Délégués des Ministres
Documents CM

CM(2010)147 add3final 25 novembre 20101

1098 Réunion, 17 novembre 2010
10 Questions juridiques

10.2 Comité européen de coopération juridique (CDCJ) –
d. Recommandation CM/Rec(2010)13 du Comité des Ministres aux Etats membres sur la protection des personnes à l’égard du traitement automatisé des données à caractère personnel dans le cadre du profilage

Exposé des motifs

I. Avant-propos

Droit à la vie privée comme un droit fondamental

1. Le Conseil de l’Europe, dont le siège se trouve à Strasbourg (France) est la doyenne des organisations politiques européennes. Créée en 1949, elle recouvre aujourd’hui la quasi-totalité du continent européen, avec ses 47 Etats membres.

2. La première et l'une des plus importantes conventions établies par le Conseil de l'Europe est la Convention de sauvegarde des droits de l'homme et des libertés fondamentales, plus communément appelée « Convention européenne des droits de l’homme » (STE No. 5) (ci-après « la CEDH »), et qui a été ouverte à la signature en 1950. Elle crée la Cour européenne des droits de l’homme (ci-après « la Cour »), juridiction internationale compétente pour statuer sur des requêtes individuelles ou étatiques alléguant des violations des droits civils et politiques, tels qu’énoncés par la CEDH. Ses arrêts ont force obligatoire pour les Etats concernés et, dès lors, conduisent les gouvernements à modifier tantôt leur législation, tantôt leur pratique administrative dans de nombreux domaines.

3. L'article 8 de la CEDH énonce en son premier alinéa : « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ». L’alinéa 2 précise qu’il ne peut y avoir d'ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la défense d'un certain nombre de buts légitimes.

4. Sur ce fondement, la Cour a eu l’occasion de préciser, à l’occasion d’arrêts, que les mesures d’ingérence, même si elles visent à protéger la démocratie, ne devraient pas la détruire au motif de la défendre2. La Cour a également dégagé une jurisprudence selon laquelle l'article 8 peut engendrer, de surcroît, des obligations positives inhérentes à un « respect » effectif de la vie privée. Conformément à cette théorie dite des « obligations positives », l’action de l’Etat consiste alors à mettre en place les mesures nécessaires, y compris législatives, pour garantir le respect concret et effectif des droits découlant de l’article 8 de la CEDH.

5. Ainsi, la protection des données à caractère personnel joue un rôle fondamental pour l’exercice du droit au respect de la vie privée et familiale consacré par cet article 8 en vertu duquel la législation interne se doit de prévoir des garanties appropriées pour empêcher toute utilisation de données à caractère personnel non conforme aux garanties prévues dans cet article et d’assurer la protection efficace des données à caractère personnel enregistrées contre les usages impropres et abusifs.3

6. La CEDH consacre également, dans son article 10, le droit fondamental à la liberté d'expression. Le droit à la liberté d'expression inclut explicitement la « liberté de recevoir ou de communiquer des informations ou des idées sans qu'il puisse y avoir ingérence des autorités publiques et ce, sans considération de frontières  ». Cette liberté de recevoir des informations est considérée comme s'étendant à la « liberté de rechercher des informations ». L’exercice de cette liberté de recevoir, de communiquer ou de rechercher des informations à l’aide des technologies d’information et de communication suppose un anonymat car, sans une telle garantie raisonnable, la crainte d’une ingérence de la part des autorités publiques ou de compagnies privées serait légitime, même si cette ingérence se limite à une simple observation et à un enregistrement du comportement des internautes.

La Convention 108 et son Protocole Additionnel

7. Dans les années qui ont suivi l'adoption de la CEDH, il est apparu de plus en plus nécessaire de développer la protection juridique de la vie privée de manière plus spécifique et systématique par souci d’efficacité et pour faire face à la montée des risques nouveaux d’atteinte à la vie privée nés des technologies de l’information.

8. C’est ainsi que fut élaborée la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE n° 108)4, que l’on nomme « Convention 108 ». Elle fut élaborée en même temps que les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel de l’Organisation de coopération et de développement économiques. Des Etats non membres du Conseil de l’Europe, tels que l’Australie, le Canada, le Japon et les Etats-Unis d’Amérique, ont participé à l’élaboration de la Convention 1085.

9. La Convention 108 a été ouverte à la signature le 28 janvier 1981. A ce jour, 446 Etats membres du Conseil de l’Europe l’ont ratifiée ; certains autres l’ont signée et préparent sa ratification.

10. Elle constitue un instrument juridique contraignant avec une vocation universelle car elle est ouverte à l’adhésion d’Etats non membres de l’Organisation et le Comité des Ministres a affirmé sa volonté d’examiner les demandes d’adhésion provenant des Etats qui ne sont pas membres du Conseil de l’Europe7.

11. Le 15 juin 1999, le Comité des Ministres a adopté des amendements à la Convention 108 pour permettre l’adhésion des Communautés européennes8.

12. La Convention 108 établit des principes applicables au secteur public comme au secteur privé et ayant trait à la qualité des données, au traitement des données sensibles, à l’information de la personne concernée, au droit d’accès et de rectification.

13. La Convention 108 prévoit également la libre circulation des données à caractère personnel entre les Parties à la Convention. Cette libre circulation ne saurait être restreinte pour les seules raisons de protection des données à caractère personnel. L’objectif de cette disposition est, et reste, de permettre le transfert à l’intérieur d’un périmètre géographique de pays qui offrent un niveau adéquat de protection des données à caractère personnel.

14. Les garanties existantes ont été renforcées par un Protocole additionnel9 qui prévoit une obligation pour les Parties de se doter d’une ou de plusieurs autorités exerçant un contrôle en toute indépendance, ainsi qu’une obligation de ne pas permettre, en principe, le flux des données à destination de pays ou d’organisations n’offrant pas un niveau de protection adéquat. Le refus de transfert vers un Etat n’offrant pas de garanties adéquates ou vers un Etat tiers, non Partie à la Convention 108, est possible10.

Activités normatives du Conseil de l’Europe en matière de protection des données

15. Même si les dispositions de la Convention 108, à l’heure actuelle, relèvent de l’ordre juridique interne de la plupart des Etats membres du Conseil de l’Europe, la complexité des questions relatives à la protection efficace des données à caractère personnel au vu, notamment, de l’apparition constante des nouvelles technologies et des pratiques, appelle une analyse et une solution innovatrices. Face à ces défis, les autorités nationales chargées de la protection des données ou les commissaires à la protection des données se trouvent au premier rang pour aborder ces questions complexes et apporter des solutions appropriées. Les tribunaux contribuent, par ailleurs, à la protection de l’individu face aux atteintes à la vie privée.

16. Le Comité des Ministres a adopté plusieurs recommandations basées sur la Convention 10811. Il convient de s’assurer que la collecte et le traitement de données dans un secteur donné (banque, assurance, santé, police etc.) ou effectués à l’aide d’une technique ou d’une technologie particulière (smart card, vidéo surveillance, marketing direct) ou encore relatifs à une catégorie particulière de données (sensibles, biométriques, etc.) sont toujours conformes aux principes généraux établis par la Convention 108.

17. Ces recommandations s’adressent aux gouvernements de l’ensemble des Etats membres du Conseil de l’Europe. Bien qu’elles ne soient pas juridiquement contraignantes, elles constituent des normes de référence et contiennent une invitation à considérer la possibilité d’adopter et d’appliquer le droit interne conformément à des principes énoncés dans les recommandations.

18. Tout en continuant à reconnaître l’absolue nécessité d’une législation, il convient également de promouvoir, parmi les acteurs de la société de l’information, un régime d’autorégulation visant à rendre plus effective la protection de la vie privée et des données face aux vastes réseaux de télécommunication sans frontières, à la croissance des flux des données personnelles et au développement constant des technologies d’information et de communication.

Les travaux du Conseil de l’Europe sur le profilage

19. En 2008, une équipe d’experts scientifiques a présenté un rapport sur l’application de la Convention 108 au mécanisme de profilage12 lors de la 24e réunion plénière du Comité consultatif de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (ci-après le
«T-PD »).

20. Le rapport mettait notamment en avant les pratiques de l’utilisation de nombreuses technologies, telles que les hyperliens transclusifs (« web bugs ») ou les témoins (« cookies » informatiques), potentiellement cumulables et permettant, par nature, l’observation et la traçabilité des individus à leur insu, non seulement par les sites visités mais également par des compagnies tierces établies en dehors du territoire des Etats membres du Conseil de l’Europe. Le rapport démontrait également que ces pratiques, largement répandues mais peu connues du grand public, étaient potentiellement constitutives d’une atteinte au respect de la vie privée des personnes concernées.

21. La présentation du rapport a été suivie d’une discussion au sein du T-PD, en particulier sur les conclusions du rapport qui plaidait en faveur de l’élaboration d’une nouvelle recommandation en la matière. Lors de sa 1050e réunion le 13 mars 2009, le Comité des Ministres a examiné l’opportunité de mener des travaux dans ce domaine et a chargé le Comité européen de coopération juridique (CDCJ) de préparer, en coopération étroite avec le T-PD, une recommandation sur le profilage13. C’est sur la base de cette décision qu’a été élaboré le projet de recommandation.

22. Ce projet de recommandation a fait l’objet d’une consultation publique ayant permis de recueillir les commentaires de plusieurs parties prenantes, telles que des fournisseurs d’accès Internet, des associations de publicitaires en ligne, des représentants d’associations de commerce et de consommateurs. La Commission européenne, la Chambre internationale du commerce et l'Association francophone des autorités de protection des données personnelles ont également contribué, entre autres, aux travaux eu égard à leurs compétences.

23. Le texte a été transmis au CDCJ, qui l’a approuvé lors de sa 85e assemblée plénière (11-14 octobre 2010) et l’a par la suite transmis au Comité des Ministres en vue de son adoption.

24. Il est enfin nécessaire de souligner que, au jour de son adoption, la recommandation sur la protection des personnes à l’égard du traitement automatisé des données à caractère personnel dans le cadre du profilage constitue le premier texte normatif international contenant un ensemble de principes susceptibles d’être appliqués d’une manière générale à tous les traitements des données à caractère personnel ayant recours aux techniques de profilage.

II. Introduction

25. Le concept du World Wide Web est apparu au début des années 1990 et s’est développé de manière exponentielle dans tous les pays de la planète. La « toile » a progressivement mis en communication des institutions avec des hommes par le biais de serveurs web. Parallèlement, l’Internet a mis en communication les hommes entre eux tout d’abord par le biais du courrier électronique, ensuite par l’intermédiaire des blogs et, plus récemment, par le biais des réseaux sociaux, ce qu’il est convenu d’appeler le web 2.0 ou le web participatif.

26. A l’horizon se profile déjà une nouvelle étape technique du développement des réseaux globaux de télécommunication où il ne s’agira plus seulement d’interconnecter les individus entre eux mais aussi de doter les objets entourant les hommes, dans un premier temps, d’une intelligence logicielle, et, dans un deuxième temps, d’une capacité de communication sur un réseau local relié à Internet. Les premières applications de la technologie « Radio Frequency Indentification » (RFID) préfigurent ce que pourra être demain le monde dit de l’ « intelligence ambiante ».

27. Ainsi, l’Internet de demain ne sera pas seulement une interconnexion des êtres humains entre eux mais une interconnexion des objets devenus « intelligents » (internet des objets) qui entourent le citoyen dans sa vie de tous les jours et accompagnent ses mouvements et les événements les plus quotidiens de sa vie. Dans ce monde ainsi qualifié d’intelligence ambiante, les objets observeront et analyseront en permanence et, probablement, à leur insu, les comportements des être humains qui les entourent afin d’interagir avec eux de manière dynamique.

