-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
- En bref
- I. Généralités
- II. profilage (let. f)
- III. profilage à haut risque (let. g)
- IV. Conséquences juridiques
- V. Conseils pratiques
- Bibliographie
- Matériaux
En bref
La notion de profilage dans la nouvelle LPD remplace l'ancienne notion de profil de la personnalité. Les dispositions relatives au profilage ont été largement débattues lors des délibérations parlementaires et ont été l'une des raisons de la longueur du processus législatif. Le profilage est défini comme un traitement automatisé des données visant à évaluer des aspects personnels. Ce type de profilage est très répandu dans la pratique, surtout dans le domaine de la personnalisation de l'offre, et n'a pas de conséquences juridiques particulières pour les responsables privés. Outre le profilage normal, la nouvelle LPD connaît également une forme qualifiée de profilage "à haut risque". La LPD s'écarte ainsi du RGPD, qui ne connaît le profilage qualifié qu'en lien avec des décisions individuelles automatisées. Il y a profilage à haut risque lorsque le croisement de données permet d'évaluer des aspects essentiels de la personnalité. La qualification de profilage à haut risque dépend fortement du cas d'espèce et déclenche surtout l'obligation de réaliser une analyse d'impact relative à la protection des données, mais n'entraîne pas une exigence générale de consentement.
I. Généralités
A. Remarque préliminaire
1 Le profilage, en tant qu'évaluation automatisée d'aspects personnels, est aujourd'hui un procédé largement utilisé, qui revêt une grande importance pratique, notamment comme base de la personnalisation très répandue des offres dans le commerce de détail. Les offres numériques telles que les services de streaming, les boutiques en ligne et les plateformes de médias sociaux disposent généralement d'une telle quantité de "contenu" qu'elles ne pourraient pas être utilisées de manière judicieuse sans personnalisation. Pour ces offres numériques, les clients exigent aujourd'hui tout naturellement une aide à l'orientation ciblée, par exemple sur la base du comportement d'utilisation antérieur.
2 Le profilage est donc un processus quotidien qui est souvent dans l'intérêt des clients. Étant donné que le profilage implique un jugement de valeur qui est généralement effectué de manière automatisée sur la base de corrélations et de probabilités, le processus est toutefois considéré comme comportant des risques et nécessitant donc une réglementation. Le profilage implique toujours une évaluation généralisée de la personnalité sur la base de certaines caractéristiques qui, le cas échéant, ne tient pas compte de la personne concrètement concernée ("catégorisation"). La sensibilité accrue du profilage est particulièrement évidente lorsqu'il s'agit d'applications en dehors du commerce avec les clients finaux, par exemple l'utilisation par les autorités dans le domaine de la sécurité et de la poursuite pénale.
B. Historique
3 La notion de "profilage", nouvellement introduite par la révision, remplace celle de "profil de la personnalité" de l'ancienne LPD. Alors que le profil de la personnalité décrit un état statique, le nouveau terme de profilage se réfère au processus d'évaluation en tant que tel. Le concept de profil de la personnalité était une spécificité suisse et son remplacement par la notion de profilage permet de s'aligner sur le droit européen (bien que le profil de la personnalité ait été réintroduit par analogie sous la forme de "profilage à haut risque"). La nouvelle terminologie doit également refléter les progrès techniques, par exemple dans les domaines du big data et de l'intelligence artificielle, et les possibilités accrues de traitement des données qui en découlent.
4 Au cours du processus législatif, le profilage a été l'un des principaux points de discussion. Les divergences sur le profilage ont été un facteur important du retard dans l'adoption de la loi révisée. La question de savoir si et dans quelle mesure le profilage devait nécessiter un consentement a fait l'objet d'un débat particulièrement vaste. Dans l'avant-projet de LPD, le profilage sans consentement explicite de la personne concernée figurait encore parmi les atteintes à la personnalité. Cette exigence de consentement a toutefois été abandonnée dans la suite du processus législatif. Un droit d'opposition au profilage, qui avait été mis en discussion, n'a pas non plus pu s'imposer au Parlement. Les détails de la définition ont également fait l'objet de discussions, notamment le concept de "profilage à haut risque", qui n'a été créé qu'au cours des débats parlementaires et est resté controversé jusqu'à la fin.
