Nouvelles

Jun 04, 2023

Droits liés à la prise de décision automatisée, y compris le profilage

Rechercher un article

Rechercher un article

Pour se conformer au RGPD britannique...

☐ Nous avons une base légale pour effectuer un profilage et/ou une prise de décision automatisée et documentons cela dans notre politique de protection des données.

☐ Nous envoyons aux personnes un lien vers notre déclaration de confidentialité lorsque nous avons obtenu leurs données personnelles indirectement.

☐ Nous expliquons comment les gens peuvent accéder aux détails des informations que nous avons utilisées pour créer leur profil.

☐ Nous indiquons aux personnes qui nous fournissent leurs données personnelles comment elles peuvent s'opposer au profilage, y compris le profilage à des fins de marketing.

☐ Nous avons des procédures permettant aux clients d'accéder aux données personnelles saisies dans les profils afin qu'ils puissent les examiner et les modifier en cas de problème de précision.

☐ Nous avons mis en place des contrôles supplémentaires pour nos systèmes de profilage/prise de décision automatisée afin de protéger tout groupe vulnérable (y compris les enfants).

☐ Nous ne collectons que le minimum de données nécessaires et avons une politique de conservation claire pour les profils que nous créons.

En tant que modèle de bonnes pratiques...

☐ Nous effectuons une DPIA pour examiner et traiter les risques avant de commencer toute nouvelle prise de décision ou profilage automatisé.

☐ Nous informons nos clients du profilage et de la prise de décision automatisée que nous effectuons, des informations que nous utilisons pour créer les profils et d'où nous obtenons ces informations.

☐ Nous utilisons des données anonymisées dans nos activités de profilage.

Pour se conformer au RGPD britannique...

☐ Nous effectuons une DPIA pour identifier les risques pour les individus, montrer comment nous allons les gérer et quelles mesures nous avons mises en place pour répondre aux exigences du RGPD au Royaume-Uni.

☐ Nous effectuons un traitement en vertu de l'article 22, paragraphe 1, à des fins contractuelles et nous pouvons démontrer pourquoi cela est nécessaire.

OU

☐ Nous effectuons un traitement en vertu de l'article 22, paragraphe 1, car nous avons enregistré le consentement explicite de la personne. Nous pouvons montrer quand et comment nous avons obtenu le consentement. Nous expliquons aux individus comment ils peuvent retirer leur consentement et leur proposons un moyen simple de le faire.

OU

☐ Nous effectuons un traitement en vertu de l'article 22, paragraphe 1, car nous sommes autorisés ou tenus de le faire. C'est le moyen le plus approprié pour atteindre nos objectifs.

☐ Nous n'utilisons pas de données de catégorie spéciale dans nos systèmes de prise de décision automatisés, sauf si nous avons une base légale pour le faire, et nous pouvons démontrer quelle est cette base. Nous supprimons toutes les données de catégorie spéciale créées accidentellement.

☐ Nous expliquons que nous utilisons des processus décisionnels automatisés, y compris le profilage. Nous expliquons quelles informations nous utilisons, pourquoi nous les utilisons et quels peuvent être les effets.

☐ Nous avons un moyen simple pour les gens de nous demander de reconsidérer une décision automatisée.

☐ Nous avons identifié le personnel de notre organisation qui est autorisé à effectuer des examens et à modifier des décisions.

☐ Nous vérifions régulièrement l'exactitude et la partialité de nos systèmes et intégrons tout changement dans le processus de conception.

En tant que modèle de bonnes pratiques...

☐ Nous utilisons des visuels pour expliquer quelles informations nous collectons/utilisons et pourquoi elles sont pertinentes pour le processus.

☐ Nous avons signé [standard] un ensemble de principes éthiques pour établir la confiance avec nos clients. Celle-ci est disponible sur notre site internet et sur papier.

La prise de décision individuelle automatisée est une décision prise par des moyens automatisés sans aucune intervention humaine.

Voici quelques exemples :

La prise de décision individuelle automatisée n'a pas besoin d'impliquer le profilage, même si c'est souvent le cas.

Le RGPD britannique stipule que le profilage est :

"Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser des données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant les performances de cette personne physique au travail, sa situation économique, sa santé, ses préférences personnelles, intérêts, la fiabilité, le comportement, l'emplacement ou les déplacements. »

[Article 4(4)]

Les organisations obtiennent des renseignements personnels sur des individus à partir de diverses sources. Les recherches sur Internet, les habitudes d'achat, les données sur le mode de vie et le comportement recueillies à partir des téléphones mobiles, des réseaux sociaux, des systèmes de vidéosurveillance et de l'Internet des objets sont des exemples des types de données que les organisations pourraient collecter.

