[mis à jour le 16 mai 2018] La mise à jour le 6 février 2018 du document WP 251 – essentiel – du groupe des CNIL européennes est l’occasion de se pencher en détail sur la notion de « profilage RGPD ». Ce « WP 251 rev.01 » représente la « doctrine officielle » d’interprétation UNIFORME du texte du Règlement Général sur la Protection des Données n°2016/679. Toutes les CNIL des 27 états de l’Union Européenne seront tenues d’en respecter la lettre (et l’esprit s’il reste encore un doute…). Cette présentation PROFILAGE RGPD est également (et surtout) un mode d’emploi pour les entreprises (très, très nombreuses) et les personnes publiques (parfois) qui procèdent au profilage de leurs clients / prospects / salariés / users / usagers / etc.
Cliquez ici pour télécharger le WP 251 rev.01 depuis le site web de la Commission. Désolé, c’est en vUK only.

liste des « Working Papers » du G.29

Pour une liste à jour des différents « Working Papers » de l’UE interprétant le GDPR, cliquez sur http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1360 ou sur celui des WP qui vous intéresse :

• Guidelines on Consent under Regulation 2016/679 (wp259rev.01)
• Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (wp251rev.01)
• Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01)
• Guidelines on the application and setting of administrative fines (wp253). Now including available language versions.
• Guidelines on the Lead Supervisory Authority (wp244rev.01)
• Guidelines on Data Protection Officers (‘DPOs’) (wp243rev.01)
• Guidelines on the right to « data portability » (wp242rev.01)
• Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01)

La présentation en BD « profilage RGPD »

Je ne peux pas tout écrire en format littéraire. Alors certaines propositions / suggestions concrètes (clauses contractuelles par ex.) ne se trouvent que dans les slides…
[wonderplugin_gallery id= »184″]

Le profilage RGPD ?

« PROFILER » ? C’est utiliser les données dont on dispose pour « analyse ou prédire » le comportement ou la personnalité des clients / prospects / salariés / users / usagers / etc. Techniquement, le profilage RGPD, ce sont des « statistical deductions » pour le G.29. Quel que soit votre niveau de maitrise de la langue de Shakespeare, vous devriez comprendre sans difficulté…
[mise à jour du 3 avril 2018] J’ai la « perle juridique » de l’année, entendue à propos d’une grande société installée sur plusieurs pays de l’UE qui déploie sa politique GDPR (attention, ça va faire mal aux yeux des juristes qui savent lire) : « la segmentation, ce n’est pas du profilage« . Oui, vous avez bien lu. Il a fallu dépenser des fortunes (et surement s’y mettre à plusieurs) pour l’inventer, celle-là. C’est le problème actuel de la GDPR, tous ces « nouveaux » spécialistes du droit de la protection des données personnelles… Je ne suis pas certain que cet « argument » fasse rire la CNIL en cas de contrôle. Mais ça va générer de l’honoraire, ça, en revanche, c’est certain. Et pour un résultat couru d’avance. Comment ? Oui, bien sur, pardon, c’est tellement évident : la « segmentation« , c’est du « profilage » au sens de la GDPR ! What else ? Si vous voulez le lire sous la plume du G.29, c’est ma slide 9 (je viens de vérifier la citation).
C’est grâce au profilage que vous recevez des pubs personnalisées (« ciblées » disent les professionnels) lorsque vous visualisez des pages de sites web.
C’est grâce au profilage de vos données de navigation sur un site web que vos e-commerçants vous affichent en moins de 120 millisecondes des recommandations d’achat selon ce sur quoi vous avez cliqué. Et la manière dont vous cliquez, la fréquence de vos clicks, la nature technique de votre navigation (mobile / tablette / ordi / etc.).
120 millisecondes ? C’est le temps moyen entre le moment ou vous cliquez sur une page web et le moment où l’affichage a lieu. Dans l’univers du numérique, c’est plus qu’il n’en faut pour traiter des data et vous restituer le résultat de ce traitement.