C. Systématique et délimitation
5 L'article 5 LPD distingue deux formes de profilage : d'une part, au let. f, le profilage "normal" en tant que traitement automatisé de données visant à évaluer des aspects personnels, et d'autre part, au let. g, un profilage qualifié "à haut risque" fondé sur le profilage normal. Alors que la définition du profilage normal a été reprise telle quelle du DSGVO dans le droit suisse, le profilage qualifié à haut risque constitue une création originale du législateur suisse. En établissant cette gradation, le législateur a voulu tenir compte du fait que les différentes applications du profilage diffèrent parfois considérablement en termes de portée et de conséquences.
6 Le profilage doit être distingué de la décision individuelle automatisée au sens de l'article 21 LPD. Le profilage est le processus d'évaluation qui, le cas échéant, est à la base d'une décision individuelle automatisée, mais qui se situe logiquement en amont de celle-ci. Un profilage ne conduit à une décision individuelle automatisée que si l'évaluation se manifeste par un effet externe concret et que cet effet externe prend la forme d'une conséquence juridique ou d'une atteinte aussi radicale.
II. profilage (let. f)
A. Généralités
7 Le changement de notion du profil de la personnalité au profilage devait apporter un alignement sur le droit européen et le législateur a logiquement repris presque mot pour mot la définition légale de l'article 4 point 4 du DSGVO dans le droit suisse. Pour l'essentiel, elle comprend quatre éléments : premièrement, un processus d'évaluation qui, deuxièmement, est automatisé et qui, troisièmement, produit des déclarations sur des aspects personnels qui, quatrièmement, se rapportent à une personne physique. Ces éléments sont illustrés ci-après à l'aide de l'exemple des recommandations de lecture personnalisées dans les librairies.
B. Processus d'évaluation
8 La notion de profilage se concentre sur l'élément d'évaluation. Le profilage est en fait un processus d'évaluation qui permet d'obtenir de nouvelles informations sur une personne par le biais d'une analyse ou d'une prédiction. "Prévoir" signifie que le profilage est généralement axé sur l'avenir, par exemple, dans le cas des librairies, pour prévoir quels livres les clients pourraient mettre dans leur panier. L'"analyse", la deuxième forme d'évaluation mentionnée dans la définition légale, représente en revanche une évaluation d'aspects passés ou présents, l'analyse ne se suffisant généralement pas à elle-même, mais constituant à son tour la base de déclarations orientées vers l'avenir.
9 Une évaluation comporte toujours un classement normatif et est donc, dans une certaine mesure, subjective. S'il n'y a pas de marge d'appréciation subjective et qu'il s'agit uniquement de constater objectivement un état de fait, il n'y a pas d'évaluation. Le simple calcul de l'emplacement par un système de navigation, par exemple, ne contient pas plus d'élément d'évaluation que la simple consultation, le filtrage ou le tri de données dans une base de données. Si une libraire trie ses clients en fonction de caractéristiques telles que l'âge ou le lieu de résidence et qu'elle forme des groupes de clients correspondants, il ne s'agit donc pas de profilage. De même, si elle extrait de sa base de données clients les acheteurs d'un certain auteur pour leur signaler une nouvelle parution du même auteur, la libraire procède à un simple filtrage et non à un profilage. En revanche, si la libraire classe par exemple les acheteurs de "1984" de George Orwell dans le segment de clientèle "littérature dystopique", il s'agit d'un jugement de valeur et donc d'un profilage.
C. Automatisation
10 Le profilage selon l'art. 5 let. f LPD ne concerne que le traitement automatisé de données personnelles. Le traitement est automatisé lorsqu'il est effectué à l'aide de techniques assistées par ordinateur. Il n'y a pas d'automatisation lorsque l'évaluation repose exclusivement sur un processus de pensée humain, c'est-à-dire qu'elle a lieu uniquement "dans la tête d'un être humain".