28. On pourrait ainsi imaginer que le téléviseur relié à Internet informe le frigo de la date du prochain match de football. Le frigo passerait directement commande du nombre de bières nécessaires, sur base des consommations de bière antérieures lors du dernier match de football. La machine à laver intelligente pourrait grâce à la lecture des puces, la RFID, incorporées dans les vêtements trier le linge et adapter son programme de lavage à chaque textile particulier. Le pacemaker pourrait probablement composer un numéro d’urgence après avoir détecté un début de crise cardiaque du sujet et transmettre instantanément la localisation du malade et son dossier médical complet aux services d’urgence.

29. Parallèlement, cette évolution s’accompagne d’une croissance importante des capacités de stockage, de traitement et de communication des données qui permet l’accumulation de données relatives à des groupes plus ou moins larges de population au sein de vastes bases de données et la confrontation aléatoire ou non des données enregistrées et ainsi de « profiler » des catégories de personnes, de prédire « statistiquement » leurs comportements futurs et de classer tel ou tel individu identifié ou non par rapport à ces profils. Ainsi l’analyse du panier d’un client de supermarché se présentant à telle heure dans tel quartier permet d’affirmer que ce panier correspond à tel profil de consommateur ; on en déduit alors a priori qu’il doit être intéressé par telle ou telle offre de produit ou de service.

30. Couplée à l’émergence progressive d’une société d’objets intelligents, connectés à terme au réseau Internet et couplés à de nombreux mécanismes diffusés et couramment utilisés (comme les cookies, les web bugs etc.,…) au niveau mondial sur les sites à grand trafic, le phénomène de profilage sera accentué et rendu permanent. Cette connaissance intime de l’individu d’une ampleur, d’une ubiquité et d’une efficacité inédites, permettrait non seulement de démarcher chaque individu en particulier en fonction de son profil mais aussi d’adapter le prix de chaque bien ou service de manière dynamique en fonction de l’élasticité de la demande de chaque personne.

31. Cette évolution du réseau appelle de nombreuses réflexions. Les applications multiples des technologies décrites présentent indéniablement des avantages importants pour la personne concernée ; elles créent néanmoins des risques non négligeables d’abus et d’atteintes aux droits et libertés fondamentales. En effet, des acteurs, parmi lesquels certains, déjà bien implantés dans la société de l’information et de la communication, pourraient utiliser ces informations dans leur intérêt propre, à l’insu de la personne concernée et sans offrir de contre partie équitable. Les garanties appropriées devraient être développées afin de ne pas permettre aux fruits de cette nouvelle société de l’information et de la communication de porter atteinte aux droits et libertés fondamentales de cette même société. Le dispositif de l’information accrue qui souligne les caractéristiques principales des technologies aurait permis leur utilisation optimale, ainsi que la meilleure protection des droits des personnes concernées. L’e-inclusion et l’éducation numérique devraient également jouer un rôle important.

32. Les évolutions techniques récentes permettent aujourd’hui, notamment par l’analyse automatique des trajectoires et des regards, de mesurer l’émotion et le centre d’intérêt des individus, même si ceux-ci n’en sont pas conscients. Des expériences actuellement en cours montrent que le secteur du marketing s’intéresse à cette technique nouvelle de mesure de l’émotion en temps réel.

33. On pourrait aussi souligner les risques de voir les données de santé exploitées par les mutuelles d’assurance pour déterminer des tarifs spécifiques et surtout pour exclure certaines personnes de leurs offres. Cette individualisation du traitement des dossiers compromet l’idée même de l’assurance basée sur le partage du risque.

34. Au-delà du secteur du marketing direct, il est possible que cette technologie soit développée et utilisée dans d’autres contextes relatifs à l’intérêt public sans, parfois, être visible ou contrôlée.

35. On peut ainsi imaginer l’intérêt que posséderait un parti politique, une association ou un groupe d’activiste à pouvoir profiler de manière aussi fine chacun des électeurs et, éventuellement, à adapter en temps réel la présentation électronique de son programme politique en fonction d’un profil particulier. Il serait techniquement possible qu’un gouvernement utilise de manière massive le profilage sur les réseaux de télécommunication, y compris sur les réseaux privés, pour détecter les individus les plus rebelles, les discriminer ou les écarter.

36. Dans le secteur public, la possibilité de corréler des informations en provenance de multiples bases de données sur base d’identifiants uniques permet même de détecter a priori les présumés bénéficiaires de certains avantages sociaux, les personnes suspectées de fraude ou d’aider, le cas échéant, à la recherche de criminels. Sans doute, cette identification est légitime si elle est accompagnée par les garanties nécessaires qui vont permettre à chacun de contester la « vérité » sortie de l’ordinateur.

37. Au-delà de ces applications dans le secteur public ou privé, quelques enjeux majeurs devraient être soulignés relatifs à la collecte des données de plus en plus massive et le profilage plus fin qu’elle induit. Premièrement, le volume important d’informations propres à un individu et issues des objets intelligents serait tel qu’il permettra l’identification, le traçage et la géo-localisation de chaque individu à tout moment. Dans ce contexte, la possibilité de préserver l’anonymat ou plutôt celle de ne pas appliquer le profil est déjà suffisamment difficile, voire impossible d’un point de vue technique. Deuxièmement, il serait par ailleurs possible, à partir du recoupement d’informations a priori anodines transmises par les réseaux et relatives à un individu particulier de déduire, avec un taux d’erreur marginal, certaines données sensibles relatives à sa santé, à sa religion, à ses préférences sexuelles ou à son appartenance syndicale.

II.1 Caractéristiques du profilage

38. Le profilage appréhendé dans le cadre de la présente recommandation se déroule en trois étapes techniquement distinctes :

- Une étape de collecte et d’entreposage massifs (datawarehousing) des observations numérisées des comportements et caractéristiques des individus. Ces observations peuvent être nominatives, codées ou anonymes.

- Une étape d’analyse et de « forage » (datamining) de ces données permet l’établissement de corrélations entre certains comportements/caractéristiques et d’autres comportements ou caractéristiques.

- L’inférence, à partir de certaines variables comportementales ou caractéristiques observables propres à un individu généralement identifié, de nouvelles caractéristiques ou variables comportementales présentes, passées ou futures sont déduits.

39. Il est à noter que les deux premières étapes (entreposage et forage des données) peuvent s’effectuer sur des données anonymisées ou codées. Dans le cas de données anonymisées, il n’est pas techniquement possible d’identifier l’individu concerné par les observations. Si des données codées sont utilisées, un tiers de confiance est capable de procéder à cette identification par décodage. L’existence, même théorique, d’une capacité de « désanonymisation » des données « anonymes » signifie de facto que ces données ne sont pas anonymisées de manière effective.

40. En règle générale, la troisième étape se déroulera par rapport à une personne physique identifiable ou identifiée, et sera appliquée comme mentionné ci-dessous, dans les domaines de plus en plus variés et utilisés par un nombre accru d’acteurs.

41. Sans doute est-il important de distinguer la technique de profilage parmi les systèmes d’aide à la décision. Une sélection des individus sur base de leurs caractéristiques réelles ne constitue pas un profilage. Par exemple, la sélection, par une banque, des clients riches gagnant plus de dix mille euros par mois et possédant un patrimoine d’un million d’euros constitue une sélection objective qui, au contraire du profilage, n’est pas empreinte d’une marge d’erreur. Techniquement cette sélection requiert une simple requête sur un serveur Structured Query Language (SQL) et ne nécessite pas de datamining. Même si le banquier parlera, dans le langage commun, d’un profil de riche client, ce type de profilage, qui constitue en fait une sélection de personnes sur base de données exactes qui leur sont propres, n’est pas, au sens de la recommandation, du profilage. Le profilage, dans le cadre de cette recommandation, nécessite un processus d’extrapolation statistique partiellement exact et donc, aussi, partiellement inexact.

42. Il convient de noter que les pronostics et les techniques criminalistiques et criminologiques, ainsi que les méthodes d'analyse opérationnelle, ne sont pas visés par la présente recommandation dans la mesure où ils ne portent que sur l'établissement d'un phénomène général sur une population et n'impliquent pas l'utilisation de l'information obtenue pour des décisions ou des mesures relatives à une personne déterminée.

43. Dans le secteur bancaire, afin de déterminer l’évaluation des risques de leurs clients futurs ou présents (credit scoring), il s’agit, sur base de l’analyse de milliers ou de millions d’historiques de bons et de mauvais payeurs, de pouvoir identifier les caractéristiques individuelles qui sont corrélées avec le (non) remboursement du crédit. Lors de la conclusion d’un contrat de prêt personnel, la banque posera au candidat emprunteur un certain nombre de questions d’apparence anodine dont les réponses vont permettre de calculer la probabilité, pour un individu déterminé, de rembourser correctement ou non l’argent prêté. On comprend bien dans le cas précis du credit scoring, que la caractéristique de « bon » ou « mauvais » payeur attribué à un individu est toujours empreinte d’une certaine marge d’erreur. Néanmoins l’utilisation de ce type de profilage va permettre à la banque de réduire, en moyenne, le risque de mauvaise appréciation. A la marge, le profilage risque d’aboutir à des erreurs de deux types (octroyer un prêt à une personne qui ne le remboursera pas et refuser un prêt à une personne qui l’aurait remboursé). Ce type d’erreur n’a toutefois pas de conséquence économique dommageable pour la banque si ces erreurs restent marginales. En d’autres termes, l’utilisation de la technique du profilage peut procurer à des acteurs économiques, des gouvernements ou institutions diverses des avantages globaux mais elle créera fatalement des erreurs par rapport à une minorité d’individus et nécessite donc un nombre de précautions à prendre.

44. Un autre exemple du profilage est celui pratiqué dans le cadre de la recherche médicale et relative à la détection de maladies congénitales. A partir de l’analyse de données génétiques de milliers ou de millions de patients et de données relatives à une maladie congénitale particulière, les systèmes de forage sont capables d’établir des corrélations entre la présence ou l’absence de certaines caractéristiques génétiques et une maladie congénitale particulière, toujours avec une certaine marge d’erreur. On peut ainsi déduire une propension qu’aurait un patient possédant certaines caractéristiques génétiques d’être atteint par cette maladie particulière. Il devient alors possible d’identifier les sujets à risque afin de les inciter à des mesures préventives en vue de diminuer la survenance de cette maladie, ou, par exemple, d’augmenter leur prime d’assurance-vie.

45. Dans le domaine fiscal, les administrations publiques recourent dès à présent à des techniques de profilage afin d’identifier les contribuables susceptibles (plus que d’autres) d’éluder l’impôt de manière frauduleuse. Il serait légitime pour l’Etat de procéder à des contrôles ciblés sur base du profilage, étant bien entendu qu’un profil défavorable ne peut équivaloir à une présomption de fraude mais seulement orienter des enquêtes de l’administration.

46. Dans le domaine commercial, le profilage permet d’adapter le prix d’un bien ou d’un service en fonction du profil du consommateur. Cette capacité technique d’adapter le prix d’un bien ou d’un service en fonction du profil du consommateur est bel et bien réelle. Ce risque est démultiplié sur le réseau Internet dans la mesure où le prix d’un même bien ou service est affiché à des endroits différents (sur les écrans des terminaux des consommateurs) contrairement aux magasins où l’étiquette de prix est la même pour tous. Or, l’adaptation du prix en fonction du profil d’un client constitue un traitement de données relatives à ce client et le profilage de la clientèle doit s’opérer au regard des principes de la Convention 108. Tirer parti de l’argument que le contexte technologique actuel réduit ce risque menacerait en fait le principe de neutralité technologique que sous-tend la recommandation.

II.2 Comment appliquer les principes de la Convention 108 aux activités du profilage

47. A travers les exemples invoqués ci-dessus, il apparaît clairement que si le développement rapide et l’utilisation des techniques de profilage fait courir des risques nouveaux aux individus, certaines mesures de protection doivent être renforcées et détaillées, de manière à maintenir le niveau de protection des libertés et de la vie privée, tel que préconisé par le Conseil de l’Europe déjà en 1981.

