage RGPD.
En outre, l’article 22 du Règlement stipule que « la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage ».
A noter que les traitements qui ne sont pas automatisés et qui nécessitent une intervention humaine sont exclus de cette notion.
Le profilage RGPD sera ainsi strictement encadré. Le règlement prévoit de lourdes sanctions en cas de manquement à la loi, pouvant aller jusqu’à 4% du chiffre d’affaires de l’entreprise fautive.
Récemment, la Commission Nationale Informatique et Libertés (CNIL), chargée de réguler ces pratiques, a d’ailleurs récemment infligé une amende record à la société Google pour n’avoir pas su protéger correctement les données personnelles de ses clients.