RGPD : Profilage et traitement des données

Le Règlement Général sur la Protection des Données (RGPD), d’application directe le 25 mai 2018 dans les 28 Etats de l’Union européenne, constitue le nouveau texte de référence pour la protection des données à caractère personnel et à la libre circulation de ces données.
 

La mise en conformité des entreprises de courtage avec ce règlement est obligatoire, d’où la nécessité de prendre connaissance des 21 points mis en exergue par le RGPD.
 
PLANETE CSCA continue de présenter les thèmes de ce règlement en mettant à l’honneur cette semaine les notions de profilage et de traitement des données. Ces questions sont particulièrement importantes pour les courtiers en ce qu’elles auront un impact tangible et quotidien dans les entreprises, quelles que soient leurs tailles. 

Principe et limites du profilage
Le RGPD encadre la technique du profilage qui consiste à utiliser des données personnelles pour analyser ou prédire des éléments comme la santé, les préférences personnelles, le comportement ou les déplacements. Cet encadrement consiste dans le droit pour les personnes de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques.

Sous certaines conditions, le profilage est donc autorisé notamment pour l’exécution d’un contrat ou lorsque la personne a donné son consentement explicite.

Le profilage est interdit pour les enfants.
Toutes les garanties (opposition, effacement…) sont présentes pour le profilage avec le droit de demander une intervention humaine pour exprimer une opinion ou une décision.
Les lignes directrices du G29 seront publiées au second semestre 2017 pour préciser certaines notions comme le niveau d’information préalable à fournir.
 
La notion de traitement des données et le champ d’application du RGPD
Le traitement défini à l’article 4 consiste en toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que : la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Il est rappelé que les données à caractère personnel concernent toute opération se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Les trois critères de licéité, de loyauté et de transparence sont repris des anciennes directives.

D’une manière explicite, le traitement est licite s’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci.

L’article 9 réaffirme le caractère illicite des traitements de données sensibles (religion, race, santé, orientation sexuelle…) sauf dans dix cas bien définis (articles 9-2).
 
Le prochain article traitera des missions du responsable du traitement et du sous-traitant.