48. Le profilage n’est jamais une finalité au sens de l’article 5 de la Convention 108 mais, à l’instar de l’automatisation, un procédé technique permettant au responsable du traitement d’atteindre plus facilement une finalité déterminée. Ainsi, dans les exemples cités ci-dessus, la finalité de la banque est la gestion du risque du crédit, la finalité de la recherche médicale est la prévention des maladies génétiques et la finalité du gouvernement consiste en la lutte contre la fraude fiscale.

49. Le profilage constitue une méthode particulière de traitement des données à caractère personnel. Or l’utilisation de la technique de profilage est en principe intrinsèquement porteuse de certains risques substantiels que nous détaillons ci après.

II.3 Risques du profilage

Invisibilité des traitements effectués et des données traitées

50. En règle générale, dans les traitements de données classiques n’ayant pas recours au profilage, les données personnelles sont des données exactes et relatives à des individus identifiés ou indentifiables. Dans ce contexte, en général, la personne concernée connaît ou peut subodorer la nature des informations dont le responsable du traitement dispose à son sujet. Dans la mesure où le profilage fait apparaître des données nouvelles pour un individu, à partir de données relatives à d’autres personnes que lui-même, la personne concernée ne peut pas soupçonner a priori l’existence des mécanismes de corrélations qui auraient pour effet de lui attribuer, sur base d’un calcul de probabilités, certaines caractéristiques d’autres individus.

51. Ainsi, par exemple, le client d’une banque ayant eu des incidents lors du remboursement d’un prêt peut légitimement s’attendre à ce que cette banque lui refuse un nouveau prêt ou lui demande des garanties particulières. Corollairement, le client d’une banque n’ayant jamais eu d’incidents de crédit ou même n’ayant jamais bénéficié d’un crédit ne peut pas, a priori, imaginer que la banque, à l’issue d’un formulaire de demande comportant des questions d’apparence anodine, utilise, via les techniques du profilage, ses réponses pour le ranger dans une catégorie de personnes plus ou moins solvables à laquelle, stricto sensu, il n’appartient pas.

52. Les traitements de données ayant recours au profilage présentent a priori une transparence nettement moins grande pour les personnes concernées que d’autres types de traitement. Cela étant, le responsable du traitement doit fournir à la personne concernée une information plus compréhensible lors du profilage et le droit d’accès doit être renforcé, à la fois au regard du fait que ses données sont utilisées en cours du profilage et du fait qu’un profil lui est appliqué.

Opposabilité des données d’autrui

53. Cette manière d’attribuer, à un individu particulier, des données « à caractère personnel » qui appartiennent en fait à d’autres personnes, crée un phénomène nouveau. En pratique, l’individu est responsable de ses propres actes et se voit imputer de manière sociale ou légale la responsabilité de ceux-ci. Dans le cas du profilage, l’individu se voit attribuer voire opposer les données personnelles d’autres individus qu’il ne connaît pas et avec lesquels il ne fait que partager certaines caractéristiques communes. Si un traitement recourant au profilage poursuit une finalité prédictive, il s’agira d’attribuer à une personne identifiée ou identifiable les caractéristiques comportementales d’un groupe présentant certaines caractéristiques communes avec cette personne pour en déduire des caractéristiques nouvelles de la personne concernée. Telle est une des caractéristiques du profilage : il pourrait créer des nouvelles données à caractère personnel à partir de données relatives à un groupe.

La certitude de l’incertitude

54. Comme le profilage repose sur l’utilisation de statistiques, la probabilité de l’attribution erronée d’une caractéristique particulière à une personne physique identifiable ou identifiée est réelle. Il est par exemple évident qu’une donnée prédictive relative à un individu, extrapolée à partir des données relatives à des comportements antérieurs d’un groupe ne peut pas, systématiquement, être correcte. On peut ainsi généralement calculer des taux d’erreurs de premier type ou de deuxième type (c’est-à-dire la probabilité d’inclure une personne dans une catégorie alors qu’elle ne devrait pas y être ou de l’en exclure alors qu’elle devrait y figurer). En matière de « credit scoring », l’utilisation d’un système de profilage pourrait aboutir à accorder des prêts à des personnes qui ne le rembourseront pas ou à refuser des prêts à des personnes qui l’auraient remboursé. En matière de lutte anti-terroriste, l’utilisation de listes noires basées sur des inférences statistiques amènera fatalement au refoulement de passagers non terroristes et n’apporte aucune garantie absolue du refoulement des passagers terroristes. Ces exemples, même s’ils ne permettent pas de douter de la légitimité de la finalité du profilage, démontrent, toutefois, la nécessité de la mise en place de certaines garanties.

55. En pratique, l’usage des techniques de profilage met en péril, de manière normalement marginale mais néanmoins certaine, l’exactitude des données, telle qu’exigée par l’article 5 d) de la Convention 108. Le profilage devrait respecter le principe de l’exactitude des données. Pour limiter ce risque d’opposer à un individu des données inexactes, il conviendra, en particulier dans les domaines les plus sensibles, de renforcer les droits d’accès de la personne concernée, non seulement par rapport à ses données, mais aussi par rapport à la logique du traitement dont elles font ou ont fait l’objet. Le droit d’opposition devra également être renforcé, dans la mesure où le profilage fait courir à la personne concernée un risque de se voir attribuer des données inexactes.

56. Il sera aussi demandé au responsable du traitement une diligence particulière pour utiliser, dans les deux premières étapes (entreposage de données et forage) des données exactes et à jour, nonobstant le fait que ces données soient relatives à des personnes identifiables ou identifiées. Les algorithmes de data mining devront être conçus et testés selon les règles de l’art, de manière à minimiser les risques d’erreur de premier ou de deuxième type. Dans certains cas, il sera préconisé de recourir à des données anonymes exactes. Dans ce cas, la réglementation du traitement de données anonymes pourrait, de prime abord, apparaître comme une extension du champ d’application de la Convention 108. Le profilage a pour effet de créer des nouvelles données à caractère personnel à partir de données anonymes ; tant les données (éventuellement anonymes) entreposées qui servent de manière première à cette création que le mécanisme de création de ces nouvelles données doivent être conçus voire adaptés afin d’aboutir, au terme du processus de profilage, à des données personnelles les plus exactes possibles, en vertu de l’article 5 d) de la Convention 108. Dans la mesure où il est évident que la qualité de ces deux ingrédients de base du profilage est décisive pour une exactitude maximale des données à caractère personnel générées in fine au terme du processus de profilage, l’article 5 d) impose de prendre toutes les mesures de sécurité raisonnables propres à garantir la qualité de ces ingrédients.

57. Ainsi, par exemple, si une compagnie d’assurance contre le vol de véhicules module la prime en fonction de l’historique des vols de véhicules dans le quartier de l’assuré, il serait légitime d’exiger de la compagnie d’assurance qu’elle utilise des statistiques récentes et à jour ainsi qu’un programme d’analyse récent et sécurisé, nonobstant le fait que ces données concernant les vols de véhicule seraient des données parfaitement anonymisées. Un dernier argument vient du fait que les trois étapes décrites propres au mécanisme du profilage, même si elles utilisent dans les deux premières étapes des données anonymes, aboutissent dans la troisième à une application du résultat à des personnes identifiées et identifiables. Dans la mesure où les trois étapes sont indissociables, elles doivent être considérées comme participant à un traitement des données à caractère personnel comme il est expliqué dans le rapport des experts à la base de la recommandation.

58. Enfin, au vu des risques induits, les traitements de données ayant recours au profilage devront être, dans certains domaines plus sensibles, purement et simplement interdits ou soumis à des conditions particulières. En effet, même si l’on peut admettre que la personne concernée puisse exercer un droit d’accès ou d’opposition par rapport au profilage dans des traitements peu sensibles, on ne peut pas conditionner l’accès à des biens et services fondamentaux comme, par exemple, le droit au logement ou au travail, au seul résultat - parfois erroné - d’un traitement de données ayant recours au profilage. Sans doute, chaque Etat membre aura à se prononcer sur ce point en fonction du contexte et des garanties que pourraient présenter le système de profilage proposé.

Décontextualisation des données

59. Comme mentionné dans le rapport des experts14, l’obligation de respecter le droit de la personne à la vie privée impose que les responsables de traitement ne traitent des données que dans le cadre d’une sphère de vie de la personne concernée. Cela tend à garantir l’étanchéité des sphères de la vie de l’individu et respecter la finalité de chaque donnée.

60. Donc, le banquier qui souhaite évaluer la solvabilité, ne doit pas se soucier des relations sociales de son client. En d’autres termes, seules les données relatives aux domaines de la vie affectés par la finalité du traitement devraient être prises en compte.

61. Cette division de la vie privée en tiroirs étanches les uns par rapport aux autres ne possède malheureusement aucun pendant technique. Bien souvent la personne concernée possédera les mêmes identifiants (typiquement nom prénom, date de naissance, adresse) dans chacune des sphères. Il est techniquement possible que les techniques du profilage traitent de données recueillies dans différentes « sphères » de la vie privée de l’individu. La mise en œuvre des techniques de datamining décrites plus haut permet alors d’établir des corrélations statistiques entre des caractéristiques comportementales appartenant à des sphères de vie privée disjointes. Il serait donc ainsi possible, par exemple, via l’analyse sur une grande échelle de paniers d’achats anonymes et de caractéristiques relatives à des comportements sexuels, d’identifier des corrélations entre des habitudes d’achat et l’hétérosexualité ou l’homosexualité d’un individu. Cette corrélation peut alors être utilisée de manière logique en sens inverse : à partir du profil d’un panier d’achat il devient théoriquement possible de présumer avec une certaine marge d’erreur généralement quantifiable l’hétérosexualité ou l’homosexualité d’un individu identifié ou identifiable. Cela pour dire que le profilage peut être utilisé pour extrapoler les données sensibles des données qui ne sont pas considérées comme telles, et ce, avec un degré raisonnable de certitude.

62. Ce risque de croisement de données issues de sphères de vie privées disjointes s’accroît lorsque le profilage s’opère à partir du terminal de télécommunication de l’internaute. En effet, par nature, le terminal n’est pas dédié à une sphère de vie particulière mais intervient de manière habituelle dans toutes les sphères de vie d’un individu. Typiquement, un individu sera enclin à utiliser le même terminal de télécommunication pour communiquer avec sa famille, son employeur, ses amis, son médecin, son syndicat, son banquier ou son amant. Ainsi, concrètement, dans le cas de l’utilisation de moteurs de recherche généraux l’hébergeur du moteur de recherche possède une vision « globale » d’un individu identifié15. C’est dire que le terminal joue aujourd’hui un rôle technique absolument crucial et même décisif dans la collecte des données de télécommunication des usagers des réseaux de télécommunication.

63. Le terminal est devenu aujourd’hui un outil, un lieu, dont l’utilisation est génératrice de nombreuses données comportementales et à partir duquel s’opèrent de nombreux traitements de données à caractère personnel relatives à la même personne et concernant des sphères de sa vie privée qui doivent rester techniquement disjointes les unes par rapport aux autres. C’est pourquoi la recommandation insiste sur la nécessité de réglementer le fonctionnement des terminaux et, notamment, des navigateurs web, ainsi que d’interdire les logiciels qui visent à la surveillance de l’usage d’un terminal ou des réseaux de communication à moins que cela ne soit prévu par le droit interne assorti des garanties appropriés16.

64. Le rappel du principe de la proportionnalité des données et du caractère loyal des traitements justifie également les limites posées à la collecte de données n’ayant aucun lien avec la finalité du traitement.

III. Commentaires sur les dispositions de la recommandation

III.1 Préambule

65. Le préambule énonce les considérations qui ont amené le Comité des Ministres à adresser la recommandation aux gouvernements des Etats membres.

66. Dans le contexte de la recommandation, le Comité des Ministres constate que le développement constant des nouvelles technologies de l’information et de la communication (volume des données stockées et transmises, rapidité de calcul et sophistication des algorithmes de traitement) permet aujourd’hui, dans un premier temps, de collecter et de traiter divers types de données à caractère personnel relatives à plusieurs individus et, dans un deuxième temps, d’interconnecter ces données entre elles à des fins d’établissement de profils.