Le droit d’opposition à profilage RGPD !

Dès le 25 mai 2018, les professionnels du e-commerce et la presse en ligne ont bien compris (parfois dans la douleur…) que le droit d’opposition de l’article 21 RGPD leur imposait (i) de mentionner systématiquement et clairement l’existence d’un profilage et (ii) d’offrir un droit constant d’opposition à (« prospection, y compris le« ) profilage RGPD.

Si l’internaute client / prospect / salarié / user / usager / etc. demande l’arrêt du profilage de ses données à caractère personnel, le « responsable du traitement » (« data controller » en Shakespeare dans le texte) doit arrêter de profiler et effacer les données relatives au profilage. Immédiatement et sans devoir demander de justification à celui qui s’y oppose.
[mise à jour du 3 avril 2018] Et il est évident que le droit d’opposition ne peut être controlé ni géré par le sous-traitant. Si ce sont les data qui ont été collectées par le « responsable du traitement » (la « marque » en mot d’aujourd’hui), c’est à lui de garantir à son sous-traitant, auquel il demande le traitement de ses data, de faire en sorte que ce sous-traitant dispose de fichiers « nettoyés » des personnes qui ont dit STOP (à la prospection/profilage) ou FINI (retrait du consentement). Et si ce sous-traitant a deux doigts de bon sens, il va demander au responsable du traitement, son client donneur d’ordre, que le client lui garantisse contractuellement que les fichiers soient « clean » de tout STOP ou FINI. Comment le sous-traitant pourrait-il vérifier cela sur des données qui ne sont pas à lui (ce que le responsable du traitement ne manquera pas de lui rappeler) ? Le responsable du traitement ne peut pas légitimement réclamer la protection du statut de producteur du contenu de la base de données (contenu dont il demande le traitement à son sous-traitant) et faire par ailleurs porter une responsabilité sur la collecte de ces mêmes données au sous-traitant !!! Sauf pour les sous-traitants adeptes du suicide juridique devant l’Autorité de contrôle. Ou les amateurs de scandale du type « Cambridge Analytica » (ha bon ? J’ai fourni 50 millions de données ? mais je le jure, je ne savais rien ! on m’a trompé !!!).

Alors, vous les professionnels, arrêtez de maugréer. C’est la loi dès le 25 mai 2018. A-je besoin de vous rappeler le niveau de sanction au format « 20 millions / 4 % » puisqu’il s’agit de « corriger » un non-respect d’1 des 8 droits GDPR ? [mise à jour du 3 avril 2018]  Aujourd’hui, en cas de probleme les « responsables de traitement / donneur d’ordre » demandent contractuellement une garantie illimitée à leurs sous-traitants en cas de condamnation pécuniaire prononcée par la CNIL. Relisez les jurisprudences 2014 -> 2018 sur les failles de sécurité : ce sont TOUJOURS les « responsables du traitement » qui trinquent, alors qu’à chaque fois, c’est un probleme rencontré chez leur sous-traitant ! ça va commencer à coûter cher en terme de risque par contrat pour les pro du traitement de la data… Ce sont les assureurs qui vont se régaler quand les déclarations de sinistre professionnel vont commencer à tomber. Et je ne parle même pas des condamnation pour « oubli » des déclaration des fuites de données / failles de sécurité à l’Autorité de contrôle…
Pour la personnalisation en ligne de la pub ? Faites comme les meilleurs de la presse en ligne, proposez « l’expérience de la personnalisation » à vos clients / prospects / salariés / users / usagers / etc. Et montrez leur que le profilage de données personnelles, « ce n’est pas sale« . Au contraire, ça peut être « génial » et parfaitement justifié. Alors, vous les pro, vous allez voir : si vous informez au préalable vos lecteurs / internautes / client / prospect / salarié / user / usager / etc., ils vont y revenir et vous pourrez à nouveau profiler leurs data. Parce que vous serez transparent. Et que ça marche vraiment très bien ! Dites-le avant, c’est tout !!!