11 Si une libraire connaît par exemple les préférences de ses clients et leur fait des recommandations individuelles sur cette base (elle recommande par exemple "The Handsmaid's Tale" à un lecteur de "1984"), il ne s'agit pas d'un profilage au sens de la loi, faute d'automatisation. Le fait que la libraire prenne des notes sur chaque client dans une base de données électronique n'y change rien. En revanche, si la libraire fait calculer les recommandations par un algorithme, il s'agit d'un processus automatisé et donc de profilage. Dans ce cas, l'automatisation n'est pas supprimée par le simple fait que le libraire définit lui-même les critères jusqu'à un certain point (par exemple en attribuant des auteurs ou des livres à certains genres), tant que l'évaluation est assistée par ordinateur et ne se limite pas à de simples "si-alors".
12 La forme technique concrète de l'opération de profilage n'est pas déterminante. La notion de profilage est neutre sur le plan technologique et la qualification de profilage est indépendante des procédés techniques utilisés. Dans la pratique, les systèmes de recommandation d'offres numériques, en particulier, sont souvent basés sur le "filtrage collaboratif", qui prend en compte non seulement l'historique de l'utilisateur et les informations sur le contenu, mais aussi les préférences et le comportement des autres utilisateurs. Si, par exemple, dans une librairie en ligne, l'utilisateur A et l'utilisateur B aiment des livres similaires et que l'utilisateur A a évalué positivement un certain livre que l'utilisateur B n'a pas encore acheté, le système pourrait recommander ce livre à l'utilisateur B. L'utilisation de telles méthodes basées sur des corrélations n'est toutefois pas essentielle sur le plan conceptuel.
D. Aspects personnels
13 Pour qu'il y ait profilage, l'évaluation doit aboutir à de nouvelles connaissances sur des aspects personnels de personnes physiques. L'article 5 let. f LPD contient une liste d'aspects personnels dont l'évaluation peut justifier un profilage : Performance au travail (p. ex. respect de normes de qualité ou réalisation d'objectifs de productivité), situation économique (p. ex. revenus ou comportement en matière d'épargne), santé (p. ex. mode d'alimentation ou prédisposition à certaines maladies), préférences personnelles (p. ex. préférences d'investissement, genres préférés ou destinations de voyage préférées), intérêts (par exemple, hobbies ou activités de loisirs), fiabilité (par exemple, solvabilité ou types de personnalité), comportement (par exemple, interactions sociales ou comportement d'achat), lieu de séjour ou de déplacement (par exemple, modèles de déplacement, parcours de marche ou comportement de mobilité).
14 L'énumération de l'article 5 let. f est très complète, mais non exhaustive ("notamment"), et d'autres aspects peuvent être pertinents selon le contexte. L'élément de l'aspect personnel n'a donc guère d'effet limitatif. Ce qui est exigé, c'est que l'aspect présente une certaine complexité et soit donc accessible à une évaluation au sens d'un jugement subjectif. Les aspects qui ne permettent aucune appréciation et qui peuvent donc être constatés de manière purement objective ne relèvent pas du profilage (p. ex. la détermination du poids corporel). Toutefois, en tant que donnée prospective, ces mêmes aspects peuvent, le cas échéant, nécessiter une évaluation (par exemple, le poids corporel futur pronostiqué). En outre, des aspects purement objectifs peuvent servir de base de données pour l'évaluation d'autres aspects dépendant du pouvoir d'appréciation (le poids corporel, par exemple, comme indicateur de certains risques de maladie).