67. Il observe, par ailleurs, que les usages multiples de ces nouvelles technologies présentent indéniablement des avantages importants pour la personne concernée ; elles créent néanmoins des risques non négligeables, radicalement nouveaux, d’abus et d’atteintes aux droits et libertés fondamentales. En effet, le recours au profilage est souvent opéré à l’insu des individus concernés et risque dès lors de porter atteinte à la loyauté du traitement des données dans la mesure où la personne concernée ignore l’existence et la logique du profilage dont elle fait l’objet. Dans ce cas, elle ne peut comprendre la logique du traitement, ni exercer un droit d’accès ou d’opposition à ce traitement.

68. Il reconnaît l’importance qu’il y a, dans le domaine de l’utilisation des techniques du profilage, de garantir et promouvoir la protection des données à caractère personnel, et notamment, la protection des données sensibles telle que le prévoit l’article 6 de la Convention 108.

69. Finalement, le Comité des Ministres définit comme objectif de cette recommandation l’établissement de procédures appropriées qui garantissent que la collecte et le traitement des données à caractère personnel relatifs au profilage se fassent dans le respect des droits et libertés fondamentales des individus et, en particulier, qui assurent un équilibre approprié entre le recours aux techniques du profilage et le droit au respect de la vie privée. L’initiative du Comité des Ministres est rendue nécessaire dans un contexte de mobilité des individus et de mondialisation du marché, contexte qui exige une protection équivalente des individus dans tous les Etats membres du Conseil de l’Europe.

70. La recommandation s’applique sans préjudice de l’application d’autres normes légales. En particulier, l’article 8 de la CEDH garantit le droit au respect de la vie privée des personnes physiques, qu’elles soient ou non identifiables et la Convention sur la cybercriminalité (STCE No. 185) interdit l’accès non autorisé à un système d’information, peu importe que ce système soit constitué par le serveur d’une entreprise ou par le terminal d’un utilisateur identifiable ou non.

III.2. Dispositif de la recommandation

71. La question du champ d’application s’est posée lors de la rédaction de la recommandation. Aussitôt la solution tendant à limiter le champ d’application à la collecte et au traitement des données à caractère personnel dans le cadre du profilage limité au secteur privé a été écartée. Premièrement, une telle distinction aurait soulevé des difficultés pour circonscrire les notions de secteur privé et de secteur public dans une société où les pouvoirs publics ont de plus en plus recours à une délégation des tâches, dont ils étaient investis initialement au profit des sociétés privées. Des exemples pourraient être cités d’une société privée, chargée du transfert des détenus, qui aurait recours aux techniques du profilage.

72. Deuxièmement, la réglementation du profilage se limitant au secteur privée uniquement aurait été discriminatoire en créant une distorsion de concurrence entre les acteurs qui concourent ou recourent au profilage. De plus cette distinction aurait conduit à l’affaiblissement de la protection des personnes concernées dans le cadre du secteur public, le profilage conduisant souvent à l’allocation de droits ou l’attribution de bénéfices à celles-ci. Il est évident que les risques liés au profilage opéré par le secteur public, même si ce profilage peut s’appuyer sur des raisons légitimes souvent évidentes (lutte contre la fraude fiscale ou sociale, identification de personnes susceptibles de bénéficier d’aides particulières, etc.), sont importants dans la mesure où ces profilages peuvent viser des catégories importantes de citoyens, entraîner des décisions ayant un impact important sur les individus profilés négativement et recourir à des données nombreuses en provenance de l’ensemble des administrations.

73. Troisièmement, la distinction secteur privé/public ne figure pas dans les dispositions de la Convention 108, notamment parce que ces notions peuvent avoir une signification différente d’un pays à l’autre et peuvent dépendre du régime spécifique attribué par un Etat à un secteur d’activité donné.

74. Les gouvernements des Etats membres sont donc encouragés à appliquer les principes contenus dans l’annexe de la recommandation à toute collecte et tout traitement des données à caractère personnel utilisés dans le cadre du profilage.

75. Toutefois, la possibilité d’une exception était prévue en suivant l’exemple d’autres instruments juridiques du Conseil de l’Europe. En effet, les Etats, comme le prévoit le paragraphe 6, ont la possibilité de ne pas appliquer certaines des dispositions des paragraphes 3, 4 et 5 pour raison de sécurité publique ou de répression des infractions pénales (lutte contre la criminalité de manière générale ; activités liées au renseignement, etc.), intérêts monétaires de l’Etat, ce qui s’entend notamment de la lutte contre la fraude fiscale ou sociale. Les raisons de ces exceptions peuvent également avoir trait à la protection de la personne concernée et des droits et libertés d’autrui. Ces exceptions sont fondées sur l’article 9 de la Convention 108.

76. Le paragraphe 6 rappelle cependant conformément à l’article 8 § 2 de la CEDH que les dérogations doivent être prévues par la loi et constituer une mesure nécessaire dans une société démocratique. La Cour a élaboré une jurisprudence riche pouvant contribuer à l’interprétation et à l’application pratique de ce paragraphe (notamment, pour autant qu’il s’agisse des définitions prévues par la loi et d’une mesure nécessaire dans une société démocratique).

77. Par ailleurs, il est recommandé aux gouvernements des Etats membres de prendre des mesures pour que les principes contenus dans l’annexe soient reflétés dans leur droit et leur pratique.

78. Les gouvernements sont également encouragés à diffuser largement le contenu de l’annexe à la recommandation auprès des personnes, autorités publiques, organismes publics et privés, notamment ceux qui concourent ou recourent au profilage, ainsi que parmi les instances compétentes en matière de protection des données, les associations de protection des consommateurs ou de promotion des libertés civiles et les organismes de normalisation.

79. Ils sont invités à encourager, pour autant que cela concerne des opérations de profilage, la définition et la promotion de règles de déontologie au service du respect de la vie privée, moyennant notamment la mise en place des technologies inspirées de l’annexe à la recommandation.

III.3 Annexe à la recommandation

1. Définitions

80. Le paragraphe 1 établit les définitions de certains concepts centraux de la recommandation. 

81. Les expressions « responsable du traitement » et « sous-traitant » ont été définies dans le cadre d’autres exposés des motifs de recommandations sectorielles spécifiques adoptées par le Comité des Ministres17 dans le domaine de la protection des données et, pour ce motif, ne nécessitent pas d’explication particulière dans le cadre de la recommandation.

82. Données à caractère personnel : la définition, qui a déjà été utilisée dans d’autres recommandations, est conforme à celle de la Convention 108 telle qu’interprétée dans le rapport explicatif de celle-ci. Elle a déjà été utilisée dans de nombreuses recommandations. Toutefois, il est nécessaire d’apporter quelques précisions à cette définition, eu égard à la question particulière du profilage.

83. La Convention 108 limite son champ d’application aux seules données à caractère personnel puisque ce type de données, contrairement aux données anonymes, permet techniquement aux responsables de traitement, pour chaque individu identifié ou identifiable, d’utiliser un identifiant comme clé d’accès à cet individu dans d’autres traitements de données à caractère personnel.

84. Ainsi, par exemple, la mention de l’identité « civile » (nom, prénom, adresse) d’un individu sur un ticket de caisse permettrait à un supermarché d’accéder à des sources de données externes (annuaire, moteur de recherche, des services de cartographie en ligne) et de connaître d’autres informations relatives aux clients. Dans le contexte actuel, on ne saurait cependant réduire cette notion d’identité aux seuls nom et adresse. Le numéro unique délivré automatiquement à ses clients ou à ses visiteurs virtuels par une entreprise, un groupe d’entreprises ou un opérateur autorise également cette recherche et ces connexions. Ainsi, un simple numéro de client permettrait techniquement aux supermarchés de connaître, vis-à-vis d’un client particulier, non seulement, le contenu de son panier d’achat d’aujourd’hui mais aussi l’historique complet de ses achats antérieurs voire, si la carte est munie d’une puce RFID, l’historique des parcours du client dans ce magasin. Dans le cadre du profilage, de nombreuses caractéristiques individuelles décrivent le comportement des individus. A partir du moment où ces caractéristiques sont nombreuses et précises, il devient possible d’identifier chaque individu en particulier, sur la base du comportement qui lui est propre et unique. Dans le cadre du profilage, un individu n’est véritablement anonyme que si la valeur des données recueillies à son sujet n’est pas unique, en d’autres termes si deux individus différents dans un contexte donné possèdent les mêmes caractéristiques. Ainsi, par exemple, parmi une foule de clients, les caractéristiques « porte des lunettes solaires et un chapeau jaune » ne permettront pas d’identifier un individu particulier si, et seulement si, dans cette foule se trouvent deux personnes différentes portant chacune des lunettes solaires et un chapeau jaune.

85. D’autre part, à suivre des considérations sociologiques, psychologiques voire philosophiques, on peut se demander si l’accumulation de nombreuses caractéristiques comportementales relatives à un individu ne constitue pas son identité. La définition de « données à caractère personnel » par la Directive européenne 95/46 CE le laisse entendre lorsqu’elle considère qu’est réputée identifiable une personne qui peut être identifiée, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale. Ne serait-ce pas l’accumulation d’un nombre important de caractéristiques individuelles qui identifieraient (au sens commun) un individu, même si cet individu partage ces caractéristiques avec d’autres ? Dans le cadre de la recommandation il est considéré que les données sont à caractère personnel si les caractéristiques relatives à une personne physique, peu importe leur nature (physique, physiologique, culturelle, économique, sociale, culturelle) sont uniques dans le traitement des données pris en considération.

86. Données sensibles : la définition reprend la liste énoncée à l'article 6 de la Convention 108. Toutefois, conformément à l'article 11, d'autres catégories - telles que les données sur l'appartenance syndicale ou le revenu - peuvent être définies comme sensibles par le droit interne. Par ailleurs, peuvent être considérées comme étant sensibles les données, qui, n’ayant pas été expressément définies comme telles, reçoivent néanmoins de la part d’un Etat un haut niveau de protection.

87. Personne identifiable : une personne est dite identifiable lorsqu’elle peut être identifiée par l’utilisation de moyens disponibles, peu importe qu’elle implique ou non le recours à un tiers. A l’inverse, la donnée est anonyme si l’identification n’est possible que moyennant le recours à des activités déraisonnables18.

88. Activités déraisonnables ; ce sont des opérations excessivement compliquées, longues et coûteuses pour le responsable du traitement ou une tierce partie au regard de leurs activités normales. Elles se rapportent, notamment, à des moyens techniques dont on dispose afin d’identifier les données et percer leur anonymat. De la sorte, compte tenu des progrès rapides des technologies et de méthodes informatiques, les délais et activités pour identifier une personne qui seraient aujourd’hui considérés comme « déraisonnables », pourraient ne plus l’être à l’avenir.

89. Traitement : l’article 2 c) de la Convention 108 stipule que la notion de « traitement automatisé » s'entend des opérations suivantes effectuées en totalité ou en partie à l'aide de procédés automatisés: enregistrement des données, application à ces données d'opérations logiques et/ou arithmétiques, leur modification, effacement, extraction ou diffusion.

90. Le rapport explicatif de la Convention 108 précise à son paragraphe 31 qu’« en raison de l'évolution rapide de la technologie du traitement des données, il a été jugé opportun de donner du «traitement automatisé» une définition assez générale et susceptible d'une interprétation flexible. » En effet, cette définition a démontré au cours des années sa flexibilité et sa capacité à être appliquée à de nouvelles situations ou technologies. Dans cette optique, il convient de mettre en relief certaines de ces nouvelles situations et montrer de quelle manière elles tombent dans le champ de la définition de traitement automatisé et ainsi, dans la mesure où les autres conditions d’application de la Convention 108 sont remplies, dans le champ de la Convention 108.

