Article 22 Décision individuelle automatisée, y compris le profilage
La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.
Le paragraphe 1 ne s’applique pas lorsque la décision:
a) est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement;b) est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou
c) est fondée sur le consentement explicite de la personne concernée.
Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.
Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l’article 9 « Traitement portant sur des catégories particulières de données à caractère personnel« , paragraphe 1, à moins que l’article 9, paragraphe 2, point a) ou g), ne s’applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place.
Surement un des articles les plus incompréhensible pour les néophytes et laissant aux états membres la liberté de légiférer de façon indépendante. L’article par excellence qui va faire que chaque pays aura sa petite spécificité et qui va vous obliger à avoir des politiques de gestion des données personnelles par pays.
L’un des articles qui fera couler beaucoup d’encre, pour essayer de faire simple, il ne s’agit là de profilage, retargeting, pré-targeting ….
Vous connaissez-tous critéo? Une belle pépite française qui vous affiche des publicité ciblé sur tous les sites que vous visité, vous savez cette pub de chaussure que vous avez regardez sur Sarenza et qui vous poursuit depuis 15j. Cet article est destiné à permettre aux internautes de s’opposer tout en définissant le profilage comme :
- un traitement automatisé (n’excluant pas une intervention humaine) ;
- Qui est effectué sur des données à caractère personnel ;
- Et dont l’objectif est d’estimer certains aspects personnels de vos prospects/clients.
Nous avons tous des profils stocker dans différentes société et ce, sans que nous le sachions. Malheureusement, pour le moment il n’y a pas encore un standard permettant d’informer toutes les sociétés de ce secteur d’activité des attentes. Critéo a initié un petit bouton « choisir sa pub » mais comme il l’indique sur leur page
Veuillez noter que si vous choisissez cette option, vous désactiverez les publicités Criteo sur le navigateur que vous utilisez mais également sur les navigateurs que nous avons pu rattacher à votre identifiant technique – pour ces derniers, la déasactivation ne sera effective que si vous visitez nos sites partenaires avec ces navigateurs dans un délai de six semaines. Sur les navigateurs que nous n’avons pas rattachés à votre identifiant technique, il se peut que vous ayez un cookie Criteo et donc que vous continuiez à voir des bannières Criteo.
Cela ne s’applique qu’aux services Criteo et ne bloquera pas les annonces diffusées par d’autres sociétés.
source : https://info.criteo.com/privacy/informations
Cela ne fonctionne pas pour le retargeting autre que Criteo, comme celui de google, amazon ou facebook. C’est la que la portabilité des données de l’article 20 du RGPD, devrait peut être permettre à des startups de proposer des outils plus générique de gestion du consentement vis à vis du profilage. Ce n’est qu’une question de temps.
Le G29, dans ses lignes directrices rappel que cet article 22 défini le principe générale d’interdiction du profilage, sauf à ce que vous ayez recueillie un consentement spécifique au profilage. Il faut cependant faire attention, cela n’est pas suffisant, le groupe de travail précise aussi qu’il faut protéger les publiques faibles « sauvegarde des droits et libertés et des intérêts légitimes »; En effet, les personnes addictive au jeux, ou ayant des problèmes financiers ne devraient pas être sollicité de façon répétée pour des casinos en lignes par exemple. Le G29 précise aussi le caractère essentiel de l’information de vos prospects/clients, de la transparence de l’information
et du droit d’accès, ce qui implique que vous devez pouvoir expliquer l’algorithme en terme simple…
source : https://www.cnil.fr/sites/default/files/atoms/files/20171025_wp251_enpdf_profilage.pdf
Soyons certains qu’effectuer la balance entre les droits de vos clients/prospects et vos propriétés intellectuels applicable à vos algorithmes ne va pas être simple, et qu’il faut encore attendre l’ensemble des recommandation du G29 et de la CNIL pour pouvoir statuer. Nous ne pouvons que vous conseiller de suivre les mise à jour de cet article dans les semaines/mois à venir.