E. Lien avec les personnes
15 Le profilage au sens juridique suppose enfin que les déclarations produites se rapportent à des personnes individuelles. En revanche, si les déclarations se rapportent uniquement à des groupes de personnes parmi lesquelles aucune personne individuelle n'est identifiable, il n'y a pas de profilage, même si le traitement repose sur des données personnelles en tant qu'"input". Si une libraire se contente d'analyser les auteurs et les genres les plus appréciés par les différents groupes d'âge afin d'optimiser son assortiment, sans faire de déclarations sur des clients individuels, elle ne procède pas à un profilage. Il en va de même pour l'analyse de l'utilisation du site web en vue d'améliorer la convivialité, qui ne donne lieu à aucune évaluation personnelle.
16 Il n'y a pas non plus de profilage lorsque le traitement ne repose que sur des données anonymes ou agrégées, les "données d'entrée" ne présentant donc aucune référence personnelle. Il ne s'agit pas d'un traitement de données personnelles et le droit de la protection des données n'est pas applicable (art. 2 al. 1 LPD). Si le traitement a précisément pour but de désanonymiser les données anonymes et de les (ré)associer à des personnes individuelles, il s'agit à nouveau d'un traitement de données personnelles soumis à la législation sur la protection des données. Dans ce cas, il peut s'agir d'un profilage dont le but est précisément de désanonymiser les données en établissant des liens.
III. profilage à haut risque (let. g)
A. Généralités
17 Avec le "profilage à haut risque", l'article 5 let. g LPD introduit une forme qualifiée de profilage basée sur le profilage normal. La figure juridique du "profilage à haut risque" n'a été créée qu'au cours du processus législatif et a fait l'objet de débats intenses au Parlement. Les discussions ont notamment porté sur des formulations qui auraient permis de déterminer si le profilage produisait des données personnelles sensibles ou si le profilage s'étendait à différents domaines de la vie de la personne concernée. Enfin, l'approche consistant à reprendre la figure juridique actuelle du "profil de la personnalité", non pas dans son nom, mais dans son contenu, s'est imposée. Le profilage à haut risque est donc en substance un profilage qui conduit à un profil de la personnalité au sens de l'ancienne LPD. Le profil de la personnalité n'a été supprimé qu'en apparence par la nouvelle LPD.
18 Le profilage à haut risque est une particularité suisse. Le RGPD ne connaît pas une telle forme qualifiée de profilage et fait dépendre les conséquences juridiques particulières en cas de profilage du fait que le profilage est effectué en relation avec une décision individuelle automatisée. Il aurait donc été possible de s'aligner davantage sur le RGPD si l'on avait défini comme critère du "profilage à haut risque" le fait que le profilage produise des effets juridiques pour la personne concernée ou l'affecte de manière significative de façon similaire. Il est regrettable que l'ancien profil de personnalité ait été réactivé et qu'une particularité suisse ait été maintenue. Une occasion a été manquée d'établir une plus grande convergence avec le DSGVO.
19 Pour qu'il y ait "profilage à haut risque" au sens de l'article 5 let. g LPD, deux éléments doivent être présents en plus du profilage normal : premièrement, une mise en relation des données et, deuxièmement, des aspects essentiels de la personnalité auxquels se rapportent potentiellement les déclarations générées par le profilage. Ces deux éléments supplémentaires sont à la fois nécessaires et suffisants. Cela signifie tout d'abord que le risque élevé qui donne son nom à l'étude est supposé exister si les deux éléments précités sont présents. Le risque élevé ne constitue pas un élément conceptuel supplémentaire à examiner séparément au cas par cas. En outre, cela signifie qu'un profilage qui ne répond pas à la définition légale ne devient pas un "profilage à haut risque" parce qu'il présente, dans le cas concret, un risque élevé pour les personnes concernées pour d'autres raisons (et nécessite donc, par exemple, la réalisation d'une analyse d'impact relative à la protection des données).
B. Mise en relation des données
20 Le profilage à haut risque implique tout d'abord une combinaison de données. La mise en relation des données fait référence au processus par lequel deux ou plusieurs ensembles de données distincts sont reliés, fusionnés ou comparés afin d'obtenir une information plus approfondie ou plus complète. Cette mise en relation des données peut s'effectuer de différentes manières, par exemple en combinant des données provenant de différentes sources mais se rapportant à la même personne, ou en reliant des données basées sur des caractéristiques, des critères ou des variables communs.