91. Collecte : même si la notion de collecte de données personnelles n’est pas mentionnée dans la définition du traitement automatisé à l’article 2 c) de la Convention 108, elle est mentionnée à côté du traitement dans un certain nombre de recommandations ultérieures. Pour cette raison, cela réaffirme que la notion de traitement automatisé doit être interprétée comme comprenant la notion de collecte réalisée en vue d’un traitement automatisé.

92. Cette interprétation s’applique quelque soit la façon dont la collecte est réalisée : la collecte peut être réalisée par des moyens automatiques ou manuellement, le point essentiel étant que des opérations de traitement automatisé soient appliquées aux données. De même, les collectes réalisées à l’aide de moyens technologiques tels que par exemple les webcams ou les téléphones mobiles, dans la mesure où elles sont liées à d’autres opérations de traitement au sens de l’article 2 c) de la Convention 108, font partie de la notion de traitement automatisé au sens de la Convention.

93. Communication : ce terme recouvre toute forme de mise à disposition de données à un tiers et, notamment, la transmission, la diffusion et l’interconnexion. Il peut s’agir d’une mise à disposition active en réponse à une demande individuelle ou globale d’un tiers. Il peut également s’agir d’une mise à disposition passive par l’autorisation donnée au tiers d’avoir accès en ligne à des données à caractère personnel19.

94. Il a été décidé de maintenir la référence explicite à ce concept dans le texte de la recommandation car cela contribuera à une meilleure compréhension de certains principes (par exemple l’obligation d’informer au stade de la collecte).

95. Profil : il constitue un ensemble de caractéristiques propres à un groupe d’individus et, corollairement, à chaque individu appartenant au groupe. Ainsi le panier d’achat d’un parent au foyer, les données de géo-localisation des personnes assistant à un match de football, les transactions bancaires d’un investisseur dynamique sur le marché boursier sont caractéristiques en ce sens qu’ils seront propres aux groupes de personnes analysées. Le panier d’achat type du parent au foyer ne sera pas celui d’un étudiant ; les déplacements d’un supporter d’un club de football ne seront pas ceux d’une personne se rendant à son travail et les transactions bancaires d’un spéculateur en bourse ne correspondent pas au profil de l’investisseur « bon père/mère  de famille », qui ne spécule pas sur le marché boursier. La technique du profilage consiste à appliquer à un individu particulier le profil d’un groupe auquel les données collectées à son propos permettent de l’identifier. Cette opération aura pour effet de créer de nouvelles caractéristiques relatives à l’individu identifié ou identifiable ainsi profilé. Ainsi, en examinant un panier d’achat, il deviendra possible d’identifier un parent au foyer ayant deux enfants en bas âge et friand de chocolat ; en observant des données de géolocalisation, on pourra identifier le fait qu’une personne est supporter d’un club particulier et est prête à faire tous les déplacements même lointains pour suivre son équipe et en analysant les transactions bancaires, il sera possible d’attribuer un profil de risque particulier à un investisseur. Le profilage crée donc de nouvelles données à caractère personnel. A l’instar de l’automatisation ou des systèmes d’aide à la décision, le profilage n’est pas une finalité au sens de la Convention 108 mais une modalité technique qui permet d’atteindre une finalité, qui peut être, suivant les cas, par exemple, la lutte contre la fraude, le marketing ou le recrutement de travailleurs.

96. Profilage : une opération du profilage est composée de trois étapes. La première étape consiste à collecter sur une grande échelle des données relatives à des comportements individuels. Il peut s’agir d’un panier d’achat, d’un relevé de télécommunications, d’une liste de déplacements dans le métro, etc. Les données relatives à ces comportements individuels peuvent être anonymisées ou codées.

97. Dans un deuxième temps, ces données résultant d’observations individuelles font l’objet d’une analyse par ordinateur permettant de corréler certaines caractéristiques de comportements. Grâce à des outils et algorithmes statistiques, il devient ainsi possible d’identifier des liens entre certains comportements. Lors de l’établissement de ces corrélations, ni le bon sens humain, ni la logique humaine n’interviennent. C’est bel et bien la puissance de calcul de l’ordinateur et la sophistication des algorithmes utilisés qui permettent de mettre à jour des corrélations souvent invisibles à l’œil nu ou inaccessibles à la raison humaine sans toutefois les expliquer. Ainsi, quel lien peut-on faire à priori entre la consommation de chocolat et la résidence dans telle cité et la capacité de rembourser son crédit ? Par ailleurs, les méthodes statistiques utilisées établissent un coefficient de probabilité de la corrélation ainsi mise à jour.

98. Dans un troisième temps, la corrélation ainsi établie est appliquée à une personne identifiée ou identifiable afin de déduire, avec une certaine marge d’erreur, certaines de ses caractéristiques passées, présentes ou futures. Cette application présente cependant toujours un risque d’erreur qui justifie la recommandation prise. Comme il a été expliqué plus haut dans l’introduction, l’individu se voit en effet attribuer certaines caractéristiques présentes ou futures qui ne sont pas les siennes, qui ne font pas partie de son histoire personnelle, mais qui sont celles d’un groupe auquel il est ou sera censé appartenir plus au moins probablement.

99. Le texte entend répondre à l’objection suivant laquelle la recommandation excéderait l’objet même de la Convention 108 dans la mesure où cette recommandation couvre ou plutôt peut couvrir au moins dans les étapes 1 et 2 des traitements de données à caractère non personnel, c'est-à-dire des données anonymisées. Comme expliqué dans l’introduction, à cette objection, il est répondu que la recommandation doit porter, ne serait-ce qu’accessoirement, sur la collecte et le traitement de données anonymes dans la mesure où le traitement de ces données anonymes dans les phases un et deux conditionnent de manière décisive la légitimité ou la sécurité du traitement lors de la troisième phase et que les trois phases constituent, en réalité, un processus continu. Ainsi, par exemple, ne sera-t-il pas superflu d’exiger des responsables de traitement d’utiliser des données anonymes exactes, intègres et mises à jour lors de la première phase d’entreposage des données. Et cela même si, a priori et en principe, la Convention 108 ne porte pas sur des données anonymes. En fait, d’une certaine manière, la substance même de ces données anonymes se retrouve, a posteriori et de manière inattendue, dans le profil d’une personne identifiée ou identifiable, par le biais du profilage.

100. Service de la société de l'information : cette définition correspond à celle de la Convention du Conseil de l’Europe sur l’information et la coopération juridique concernant les « Service de la société de l’information » (STCE No. 180) et la Directive sur la transparence réglementaire 98/48/CE, en vigueur entre les Etats membres de l’Union européenne.

101. Aux fins de la présente définition, on entend par les termes :

– « à distance » signifie un service fourni sans la présence simultanée et physique des parties ;

– « par voie électronique » signifie un service envoyé à l’origine et reçu à destination au moyen d’équipements électroniques de traitement (y compris la compression numérique) et de stockage de données, et qui est entièrement transmis, acheminé et reçu par fils, par radio, par moyens optiques ou par d'autres moyens électromagnétiques ;

– « à la demande individuelle d'un destinataire de service » signifie un service fourni par transmission de données à la suite d’une demande individuelle. Les services non sollicités, c'est-à-dire les services fournis sans avoir été demandés individuellement, ne sont donc pas couverts.

102. En outre, les «Services de la société de l’information» qui rentrent dans le champ d’application de la recommandation sont normalement fournis contre rémunération. Cela concerne la rémunération directe et indirecte. Un service fourni sans contrepartie économique ou sociétale directe mais financé directement ou indirectement par le marketing rentre dans cette définition de « service de la société de l’information ».

2. Principes généraux

103. Lors de la rédaction du texte de la recommandation, il est apparu nécessaire de souligner un certain nombre de principes ayant un caractère général et n’ayant pas comme but la création d’obligations légales. Ces dispositions servent à éclairer l’interprétation et la mise en œuvre d’autres dispositions de l’annexe.

104. Le principe 2.1  rappelle que les opérations de collecte et de traitement des informations opérées dans le cadre de l’utilisation de méthodes de profilage doivent respecter les libertés et droits fondamentaux des individus et en particulier leur droit au respect de la vie privée et l’interdiction de la discrimination.

105. Ce principe affirme qu’au delà de la stricte application de la Convention 108, il importe d‘être attentif de manière plus large à la façon dont les techniques de profilage peuvent porter atteinte au développement de la vie privée, entendue comme la capacité d’autodétermination des individus. Ainsi, il pourrait apparaître que le profilage publicitaire particulièrement ciblé, même conforme aux lois de protection des données puisse constituer une limitation indue des capacités de choix de l’individu.

106. Le principe de la non-discrimination n’est pas perçu, dans le cadre de la recommandation, comme une interdiction d’un traitement différencié. En effet, la différence dans le traitement des individus, comme conséquence du profilage, est acceptée à condition d’être justifiée.

107. Cette approche est conforme à la position adoptée par la Cour des droits de l’homme dans sa jurisprudence relative à l’article 14 de la CEDH qui a affirmé à maintes reprises qu’une distinction est discriminatoire uniquement si elle « manque de justification objective et raisonnable », c’est-à-dire si elle ne poursuit pas un « but légitime » ou s’il n’existe pas de « rapport raisonnable de proportionnalité » entre les moyens employés et le but visé. Par ailleurs, les Etats jouissent d’une certaine marge d’appréciation pour déterminer si et dans quelle mesure des différences entre des situations à d’autres égards analogues justifient des distinctions de traitement.

108. Sans doute, le profilage permet, et c’est son objectif, de différencier les utilisateurs d’un service ou les citoyens. Ainsi, il permet d’offrir aux personnes la publicité appropriée à leurs besoins, de calculer le coût d’un produit en fonction des caractéristiques et de la qualité du consommateur ou précisément de réserver le bénéfice d’avantages sociaux aux personnes identifiées a priori comme relevant d’un certain profil. De telles utilisations du profilage peuvent être considérées comme légitimes. Ce qui est proscrit, est le recours à des techniques de profilage conduisant à des effets négatifs, arbitraires et contraires à la loi, ainsi le refus d’un service ou d’un produit à des personnes a priori profilées comme étrangères ou ne partageant pas l’opinion philosophique de l’offreur ou profilées comme ayant ou devant avoir un passé judicaire, sans que le critère mis en avant par le profilage ne soit justifié ou en lien pertinent avec la qualité ou les caractéristiques du produit ou service proposé.

109. Le principe 2.2 a un double contenu. Le premier point se retrouve déjà dans certains textes de l’Union européenne et consiste en la promotion de ce qu’il est coutume d’appeler des technologies renforçant la protection de la vie privée (privacy enhancing technologies or « privacy by design»). Il s’agit notamment de promouvoir des logiciels permettant aux internautes de pouvoir s’opposer ou de consentir20, le cas échéant, de manière éclairée ou explicite, à la collecte de données à des fins de profilage ; ou permettant l’accès, voire la correction, par la personne concernée du profil qui lui est attribué, etc. Certains logiciels vont permettre une plus grande transparence et donner les moyens d’éduquer les utilisateurs.

110. Le second point est plus novateur et consiste à introduire dans le domaine de la protection des données le même principe que celui déjà appliqué en matière de protection de la propriété intellectuelle. Il s’agit d’encourager les mesures appropriées contre le développement et la mise en œuvre de toute technologie qui aurait pour but de contourner l’efficacité des mesures visant à protéger le respect de la vie privée. Il ne peut être admis par exemple que, par des web bugs ou trous de sécurité dans les logiciels d’un prestataire de service, la société de l’information ou les experts puissent collecter des données alors même que la personne concernée avait souhaité se protéger contre un traitement en installant des logiciels nouveaux ou en paramétrant des logiciels existants.