Les informations sont analysées pour classer les personnes en différents groupes ou secteurs, à l'aide d'algorithmes et d'apprentissage automatique. Cette analyse identifie les liens entre les différents comportements et caractéristiques pour créer des profils pour les individus. Vous trouverez plus d'informations sur les algorithmes et l'apprentissage automatique dans notre article sur les mégadonnées, l'intelligence artificielle, l'apprentissage automatique et la protection des données.

En se basant sur les traits d'autres personnes qui semblent similaires, les organisations utilisent le profilage pour :

Cela peut être très utile pour les organisations et les particuliers de nombreux secteurs, notamment la santé, l'éducation, les services financiers et le marketing.

La prise de décision et le profilage individuels automatisés peuvent conduire à des décisions plus rapides et plus cohérentes. Mais s'ils sont utilisés de manière irresponsable, il existe des risques importants pour les individus. Les dispositions britanniques du RGPD sont conçues pour faire face à ces risques.

Le RGPD du Royaume-Uni vous empêche de prendre des décisions uniquement automatisées, y compris celles basées sur le profilage, qui ont un effet juridique ou similaire significatif sur les individus.

"La personne concernée a le droit de ne pas faire l'objet d'une décision fondée uniquement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de manière similaire."

[Article 22(1)]

Pour que quelque chose soit uniquement automatisé, il ne doit y avoir aucune implication humaine dans le processus de prise de décision.

La restriction ne couvre que la prise de décision individuelle automatisée qui produit des effets juridiques ou similaires. Ces types d'effets ne sont pas définis dans le RGPD du Royaume-Uni, mais la décision doit avoir un impact sérieux sur une personne pour être visée par cette disposition.

Un effet juridique est quelque chose qui affecte les droits légaux d'une personne. De même, les effets significatifs sont plus difficiles à définir mais incluraient, par exemple, le refus automatique d'une demande de crédit en ligne, et les pratiques de e-recrutement sans intervention humaine.

La seule prise de décision individuelle automatisée - y compris le profilage - ayant des effets juridiques ou similaires est limitée, bien que cette restriction puisse être levée dans certaines circonstances.

Tu peuxseuleffectuer uniquement une prise de décision automatisée avec des effets juridiques ou similaires si la décision est :

Si vous utilisez des données personnelles de catégorie spéciale, vous pouvezseulprocéder au traitement décrit à l'article 22, paragraphe 1, si :

Étant donné que ce type de traitement est considéré comme à haut risque, le RGPD britannique vous oblige à effectuer une évaluation de l'impact sur la protection des données (DPIA) pour montrer que vous avez identifié et évalué quels sont ces risques et comment vous allez les traiter.

En plus de restreindre les circonstances dans lesquelles vous pouvez effectuer uniquement une prise de décision individuelle automatisée (comme décrit à l'article 22, paragraphe 1), le RGPD du Royaume-Uni :

Ces dispositions sont conçues pour permettre aux individus de mieux comprendre comment vous pourriez utiliser leurs données personnelles.

Vous devez:

L'article 22 s'applique uniquement à la prise de décision individuelle automatisée, y compris le profilage, avec des effets juridiques ou similaires.

Si votre traitement ne correspond pas à cette définition, vous pouvez continuer à effectuer le profilage et la prise de décision automatisée.

Mais vous devez toujours vous conformer aux principes britanniques du RGPD.

Vous devez identifier et enregistrer votre base légale pour le traitement.

Vous devez avoir des processus en place pour que les gens puissent exercer leurs droits.

Les individus ont le droit de s'opposer au profilage dans certaines circonstances. Vous devez porter spécifiquement à leur attention les détails de ce droit.

Lien externe

Plus en détail - Orientations de l'ICO

Plus en détail – Comité européen de la protection des données

Le comité européen de la protection des données (EDPB), qui a remplacé le groupe de travail de l'article 29 (WP29), comprend des représentants des autorités de protection des données de chaque État membre de l'UE. Il adopte des lignes directrices pour se conformer aux exigences de la version européenne du RGPD.

Le WP29 a adopté des lignes directrices sur la prise de décision individuelle automatisée et le profilage, qui ont été approuvées par l'EDPB.

D'autres lignes directrices pertinentes publiées par le WP29 et approuvées par l'EDPB comprennent :

Lignes directrices du WP29 sur l'évaluation de l'impact sur la protection des données

Lectures complémentaires - Conseils de l'ICO

Le cadre de responsabilité examine les attentes de l'ICO en ce qui concerne les droits liés à la prise de décision automatisée, y compris le profilage.