• GUIDE : LE RGPD EXPLIQUÉ
  • LE BLOG
  • CONTACT
www.audit-dpo.com
  • Accueil
  • Audit à blanc RGPD
  • Respecter le RGPD
  • Pourquoi s’inscrire ?
  • Demander un audit
RGPD : Article 22 – Décision individuelle automatisée, y compris le profilage
  • Accueil
  • Audit à blanc RGPD
  • Respecter le RGPD
  • Pourquoi s’inscrire ?
  • Demander un audit
  • GUIDE : LE RGPD EXPLIQUÉ
  • LE BLOG
  • CONTACT

Accueil » RGPD : Article 22 – Décision individuelle automatisée, y compris le profilage

RGPD : Article 22 – Décision individuelle automatisée, y compris le profilage

par Audit Pia | 22/Avr/2018 | Le RGPD article par article |

Article 22 Décision individuelle automatisée, y compris le profilage
La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.
Le paragraphe 1 ne s’applique pas lorsque la décision:
a) est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement;

b) est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou

c) est fondée sur le consentement explicite de la personne concernée.

Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.
Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l’article 9 « Traitement portant sur des catégories particulières de données à caractère personnel« , paragraphe 1, à moins que l’article 9, paragraphe 2, point a) ou g), ne s’applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place.

Surement un des articles les plus incompréhensible pour les néophytes et laissant aux états membres la liberté de légiférer de façon indépendante. L’article par excellence qui va faire que chaque pays aura sa petite spécificité et qui va vous obliger à avoir des politiques de gestion des données personnelles par pays.

L’un des articles qui fera couler beaucoup d’encre, pour essayer de faire simple, il ne s’agit là de profilage, retargeting, pré-targeting ….

Vous connaissez-tous critéo? Une belle pépite française qui vous affiche des publicité ciblé sur tous les sites que vous visité, vous savez cette pub de chaussure que vous avez regardez sur Sarenza et qui vous poursuit depuis 15j. Cet article est destiné à permettre aux internautes de s’opposer  tout en définissant le profilage comme :

  1. un traitement automatisé (n’excluant pas une intervention humaine) ;
  2. Qui est effectué sur des données à caractère personnel ;
  3. Et dont l’objectif est d’estimer certains aspects personnels de vos prospects/clients.

Nous avons tous des profils stocker dans différentes société et ce, sans que nous le sachions. Malheureusement, pour le moment il n’y a pas encore un standard permettant d’informer toutes les sociétés de ce secteur d’activité des  attentes. Critéo a initié un petit bouton « choisir sa pub » mais comme il l’indique sur leur page

Veuillez noter que si vous choisissez cette option, vous désactiverez les publicités Criteo sur le navigateur que vous utilisez mais également sur les navigateurs que nous avons pu rattacher à votre identifiant technique – pour ces derniers, la déasactivation ne sera effective que si vous visitez nos sites partenaires avec ces navigateurs dans un délai de six semaines. Sur les navigateurs que nous n’avons pas rattachés à votre identifiant technique, il se peut que vous ayez un cookie Criteo et donc que vous continuiez à voir des bannières Criteo.

Cela ne s’applique qu’aux services Criteo et ne bloquera pas les annonces diffusées par d’autres sociétés.

source : https://info.criteo.com/privacy/informations

Cela ne fonctionne pas pour le retargeting autre que Criteo, comme celui de google, amazon ou facebook. C’est la que la portabilité des données de l’article 20 du RGPD, devrait peut être permettre à des startups de proposer des outils plus générique de gestion du consentement vis à vis du profilage. Ce n’est qu’une question de temps.
Le G29, dans ses lignes directrices rappel que cet article 22 défini le principe générale d’interdiction du profilage, sauf à ce que vous ayez recueillie un consentement spécifique au profilage. Il faut cependant faire attention, cela n’est  pas suffisant, le groupe de travail précise aussi qu’il faut protéger les publiques faibles « sauvegarde des droits et libertés et des intérêts légitimes »; En effet, les personnes addictive au jeux, ou ayant des problèmes financiers  ne devraient pas être sollicité de façon répétée pour des casinos en lignes par exemple. Le G29 précise aussi  le caractère essentiel de l’information de vos prospects/clients, de la transparence de l’information
et du droit d’accès, ce qui implique que vous devez pouvoir expliquer l’algorithme en terme simple…

source : https://www.cnil.fr/sites/default/files/atoms/files/20171025_wp251_enpdf_profilage.pdf

Soyons certains qu’effectuer la balance entre les droits de vos clients/prospects et vos propriétés intellectuels applicable à vos algorithmes ne va pas être simple, et qu’il faut encore attendre l’ensemble des recommandation du G29 et de la CNIL pour pouvoir statuer. Nous ne pouvons que vous conseiller de suivre les mise à jour de cet article dans les semaines/mois à venir.

 

 

  • LinkedIn
  • Twitter
  • Google+
  • Facebook

Demander une étude personnalisée

Vous souhaitez une mise en conformité de votre entreprise au RGPD applicable le 25 mai 2018 ?
  • Usages des données / finalités de traitements : les données collectées seront utilisées pour vous envoyer un e-mail à l'ouverture du service ou pour la création d'un devis dans le cadre d'une demande de prestation.
  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Catégories

  • Actu
  • DPO
  • Etats des lieux
  • La protection des données
  • Le RGPD
  • Le RGPD article par article
  • tweets du jour

Articles récents

  • Checklist des éléments à vérifier en 2021 pour l’audit de sa compliance RGPD
  • Article 100 – Les obligations des contractants définies
  • Etat des lieux de la mise en place un PCA et PRA dans le cadre du RGPD
  • Article 97 – Rapports de la commission
  • Etat des lieux de la gestion de la sous-traitance dans le cadre du RGPD
2018 © Audit-Pia.com | Tous droits réservés |Plan du site | Données personnelles
Posting....
Share This
  • LinkedIn
  • Twitter
  • Google+
  • Facebook