3. Conditions régissant la collecte et le traitement de données personnelles relatives au profilage

A. Licéité

111. Les principes 3.1, 3.2 et 3.3 énoncent les principes essentiels, découlant de l’article 5 de la Convention 108, et l’appliquent aux traitements utilisant la méthode du profilage. Ainsi, l’utilisation d’une telle technique doit être loyale et licite, ce qui interdit la collecte de données par des moyens non transparents ou pour des finalités non avouées. Ainsi, par exemple, les données résultant de l’utilisation de moteurs de recherche ne devraient pas être utilisées dans le cadre de systèmes de profilage à des fins publicitaires sans que la personne concernée ne soit avertie ou que le consentement préalable ne soit obtenu, ainsi reflété au principe 3.4. La licéité du profilage peut être contestée lorsque le profilage poursuit un but discriminatoire. Enfin, l’utilisation de méthodes de profilage devrait être mise au service de la poursuite de buts spécifiés et légitimes.

112. Le principe 3.2 rappelle la nécessité du caractère adéquat des données traitées. Cet alinéa mérite plusieurs commentaires. Par définition, le profilage travaille sur des inférences statistiques non prévisibles a priori. Ainsi, si on traite de la consommation de chocolat et découvre une inférence entre cette consommation et le goût pour des destinations lointaines, faudra-t-il dire a posteriori qu’il s’agit statistiquement du moins d’une donnée pertinente à celui qui veut vendre des voyages exotiques alors qu’elle ne l’était point a priori ? Le Conseil de l’Europe estime que la pertinence doit s’apprécier de manière plus large certes mais en toute hypothèse doit exclure des données dont la nature ne présente à priori aucun lien avec le résultat attendu. En d’autres termes, si le but est la vente d’un produit de grande consommation, il n’est pas pertinent de s’interroger sur la réussite scolaire des personnes concernées, sur leur possession d’un poisson rouge, ou leur lecture de Lucky Luke. L’utilisation de telles données dans le cadre des opérations de « data mining » peut certes révéler des corrélations mais celles-ci sont opérées hors contexte de l’utilisation normale de telles données et heurte les prévisions raisonnables de la personne à qui on oppose un profil construit sur de telles données. Le caractère loyal du traitement s’y oppose.

113. Le principe 3.3 applique aux traitements utilisant des méthodes de profilage le principe de conservation limitée des données. La limitation de l’utilisation d’un profil appliqué à une personne ne devrait excéder la période nécessaire à l’accomplissement des finalités pour laquelle la donnée est collectée et traitée. Cette règle devrait tenir compte de l’intérêt du maintien dans le temps des données collectées à propos d’un individu de manière à faire évoluer le profil de celui--ci. Ainsi, si un grand magasin obtient mon consentement pour m’envoyer de la publicité en fonction de mon profil d’acheteur, il importe que les données relatives à mes achats puissent être conservées tout au long de mon contrat avec le fournisseur. Par ailleurs, quand la relation contractuelle n’existe pas et que le consentement a été dûment obtenu afin d’envoyer la publicité basée sur le profil d’achat de la personne concernée, il conviendrait de recommander que les données ayant trait à l’achat soient sauvegardées pour une durée limitée (par exemple 12 mois comme le souligne le programme de loyauté en Italie).

114. Le principe 3.4 porte sur l’application des conditions générales de licéité au processus du profilage. Il est à noter que le principe 3.4 s’applique au processus de profilage en tant que tel et non à la finalité qui recourt à ce processus. Ainsi, si le recours à une technique de profilage a lieu dans le cadre d’opérations de marketing, en sus des conditions de légitimité qui entourent le traitement à des fins de marketing, le principe 3.4 ajoute des conditions de légitimité propres à l’utilisation dans le cadre de ce traitement marketing de techniques de profilage. Ainsi si l’Etat est légitimement habilité à lutter contre la fraude, faudra t-il encore prévoir qu’il soit habilité à créer des « datawarehouse » et employer des techniques de datamining.

115. L’alinéa a. concerne de façon spécifique des situations dans lesquelles le profilage est prévu par la loi, notamment la détection de personnes à risque, de potentiels fraudeurs ou de personnes devant bénéficier d’avantages sociaux. L'expression « si la loi le prévoit » signifie que le droit interne contient des règles qui prévoient expressément les dispositions, les sauvegardes ou les exceptions aux principes considérés dans la recommandation. Pour satisfaire l'exigence d'être « prévue par la loi », une ingérence aux libertés et droits fondamentaux, et notamment à la vie privée des personnes, doit donc avoir une base légale en droit interne et avoir été commise en conformité avec celle-ci21.

116. Le terme « prévue par la loi » devrait recouvrir deux cas de figure. Tout d'abord, la loi peut prévoir le profilage en réglementant la possibilité - et non l'obligation - de profiler. Par exemple, les services fiscaux sont habilités à contrôler les revenus des citoyens si une fraude est suspectée. Il est important que la réglementation en matière d’impôts prévoie la possibilité d’utiliser les méthodes du profilage pour détecter ces cas et réglemente l’utilisation de ces techniques de profilage. Cela ne signifie pas que les autorités fiscales vont utiliser ces possibilités.

117. Deuxièmement, le profilage peut être nécessaire pour le respect d'une obligation légale, et dans ce cas, l’utilisation du profilage doit être rendue possible par la loi. L'obligation légale peut rendre le profilage nécessaire afin que le responsable du traitement puisse se conformer à la loi. Un exemple pourrait concerner la législation relative au blanchiment d’argent. Les banques sont obligées de détecter des opérations qui pourraient être considérées comme du blanchiment d’argent et, de ce fait, sont habilitées par la loi à utiliser les mécanismes du profilage.

118. Dans ces cas, où le profilage est nécessaire pour assurer le respect d'une obligation légale, le recours aux techniques de profilage ne serait admis que si ce recours est prévu par la loi.

119. L’alinéa b. concerne spécifiquement le profilage à caractère facultatif. Dans ces cas, le profilage doit être "autorisé" par la loi. L'expression « si la loi l’autorise » se rapporte au profilage conforme aux principes de la recommandation qui n'est pas explicitement interdit par le droit interne. En outre, le principe 3.4 b. précise que le profilage puise sa légitimité dans :

- le consentement libre, spécifique et éclairé de la personne concernée. Le consentement peut être utilisé comme une base légale pour le profilage. Le consentement, comme base légale de profilage, n’a pas reçu de portée indépendante et a été délibérément placé parmi les principes de légitimation pour laquelle une condition préalable commune (ne pas être explicitement interdite pas la loi) devrait être remplie. Cela tend à couvrir les hypothèses, connues dans certains Etats, où le recours au profilage serait illégal même si le consentement de la personne concernée avait été obtenu au préalable.
Le consentement, quant à lui, devrait être libre, spécifique et éclairé22. Par exemple, sur Internet cela pourra se faire en cliquant sur un bouton d’acceptation (« j’accepte »). Dans les autre cas, l’information peut être implicite notamment en procurant un hyperlien vers une page qui détaillera la technique du profilage de traitement. Il convient de souligner que le consentement pourrait également être donné par le représentant légal de la personne concernée (par exemple, le parent d’un enfant mineur).

- l’exécution d’un contrat conclu avec la personne concernée. Il s’agit ici d’utiliser le profilage dans le cadre d’exécution d’un contrat ou de mesures précontractuelles. En outre ce contrat devrait être conclu suite à la demande de la personne concernée. On peut, par exemple, dans ce contexte, inclure l’exemple du profilage effectué par la banque lors de la demande du prêt personnel afin d’évaluer la solvabilité probable d’un emprunteur. Il est important de noter que c’est l’utilisation de la technique de profilage qui doit apparaître nécessaire pour l’exécution du contrat ou des mesures précontractuelles.

- l’exécution d’une tâche d’intérêt public. Ainsi, par exemple, une banque pourrait être amenée à devoir profiler ses clients, suite à une obligation légale de dénoncer des mouvements d’argent suspects à des organismes gouvernementaux chargés de la lutte contre le blanchiment et d’utiliser la technique du profilage pour arriver à cette fin.

- la réalisation de l’intérêt légitime du responsable du traitement ou du ou des tiers auxquels les données sont communiquées à condition que ne prévalent pas les libertés et droits fondamentaux de la personne concernée. Un exemple pourrait être l’utilisation du profilage afin de détecter la possibilité d’une fraude par une compagnie d’assurance dans le cas d’un contrat d’assurance. Les difficultés proviennent de l’interprétation de ce que pourrait être un intérêt légitime et mise en balance avec les libertés et droits fondamentaux des personnes concernées. Dans ce cas, la préoccupation ultime ne sera pas tant le risque supplémentaire que la technique de profilage fait courir mais un test général de la légitimité, de la proportionnalité et de la sécurité du traitement. Ainsi l’utilisation du profilage à des fins de marketing est soumise à un double critère de légitimité : la finalité de marketing est-elle légitime et si oui, est-il légitime, pour atteindre cette légitimité, d’utiliser des techniques de profilage ?

- la sauvegarde de l’intérêt vital de la personne concernée. On peut ainsi, par exemple, songer au cas d’un profilage génétique effectué sur les membres d’une même famille afin d’identifier des prédispositions à contracter certaines maladies. Ceci permettrait alors un traitement préventif par rapport aux membres de la famille dont la vie serait menacée. Cependant, ces cas demeurent des cas exceptionnels,

120. Le principe 3.5 recommande d’interdire en principe le profilage de personnes ne pouvant librement exprimer leur consentement, ainsi en particulier les personnes atteintes d’incapacité ou les enfants au sens de la Convention relative aux droits de l’enfant. Il est considéré qu’une telle interdiction de principe est nécessaire au vu des risques de manipulation et de discrimination négative, que représente le profilage par rapport à ces catégories de personnes. L’interdiction peut être levée par les Etats membres lorsque l’utilisation du profilage poursuit l’intérêt légitime des personnes concernées (ainsi, pour la prévention d’un danger particulier dont ces personnes doivent être averties ou le bénéfice d’une aide dont elles ont spécifiquement besoin) ou dans le cadre d’un intérêt public consacré par une loi et prévoyant des garanties appropriées.

121. Le principe 3.6 stipule que quand le consentement de la personne concernée est requis, c’est au responsable du traitement de démontrer qu’il a satisfait à son obligation d’information dont le contenu est détaillé dans le paragraphe 4.

122. Le principe 3.7 porte sur l’accès anonyme aux biens et aux services et rappelle le principe dit de « minimalisation » des données personnelles. En particulier sur Internet, l’individu qui souhaite s’informer par rapport à des biens et services ou y avoir un accès ne doit, a priori, donner aucune autre information que les caractéristiques des biens et services qui l’intéressent. L’identification, qui permettrait d’assurer la sécurité d’une transaction, ne devrait survenir qu’au moment où l’individu passe une commande et pour l’exécution de celle-ci. L’accès aux informations relatives aux biens et services devrait donc, autant que possible, consister en un accès anonyme et non-profilé. Sachant qu’il est techniquement possible de faire varier l’information disponible en fonction de l’utilisateur, un accès non-profilé d’un individu à l’information en ligne est également une condition préalable à l’exercice efficace de la liberté d’expression.

123. Le principe 3.8 recommande à ce que ne soient pas utilisées la diffusion et à l’utilisation de logiciels visant l’observation ou la surveillance de l’usage d’un terminal ou de réseaux de communication, et qui permettraient ainsi la collecte de données et le recours à des méthodes de profilage, et ce à l’insu des personnes concernées, à moins que le droit interne ne le stipule expressément et ne prévoit les garanties appropriées. Ainsi, on peut difficilement accepter que grâce à des trous de sécurité des logiciels proposés sur le marché, certains puissent s’introduire dans l’ordinateur d’un individu ou simplement surveiller toutes ou certaines utilisations du terminal ou du réseau, de manière à constituer des profils d’internaute.

124. Le texte proposé ne vise pas d’autres opérations concernant le traitement de communications par des entreprises privées qui, comme la plupart des Etats membres le prévoient déjà, enregistrent des communications électroniques lorsque cet enregistrement est opéré dans le cadre d’une pratique d’affaires légitime, afin de permettre par exemple la preuve d’une transaction commerciale ou non.

