Les technologies actuelles et les données à caractère personnel : le profilage, un souci d’enjeux commerciaux.

RGPD-et-profilage
A l’ère des nouvelles technologies, l’une des évolutions les plus importantes est de permettre de mieux connaître les caractéristiques des personnes par l’interconnexion de leurs données recueillies. L’objectif est de préciser le degré de connaissance et d’en tirer des enseignements, surtout par le profilage, qui est un enjeu commercial. Son objectif est de rendre les opérations plus efficaces et de permettre la réalisation d’un projet d’achat jusqu’à un déplacement.

Le profilage consiste en une prise de décision automatisée, soit une prise de décision pour une personne concernée grâce à un algorithme travaillant avec ses données personnelles sans que cette dernière le sache. Au vu de cette automatisation exponentielle des traitements, le Règlement Général sur la protection données personnelles ou RGPD (article 22) prévoit d’interdire une prise de décision totalement automatisée dans des domaines non-réglementés comme l’e-commerce. Pour le responsable de traitement, l’enjeu est de contourner les critères du régime hautement réglementé pour bénéficier d’une certaine marge de manœuvre.

D’un régime fortement encadré pour une décision totalement automatisée

A partir de l’interdiction pour l’entreprise de songer à la prise de décision exclusivement automatisée qui crée des effets juridiques ou autres naît un droit pour la personne de ne pas faire l’objet de ce procédé.

La Commission Nationale de l’Informatique des Libertés ou CNIL a acquis des outils de droit souple comme un logiciel RGPD pour contrôler la protection des données à caractère personnel : des recommandations, des référentiels, des lignes directrices. Le but est d’influencer les comportements des acteurs, en fonction des secteurs d’activités prédéfinis dans le cadre d’obligations légales. Il s’agit principalement des délibérations qui portent sur la lutte contre la fraude externe dans le secteur financier, les dispositifs d’aide à l’obtention de crédit et la lutte contre la fraude à l’assurance. Cependant, la lutte contre la fraude ne bénéficie pas seulement à ces cas contrôlés.

D’après Lemondeinformatique, environ 60 000 packs de profils volés comprenant des données biométriques et des informations de carte de crédit ont été vendus sur la toile de façon clandestine cette année. Toutes ces personnes sont donc susceptibles d’être victimes d’une fraude à la carte de crédit.

Les vendeurs du web cherchent à se protéger contre les risques de fraude car toute transaction est potentiellement risquée, quelle que soit la façon dont elle est réalisée.

L’intérêt d’un traitement de lutte contre la fraude est donc évident. Pour les responsables de traitement, l’enjeu est d’établir un système de prévention qui se base légalement sur le profilage. L’utilisation d’un registre des traitements RGPD est ainsi conseillée. A cet effet, il serait intéressant d’intégrer une mention durant la vente pour arguer la base légale du consentement.

En effet, d’après l’article 22, les seules exceptions à considérer pour la prise de décision totalement automatisée sont : le consentement de la personne concernée, l’obligation légale pour l’entité et la nécessité précontractuelle.

Dans la plupart des cas, aucun contrat n’est établi, donc la personne ne peut donner librement son accord. Poursuivre une commande peut être considérée comme un consentement (la personne a été informée). L’installation de cookies en cas de poursuite de la recherche en est un bon exemple.

Après l’instauration de ce système automatisé de détection et de prévention contre la fraude à la carte de crédit, les demandes de remboursements qui y sont liées ont été réduites de 80% en l’espace de deux ans. Les pertes sont passées de 100 000 à 20 000€.

En outre, aucun effet juridique n’est à prévoir pour la prise de décision automatisée car il n’y a pas de contrat. Elle ne touche donc aucunement la personne si elle peut obtenir la prestation d’une autre façon. Cette réflexion englobe également le débat de l’utilisation de l’intelligence artificielle et la protection des données.

Dispose d’une marge de manœuvre en cas de contournement des critères légaux

A défaut de pouvoir appliquer une exception de l’article 22, le traitement de données à caractère personnel est soumis à la règle d’interdiction. Le responsable de traitement pourra agir sur le critère d’automatisation dans la prise de décision (avec une intervention humaine). Il agira également sur les critères de conséquence en concluant que la décision ne cause pas d’effets juridiques pour la personne.

Comme les risques sont nombreux, la meilleure solution pour les entités est d’acquérir une technologie algorithmique pour détecter un comportement étrange. Elle est utilisée pour recenser tous les cas de fraude possibles.

L’objectif est de réduire les pertes financières et de ne pas entacher la réputation du commerçant. Il y a également la protection du client contre une dépense liée à la fraude.

  • Pour exclure le critère de décision entièrement automatisé, une analyse manuelle complémentaire par le service client qui possède un pouvoir de décision est indispensable.

La théorie de l’autorité de contrôle française confirme cette possibilité d’analyse manuelle si une transaction s’avère frauduleuse. Sinon, le responsable de traitement pourra instaurer une prise de décision totalement automatisée si elle n’affecte pas la personne de façon significative ou si elle n’a pas d’effet juridique.

Dans la lutte contre la fraude à la carte bancaire, aucun effet juridique systématique n’est prévu pour la personne. Il sera uniquement caractérisé si le score fourni par l’algorithme montre un risque de fraude important : le traitement n’aura pas de conséquences sur la plupart des transactions. De plus, en cas de fraude, le refus de vente n’aura d’impact que sur le fraudeur. Enfin, la personne concernée pourra toujours réaliser son achat avec un autre mode de paiement.

  • Les finalités pour le responsable de traitement consistent à s’assurer que le résultat n’aura pas d’impact sur le plan juridique ou n’affecte pas la personne concernée.

Selon le nouveau règlement européen, il convient de toujours respecter les droits des personnes physiques concernées dans tout traitement de données pour être en conformité avec la nouvelle Loi Informatique et Libertés. Le DPO ou Délégué à la protection des données personnelles (Data Protection Officer) doit faire en sorte que les responsables de traitements de données et les sous-traitants respectent bien la politique de protection des informations professionnelles pour assurer la sécurité des données collectées et traitées en tout temps et la protection de la vie privée.