21 La mise en relation de données remplace l'expression "compilation de données" utilisée sous l'ancien droit et exprime ainsi le fait que le profilage ne consiste pas en une simple accumulation de données, mais en une mise en relation ciblée de différents ensembles de données. Une simple collecte de données, éventuellement en vue de préparer un profilage, ne constitue pas encore un tel lien. Contrairement à l'ancien profil de la personnalité, une collecte statique de données ne suffit pas.
C. Évaluation des aspects essentiels de la personnalité
22 Alors que, dans le cadre d'un profilage normal, des connaissances sur n'importe quel aspect de la personnalité suffisent, elles doivent, dans le cadre d'un profilage à haut risque, se rapporter à des aspects essentiels de la personnalité. Il n'est pas nécessaire que ces aspects essentiels de la personnalité soient effectivement évalués. Il suffit que des déclarations sur des aspects essentiels de la personnalité soient en principe possibles ("autorisées") sur la base des données traitées et de la manière dont le traitement a été effectué. Le fait que l'art. 5 let. g LPD utilise le terme "évaluation" au lieu d'"apprécier" n'est pas pertinent. Les deux termes sont synonymes.
23 Conformément à la volonté du législateur, la jurisprudence "Moneyhouse" du Tribunal administratif fédéral relative au profil de la personnalité doit continuer à servir de référence pour déterminer s'il y a évaluation d'aspects essentiels de la personnalité. L'élément déterminant est donc de savoir si les informations mises en relation forment une image globale de la personne concernée. Les critères essentiels sont ici la quantité et le type de données utilisées, le contexte de leur utilisation ainsi que la dimension temporelle, c'est-à-dire si les données personnelles sont collectées sur une longue période et donnent ainsi une image quasi biographique en montrant une évolution de la personne concernée. Dans ce contexte, même des données triviales en soi peuvent, le cas échéant, donner une image globale de la personne grâce à un recoupement systématique et fournir des informations potentiellement sensibles sur son identité, ses activités ou ses préférences.
D. Nécessité d'une approche au cas par cas
24 Tout comme le profil de la personnalité utilisé jusqu'à présent, le profilage à haut risque reste globalement difficile à appréhender. Les deux éléments conceptuels que sont la mise en relation des données et l'évaluation d'aspects essentiels de la personnalité fournissent certes un cadre de base, mais ne parviennent pas à conférer à la notion des contours clairs et nécessitent une classification au cas par cas. Le Tribunal administratif fédéral a également reconnu dans sa jurisprudence relative au profil de la personnalité que cela revient en fin de compte à une considération au cas par cas. Dans un certain sens, "on le reconnaît quand on le voit".
25 Dans l'exemple de la librairie, il faudrait par exemple partir du principe qu'il s'agit d'un profilage à haut risque si les données relatives au comportement de lecture étaient combinées avec le comportement d'achat de denrées alimentaires et, le cas échéant, avec d'autres données de transaction ainsi que, par exemple, avec des données d'applications de suivi de la condition physique, afin de tirer des conclusions sur l'état de santé et de soumettre aux personnes concernées de la publicité pour des offres de santé correspondantes ou même de calculer des primes d'assurance individuelles. Il faudrait également qualifier de profilage à haut risque le fait de combiner le comportement de lecture avec des données sur le comportement de navigation et des données de géolocalisation afin d'en tirer des informations sur les opinions philosophiques ou les convictions religieuses. On pourrait également considérer qu'il y a profilage à haut risque si le comportement de lecture était associé à des données de cartes de crédit et à des informations provenant de plateformes de réseaux professionnels, afin d'en déduire des informations sur la fortune et la capacité de paiement et de décider sur cette base quels produits et services seront proposés aux personnes concernées, comment et à quel prix.