125. Dans le contexte technique actuel, l’utilisateur d’Internet et des réseaux de communication en général est suivi et profilé par le biais de technologies peu transparentes, notamment par des systèmes de web bugs et de cookies. Comme nous l’avons analysé supra, le profilage opéré en utilisant le terminal de télécommunication pose un problème important de légitimité puisque l’utilisateur se voit ainsi profilé dans les sphères de vie privée a priori distinctes mais auxquelles il accède par le biais d’un même terminal. Actuellement des entreprises multinationales parviennent à capter sur une base individuelle une partie importante du « flot de clics » (clickstream) de chaque internaute et peuvent ainsi construire des profils individuels « globaux », c'est-à-dire touchant à de nombreux domaines de la vie de l’individu. Techniquement, ce type de profilage effectué par le terminal ne peut être régulé que si les fabricants des terminaux de télécommunications et les opérateurs du réseau mettent en place des mesures techniques qui empêchent l’observation du comportement des utilisateurs et la transmission des profils en découlant à des tiers non autorisés. Cet article n’empêche pas le profilage en ligne mais incite l’industrie de l’information et de la communication à produire des terminaux les plus transparents possible. Ce principe fait écho au principe énoncé plus haut au principe 2.3.

B. Qualité des données

126. Les principes 3.9 et 3.10 demande au responsable du traitement de faire toute diligence afin d’effectuer un profilage de qualité. Cela signifie, par exemple, qu’il serait amener à utiliser des données tant anonymes que personnelles qui soient exactes et à jour et, d’autre part, que les règles d’inférence mises en évidence lors du datamining devraient présenter un taux d’erreur négatif ou positif le plus bas possible. Ainsi, il ne serait pas convenable pour une banque d’utiliser un système de profilage de mauvais payeurs en se basant sur des observations trop anciennes ou inexactes. Dans ce cas, en effet, les profils qui seraient finalement attribués aux personnes physiques identifiées seraient vraisemblablement empreints d’une très grande marge d’erreur. D’autre part, les algorithmes utilisés durant la phase de datamining doivent être choisis et utilisés en conformité avec les règles d’art en la matière. Enfin, le responsable qui utilise de tels systèmes doit réévaluer périodiquement la pertinence des profils générés. Ainsi, il peut apparaître que la consommation de chocolat ne soit plus un facteur statistiquement corrélable au goût pour les voyages lointains.

127. Il faut noter que l’exactitude des données est une exigence concomitante en matière de protection des données. Cette disposition n’impose pas une surveillance quant à l’exactitude des données anonymes. Il s’agit de corriger des facteurs d’inexactitudes dans la mesure où les trois phases du profilage, dont l’application de la corrélation établie à une personne physique identifiée ou identifiable, constituent un processus continu. Cette exigence devrait être interprétée d’une manière raisonnable par rapport à la finalité du traitement, car il est évident que l’impact des inexactitudes sur la personne physique identifiée ou identifiable ne serait pas le même si on parle du secteur d’assurance ou du marketing direct.

C. Données sensibles

128. Le principe 3.11 prévoit que le traitement de données sensibles dans le cadre du profilage ne peut s’effectuer que si le droit interne prévoit des garanties appropriées. Ce principe découle de l’article 6 de la Convention 108 qui prévoit, d’une manière non exhaustive, que les données à caractère personnel révélant l’origine raciale, les opinions politiques, les convictions religieuses ou autres convictions, ainsi que les données à caractère personnel relatives à la santé, la vie sexuelle et des condamnations pénales ne peuvent être traitées que moyennant des garanties appropriées prévues par le droit interne.

129. Quant au caractère légitime des exceptions à l’utilisation de données sensibles dans le cadre de l’utilisation de méthodes de profilage, elles devraient être prévues par le droit interne des Etats membres. Ainsi, dans tous les Etats de l’Union européenne ayant transposé la Directive 95/46/CE, la liste des exceptions prévue à l’article 8 de ladite Directive se trouve circonscrite dans leurs lois nationales.

130. Quant aux garanties appropriées et légitimes, celles-ci peuvent consister, par exemple, dans le consentement de la personne concernée ou l’encadrement par une loi du processus de profilage envisagé, afin de maintenir la confidentialité des données traitées ou résultant de l’opération de profilage et veiller à ce que l’utilisation des profils soit strictement réservée aux seuls traitements qui sont légitimes. Par ailleurs, le principe prévoit expressément la condition de consentement explicite au profilage utilisant les données sensibles dans les cas où le consentement est requis.

4. Information

131. Le principe 4.1 énonce les éléments d’information à fournir par le responsable du traitement et concerne deux cas de figure : la situation où les données collectées sont utilisées en vue d’un profilage subséquent et la situation où le profilage intervient à un stade ultérieur à la collecte, mais toujours avec l’intention initiale de recourir au profilage. La technique du profilage ne peut pas être dissimulée à la personne concernée et le responsable du traitement devrait utiliser tous les moyens raisonnables (information sur le site, etc.) pour informer les personnes concernées de l’existence du profilage et de leurs droits. Cette information devrait être rapide et tirer parti des potentialités des technologies de l’information et de la communication. En particulier, lorsque le profilage a lieu en ligne, ces technologies permettent une information immédiate de la personne concernée.

132. Toutefois, il est estimé opportun d'indiquer que les modalités et l'étendue de cette information devraient être appropriées et adaptées aux circonstances. Aussi, il est considéré que diverses formes et moyens de communication peuvent être utilisés lorsque la nature ou l'ampleur de l’opération du profilage le requièrent. De même, il est reconnu que l’information sur l’existence du recours à des méthodes de profilage peut, par sa nature, constituer une charge disproportionnée pour le responsable du traitement, compte tenu de toutes ses caractéristiques et des circonstances ainsi que des limites propres au moyen de communication utilisé. Il importe que la terminologie utilisée et les degrés de détail ou de généralité de l'information soient de nature à permettre à la personne concernée de comprendre aisément, mais seulement dans les grandes lignes, les objectifs et l'importance du profilage. Par ailleurs, le responsable du traitement n’est pas soumis à l’obligation d’information si la législation nationale encadre le processus de profilage.

133. Une distinction devrait être faite entre une obligation d’informer de la finalité pour laquelle le profilage est effectué (4.1.b) et les effets envisagés de l’attribution du profil à la personne concernée (4.1.f, dernier alinéa). Par exemple, la finalité d’un credit scoring est d’évaluer la solvabilité de la personne concernée, alors que l’effet envisagé du profilage sera un octroi ou non d’un crédit ou l’octroi d’un crédit plus onéreux etc. Les effets envisagés d’attribution d’un profil ne sont pas toujours prévisibles au moment de la collecte des données, ni au moment de l’application du profil. C’est pourquoi cette garantie a été placée dans le principe 4.1 f qui contient les garanties laissées à la discrétion des Etats membres. Par ailleurs, l’application de ces garanties devrait se faire d’une manière appropriée au regard des circonstances de l’espèce.

134. Les principes 4.2 et 4.3 distinguent deux situations dans lesquelles la personne concernée devrait recevoir l’information visée au principe 4.1, en fonction de ce que les données sont collectées auprès de la personne concernée ou non. Le principe 4.3 s’est inspiré directement de l’article 11 de la Directive 95/46 CE.

135. Le principe 4.4 consacre une garantie supplémentaire au regard du principe 4.1. Comme mentionné précédemment, le profilage est un procédé technique permettant d’atteindre une finalité. Les données enregistrées sans une intention initiale de recourir au profilage pourraient être ensuite utilisées dans le cadre du profilage. Si le responsable du traitement décide d’utiliser les données pour une finalité différente de celle pour laquelle les données ont été initialement collectées, cela devrait être considéré comme étant une nouvelle collecte et un nouveau traitement. Par conséquent, le responsable du traitement devrait être tenu de fournir à la personne concernée les informations citées au principe 4.1, par exemple, au moment de l’application du profil.

136. Le principe 4.5 détaille les situations dans lesquelles les dispositions énoncées aux principes 4.2, 4.3 et 4.4 ne s’appliquent pas.

137. Le principe 4.6 établit un principe de bon sens. La façon dont la personne est avertie du recours à des méthodes de profilage variera suivant le contexte de l’application de la méthode de profilage. Ainsi une fenêtre surgissant (« pop-up ») peut avertir l’internaute que les bannières publicitaires qu’il reçoit sont le résultat d’un profilage de l’internaute. On peut imaginer qu’il en soit autrement lorsqu’une personne reçoit la visite de contrôleurs du fisc suite à un profilage des contribuables.

5. Droits des personnes concernées

138. Le principe 5.1 précise que la personne concernée possède devrait pouvoir connaître les données à caractère personnel la concernant et la logique qui a servi de base au profilage. En effet, il est crucial d’informer la personne concernée, lors de l’exercice du droit d’accès, du mécanisme et des inférences statistiques qui ont servi au profilage et de la logique sous-tendant le traitement des données et les conséquences envisagées de l’attribution d’un profil.

139. Par ailleurs, si le profilage comporte de nouveaux risques, il devrait logiquement être entouré par des garanties spécifiques visant à les pallier.

140. Sans la compréhension de ces éléments, l’exercice efficace d’autres garanties, le droit d’opposition ou le droit de déposer une plainte auprès d’une autorité compétente, ne seraient pas envisageables.

141. Ainsi, par exemple, si une personne reçoit une offre pour une assurance contre les dégâts des eaux, elle devrait être informée de la logique du calcul du prix de cette offre. Le profilage de son risque provient-il d’une statistique ? Quels sont les éléments la concernant qui ont été pris en considération pour le calcul de la prime d’assurance ? Ce n’est qu’en ayant ces éléments, que la personne concernée pourrait, le cas échéant, formuler une opposition motivée.

142. La logique qui sous-tend au traitement ne devrait pas être limitée à l’hypothèse des décisions automatisées, car ces dernières ne sont pas la seule finalité du profilage. Les Etats peuvent étendre cette obligation à plusieurs hypothèses sans, toutefois, entraîner des efforts démesurés pour le responsable du traitement et sans qu’il soit porté une atteinte aux droits et libertés d’autrui, en particulier aux secrets commerciaux23. La personne concernée n’est pas a priori fondée à obtenir la communication des données anonymes ayant servi au profilage. Par ailleurs, le responsable du traitement ne serait tenu de fournir que l’information qui sera suffisante pour comprendre les conséquences possibles de l’application d’un profil.

143. Le principe 5.2 est inspiré par l’article 8 c de la Convention 108 et prévoit la possibilité pour la personne concernée d’obtenir la rectification, l’effacement ou le verrouillage de ses données selon les cas.

144. Le principe 5.3 suggère de garantir à la personne concernée, sauf exceptions, le droit de s’opposer à l’utilisation de ses données dans le cadre de profilage à des fins marketing. Ainsi, si une personne souhaite que la publicité qu’elle reçoit sur l’internet ne puisse pas être ciblée en fonction de son profil ou que le choix des sites proposés à sa consultation ne soient pas dictées par l’utilisation de son profil, elle doit pouvoir s’y opposer sans donner de raisons particulières. Le droit de s’opposer au profilage lorsque la finalité du recours à cette méthode n’est pas un but de marketing exige la mise en avant de raisons individuelles prépondérantes et légitimes. Ainsi, celui qui s’est vu refuser un crédit parce que statistiquement la localisation de son domicile, l’absence d’abonnement téléphonique et l’instabilité d’emploi constituent, cumulés, des indices statistiques de son incapacité de remboursement, pourra s’opposer à l’utilisation d’un tel profil en démontrant que le changement d’emploi est dû à des faillites successives de ses employeurs successifs qui l’ont contraint à un déménagement rapide justifié par un nouvel emploi, déménagement qui explique l’absence d’abonnement téléphonique.

145. Le principe 5.4 prévoit toutefois des garanties supplémentaires contre le recours arbitraire aux limitations aux droits énoncés dans le présent paragraphe.

146. Il convient de noter que certains droits, tel que le droit de l’individu d’obtenir l’information relative aux données le concernant, peuvent être limités si les raisons citées au paragraphe 6 existent (sécurité d’Etat, sûreté publique etc.) Voir par exemple l’article 6 de la Recommandation N° R (87) 15 visant à réglementer l'utilisation de données à caractère personnel dans le secteur de la police et l’article 17 de la décision cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.