IV. Conséquences juridiques
A. Profilage normal
26 Dans le cadre de la LPD, un profilage normal, c'est-à-dire sans "risque élevé", n'est en principe pertinent que pour les organes fédéraux (étant entendu que les particuliers chargés de tâches publiques sont également considérés comme des organes fédéraux). Et ce, à deux égards : d'une part, il n'existe une base légale suffisante pour un profilage par un organe fédéral que si le profilage est prévu dans une loi au sens formel (art. 34 al. 2 let. b LPD). D'autre part, si une telle base n'existe pas dans une loi au sens formel et que le profilage est fondé sur un consentement, celui-ci n'est valable que s'il est explicite, c'est-à-dire s'il porte sur le profilage en tant que tel (art. 6 al. 7 let. c LPD).
27 En revanche, un profilage normal n'a pas de conséquences juridiques particulières pour les responsables privés et les règles habituelles s'appliquent. En particulier, le profilage doit être suffisamment transparent et les personnes concernées doivent être informées des catégories de données créées au moyen du profilage (p. ex. données de préférence) (art. 19 al. 3 LPD). Le profilage lui-même ne doit toutefois pas être mentionné ou décrit spécifiquement dans la déclaration de protection des données. Ce n'est que si des décisions essentielles sont entièrement automatisées sur la base d'un profilage qu'il existe à cet égard des obligations particulières d'information et de renseignement (art. 21 et art. 25 al. 2 let. f LPD).
28 Comme tout autre traitement de données, le profilage peut nécessiter la réalisation d'une analyse d'impact relative à la protection des données s'il comporte des risques élevés pour les personnes concernées. L'existence de risques élevés doit être déterminée au cas par cas sur la base des circonstances concrètes et peut également être le cas lorsque le profilage n'est pas considéré comme un profilage "à haut risque" selon l'art. 5 let. g LPD en raison de l'absence d'éléments de définition.
29 Dans le cas du profilage également, le consentement n'est requis que s'il y a violation des principes de traitement et qu'il n'existe aucun autre motif de justification pour le traitement des données. A cet égard, le profilage ne se distingue pas d'un traitement de données "normal". L'exigence de consentement pour le profilage, qui figurait encore dans l'avant-projet et qui a fait l'objet de nombreuses discussions, n'a pas survécu au processus législatif.
30 De même, le RGPD ne prévoit guère de conséquences juridiques spécifiques en cas de profilage ou seulement lorsque le profilage est effectué en liaison avec une décision individuelle automatisée. Sans référence à la prise de décision automatisée, le profilage n'est mentionné qu'à l'article 21 al. 1 et 2 du RGPD, mais uniquement à titre d'exemple, car le profilage, comme tout autre type de traitement, serait couvert par le droit d'opposition sans mention particulière. Il convient également de noter que dans le champ d'application du RGPD, tout traitement de données, et donc tout profilage, doit reposer sur une base juridique. Les bases juridiques disponibles ne sont toutefois pas limitées et toutes les bases juridiques possibles de l'art. 6 al. 1 RGPD sont également disponibles pour le profilage.
B. Profilage à haut risque
31 L'intensité avec laquelle les débats sur le profilage à haut risque ont été menés contraste avec le peu de pertinence juridique de cette figure juridique. La nouvelle LPD ne prévoit que trois conséquences juridiques liées au profilage à haut risque.
32Premièrement, toute opération de profilage à haut risque doit obligatoirement faire l'objet d'une analyse d'impact relative à la protection des données, dans le cadre de laquelle les risques pour les personnes concernées sont systématiquement évalués et, le cas échéant, des mesures correctives sont définies. Certes, l'article 22 al. 2 LPD ne mentionne pas explicitement le profilage à haut risque comme déclencheur de l'obligation de réaliser une analyse d'impact relative à la protection des données. Toutefois, le profilage à haut risque implique par définition un risque élevé pour les personnes concernées et, conformément à l'art. 22 al. 1 LPD, une analyse d'impact relative à la protection des données est obligatoire pour tout traitement présentant un risque aussi élevé. Le "risque élevé" se réfère toutefois uniquement au risque initial qui déclenche la réalisation d'une analyse d'impact relative à la protection des données. Dans le cadre de cette évaluation, le responsable du traitement peut conclure que le risque réel n'est pas élevé dans le cas concret ou qu'il ne doit plus être considéré comme élevé après la prise en compte des mesures correctives prévues. Dans une telle situation, le profilage reste certes un "profilage à haut risque" selon la définition légale, mais il doit être traité par la suite comme un traitement de données sans risque élevé.