147. Dans ce cas, les décisions motivées du refus ou de limitation des droits devraient être communiquées à la personne concernée par tous les moyens permettant d’en garder une trace. Toutefois, la communication des motifs peut ne pas avoir lieu dans les cas où elle pourrait mettre en péril l’objectif même dans lequel cette restriction a été imposée.

148. L’origine de ce principe tient compte de la difficulté de l’exercice des diverses tâches dont un Etat est investi, notamment dans le domaine policier et du maintien de l’ordre. Une approche équilibrée devrait permettre leur exercice effectif sans dépouillement des individus de leurs droits. Par exemple, les droits en question ne peuvent être limités qu’aussi longtemps que perdure le motif de la limitation. Par ailleurs, il est important de s’assurer que les raisons constitutives de limitation sont prévues par la loi et nécessaires dans une société démocratique. La nécessité dans une société démocratique implique l’existence d’un « besoin social impérieux » et la proportionnalité par rapport au but légitime poursuivi. Il faut éviter à tout prix que les motifs avancés pour le refus ou la limitation ne serve à détourner les garanties en défaveur de la personne concernée. Enfin, si aucune raison pour le refus ou la limitation n’a été communiquée à l’individu, les voies possibles de contestation devraient lui être exposées.

149. Le principe 5.5 vise le cas où le recours à la méthode de profilage permet à lui seul la prise d’une décision ayant des effets juridiques sur la personne concernée (exemple : telle personne a-t-elle en fonction de son profil droit à tel avantage social ?) ou affectant cette dernière de manière significative (ainsi, telle personne en fonction de son profil n’est pas digne d’un crédit de X euros). Le principe donne à la personne concernée un droit d’opposition à la décision. Ce principe reçoit des exceptions chaque fois que la loi prévoit le recours à cette méthode ou que la décision ainsi prise est opérée dans le cadre de l’exécution d’un contrat ou de mesures précontractuelles (ainsi, sous réserve du respect des principes relatifs à la légitimité du profilage, à la qualité des données et finalement du droit à l’information), le recours au profilage pour des décisions d’embauche est possible moyennant des garanties appropriées permettant à la personne concernée de faire valoir son point de vue (en particulier au cours d’un entretien où elle pourra démontrer l’inexactitude de données entrant dans son profil, l’inadéquation du profil à sa situation particulière voire d’autres arguments).

6. Exceptions

150. Le paragraphe 6 est inspiré directement de l'article 9 de la Convention 108 (inspiré lui-même par la deuxième partie des articles 6, 8, 10 et 11 de la CEDH) et définit les dérogations autorisées aux principes énoncés dans les paragraphes 3, 4 et 5. La jurisprudence de la Cour se livre à un examen détaillé des motifs de restrictions, notamment la notion de « mesure nécessaire » susceptible de varier en fonction de la situation donnée. En prévoyant la faculté d’exceptions, la recommandation adopte une approche équilibrée en laissant aux Etats une marge de manœuvre dans les circonstances dûment justifiées.

151. Le paragraphe 2 n’est pas cité dans le paragraphe 6 car, comme mentionné ci-dessus, ce paragraphe n’a pas pour but d’instaurer des obligations légales pouvant faire l’objet de dérogations.

7. Recours

152. Le paragraphe 7 prévoit l’existence de recours appropriés pour la personne concernée en cas de non respect des dispositions réglementaires traduisant les principes consacrés par la recommandation. Le recours suppose l’intervention d’une autorité indépendante instance judiciaire ou autorité indépendante au sens du protocole additionnel à la Convention 108, c'est-à-dire disposant de moyens d’investigation et pouvant ordonner des sanctions appropriées.

8. Sécurité des données

153. Le principe 8.1 porte sur les mesures techniques et d’organisation qui devraient être prises pour assurer la sécurité des données. La voie légale est une des voies de la mise en œuvre de la recommandation. D’autres voies pourraient être envisagées, ayant trait à la mise en place des procédures et des politiques internes dans la mesure où il ne suffit pas d’édicter des règles juridiques pour assurer une pleine protection des données à caractère personnel ; des précautions matérielles doivent être effectivement prises par le responsable du traitement pour prévenir certains accidents de traitement survenus accidentellement ou par malveillance.

154. Le principe 8.2 stipule qu’il incombe au responsable du traitement de mettre en place les mesures techniques et d’organisation mentionnées ci-dessus.

155. Le principe 8.3 prévoit comme garantie supplémentaire que les responsables du traitement qui recourent à des techniques de profilage présentant des risques particuliers pour les personnes concernées, et ce au regard de divers critères (nature des données traitées, impact de la décision prise ou des effets du profilage, caractère du réseau de collecte, etc.), seraient tenus si nécessaire de recourir à la nomination au sein de leur organisation d’une personne au statut garantissant son indépendance et chargée de veiller au respect des principes de la Convention 108 et de cette recommandation et que cette personne détachée à la protection des données personnelles puisse donner un avis sur les mécanismes de profilage mis en œuvre par un responsable du traitement.

156. La nomination d’une telle personne ne fait pas obstacle à la nomination par le même responsable du traitement d’un correspondant à l’informatique et à la liberté, ce dernier pouvant avoir des compétences plus étendues.

157. Le principe 8.4 prévoit que dans le cas d’une sous-traitance des opérations de profilage à un tiers, le responsable du traitement devrait prévoir des garanties appropriées afin de s’assurer que son sous-traitant respecte bel et bien les conditions de licéité et de sécurité détaillées dans l’annexe à la recommandation24.

158. Le principe 8.5 prévoit une garantie supplémentaire contre l’utilisation abusive possible des résultats statistiques utilisés dans le cadre du profilage. Cette exigence est fondée sur la Recommandation No R (97) 18 qui définit les conditions de la licéité de la collecte et du traitement des données à caractère personnel aux fins statistiques et, notamment, son principe 3.3 qui exige que les données à caractère personnel soient rendues anonymes dès qu’elles ne sont plus nécessaires sous une forme identifiable.

9. Autorités de contrôle

159. Le principe 9.1 dispose que les Etats membres devraient charger une ou plusieurs autorités de contrôle indépendantes de veiller au respect de l’application du droit interne mettant en œuvre les principes énoncés dans la recommandation. L’autorité indépendante, ainsi que l’étendue de ses moyens d’investigation et d’intervention, relèvent des dispositions du Protocole additionnel à la Convention 10825.

160. Le principe 9.2 prévoit une possibilité d’introduire une obligation de notification ou un contrôle préalable par l’autorité de contrôle indépendante citée au principe 9. 1. Il convient de souligner que ce principe n’a pas pour but d’imposer à l’Etat la mise en place d’une obligation légale mais prévoit de telles possibilités au cas où le traitement des données à caractère personnel ayant recours au profilage présenterait des risques spécifiques et particuliers pour la protection de la vie privée. Dans des cas où le responsable du traitement prévoit les mesures appropriées comme, par exemple, l’avis d’un détaché à la protection des données, il est loisible pour les Etats membres d’exempter le responsable du traitement de cette obligation de notification ou d’autorisation préalable.

161. Enfin, le principe 9.3 prévoit à ce que ces autorités informent le public, par exemple dans leurs rapports annuels, du contenu de la recommandation et l’éduquent à la prise de conscience des risques liés au profilage.

1 Ce document a été classé en diffusion restreinte le jour de la diffusion ; il sera déclassifié conformément à la Résolution Res(2001)6 sur l'accès aux documents du Conseil de l'Europe.

2 arrêt Malone c. Royaume-Uni du 2 août 1984, N°8691/79, paragraphe no 82.

3 Par ailleurs, dans la Charte des droits fondamentaux de l'Union européenne, le droit à la protection des données à caractère personnel constitue un droit à part avec le droit au respect de la vie privée et familiale.

4 Voir http://www.coe.int/dataprotection.

5 Rapport explicatif à la Convention 108, § 15.

6 A la date de l’adoption de la recommandation

7 CM(2008)81.

8 CM(98)182.

9 Protocole additionnel à la Convention 108 sur les autorités de contrôle et les flux transfrontières de données (STE N°181)

10 Protocole additionnel, article 2

11 Recommandation Nº R (2002) 9 sur la protection des données à caractère personnel collectées et traitées à des fins d’assurance (18 septembre 2002) ;
Recommandation N° R (99) 5 sur la protection de la vie privée sur Internet (23 février 1999) ;
Recommandation N° R (97) 18 sur la protection des données à caractère personnel collectées et traitées à des fins statistiques (30 septembre 1997) ;
Recommandation N° R (97) 5 sur la protection des données médicales (13 février 1997) ;
Recommandation N° R (95) 4 sur la protection des données à caractère personnel dans le domaine des services de télécommunications, eu égard notamment aux services téléphoniques (7 février 1995) ;
Recommandation N° R (91) 10 sur la communication à des tierces personnes de données à caractère personnel détenues par des organismes publics (9 septembre 1991) ;
Recommandation N° R (90) 19 sur la protection des données à caractère personnel utilisées à des fins de paiement et autres opérations connexes (13 septembre 1990) ;
Recommandation N° R (89) 2 sur la protection des données à caractère personnel utilisées à des fins d'emploi (18 janvier 1989) ;
Recommandation N° R (87) 15 visant à réglementer l'utilisation de données à caractère personnel dans le secteur de la police (17 septembre 1987) ;
Recommandation N° R (86) 1 relative à la protection des données à caractère personnel utilisées à des fins de sécurité sociale (23 janvier 1986) ;
Recommandation N° R (85) 20 relative à la protection des données à caractère personnel utilisées à des fins de marketing direct (25 octobre 1985) ;
Recommandation N° R (83) 10 relative à la protection des données à caractère personnel utilisées à des fins de recherche scientifique et de statistiques (23 septembre 1983) [remplacée par Recommandation No. R (97) 18] ;
Recommandation N° R (81) 1 relative à la réglementation applicable aux banques de données médicales automatisées (23 janvier 1981) [remplacée par Recommandation No. R (97) 5].

12 Le rapport peut être consulté sur le site www.coe.int/dataprotection sous rubrique « Rapports et études T-PD ».

13 CM/Del/Dec(2009)1050/10.6F / 13 mars 2009.

14 Supra 11.

15 Ne fût-ce que temporairement par une adresse IP statique, voire, à plus long terme, par une adresse IPv4 fixe ou une adresse IPv6 dynamique mais incorporant l’adresse Media Access Control, (MAC), à savoir un identifiant, de la carte réseau, voire encore, par le biais d’un cookie rémanent.

16 Article 5, Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques).

17 Exposés des motifs de la Recommandation Nº R (2002) 9 sur la protection des données à caractère personnel collectées et traitées à des fins d’assurance, et de la Recommandation N° R (97) 18 sur la protection des données à caractère personnel collectées et traitées à des fins statistiques.

18 Voir aussi § 26 (b) de l’exposé des motifs de la Recommandation Nº R (2002) 9 sur la protection des données à caractère personnel collectées et traitées à des fins d’assurance.

19 Si la communication implique le transfert transfrontière, des dispositions supplémentaires seront appliquées.

20 Voir l’opinion 2/2010 du Groupe de Travail « Article 29 » sur la Protection des Données sur la publicité comportementale en ligne, notamment, l’analyse des caractéristiques d’un consentement.

21 § 50, Recommandation (97) 18 sur la protection des données à caractère personnel collectées et traitées à des fins statistiques.

22 Voir, opinion 2/2010 du Groupe de Travail « Article 29 », précité.

23 Voir le considérant 17 de la recommandation.

24 Voir également l’Avis 1/2010 sur les notions de «responsable du traitement» et de « sous-traitant » du Groupe de travail « Article 29 ».

25 Voir, le rapport explicatif sur l’article 1 § 2 (a) du protocole additionnel à la Convention n° 108.


 Haut de page

 

  Documents liés
 
   Documents connexes