33 Deuxièmement, le consentement donné dans le cadre du profilage doit être explicite, conformément à l'art. 6 al. 7 let. b LPD, lorsque des responsables privés procèdent à un profilage à haut risque et qu'ils fondent ce profilage sur un consentement. L'article 6 al. 7 let. b, LPD fixe des exigences pour l'octroi d'un consentement valable, mais n'établit pas d'exigence générale de consentement pour le profilage à haut risque. Comme le profilage normal, le profilage à haut risque ne requiert un consentement que si un principe de traitement est violé et qu'il n'existe aucun autre motif justificatif.
34 Troisièmement, enfin, l'intérêt prépondérant n'entre pas en ligne de compte pour les examens de solvabilité lorsque l'examen repose sur un profilage à haut risque (art. 31 al. 2 let. c ch. 1 LPD).
35 Comme indiqué, le RGPD ne connaît pas le profilage à haut risque, mais prévoit certaines conséquences juridiques particulières lorsque le profilage est lié à une décision entièrement automatisée qui produit des effets juridiques à l'égard de la personne concernée ou qui l'affecte de manière significative de façon similaire. Entre autres, dans de telles constellations qualifiées, le RGPD exige également qu'une analyse d'impact sur la protection des données soit obligatoirement effectuée (art. 35 al. 3 let. a RGPD). Étant donné que dans la pratique des entreprises, il est rare que des décisions d'une telle portée soient prises, le seuil pour la réalisation obligatoire d'une analyse d'impact sur la protection des données en cas de profilage est plutôt plus élevé sous le RGPD que dans la LPD suisse. Le RGPD contient encore, de manière isolée, d'autres conséquences juridiques pour le profilage effectué en combinaison avec une décision individuelle automatisée, notamment une obligation d'information et de renseignement élargie, qui comprend également des indications sur la logique impliquée et sur les conséquences pour les personnes concernées.
V. Conseils pratiques
36 Dans la pratique des entreprises, c'est surtout l'identification du profilage à haut risque qui est importante, car pour les responsables privés, des conséquences juridiques particulières ne sont liées qu'à de telles opérations de profilage, à commencer par l'obligation de réaliser une analyse d'impact relative à la protection des données. Toutefois, comme nous l'avons vu, la question de savoir si le seuil de profilage à haut risque est atteint ou non dépend fortement des circonstances concrètes du profilage dans chaque cas. Il n'est donc pas facile d'opérationnaliser le concept de profilage à haut risque et de définir des critères généraux. En outre, même les activités de profilage qui ne sont pas qualifiées de "profilage à haut risque" au sens de la définition légale peuvent présenter un risque élevé dans un cas particulier et peuvent donc nécessiter une analyse d'impact relative à la protection des données.
37 Il y a de nombreuses raisons de ne pas utiliser des critères trop détaillés pour déterminer si une analyse d'impact relative à la protection des données doit être effectuée (analyse des seuils). Il est préférable d'intégrer l'évaluation des aspects personnels en tant que facteur de risque dans les processus d'examen et d'approbation des projets et, dans un deuxième temps, de vérifier, sur la base des circonstances concrètes, si l'on est en présence soit d'un profilage à haut risque tel que défini légalement, soit d'un profilage qui, pour d'autres raisons, présente un risque élevé pour les personnes concernées. D'un point de vue pratique, la réalisation d'une analyse d'impact relative à la protection des données est toujours recommandée lorsque le profilage atteint une certaine intensité ou lorsqu'il implique la combinaison de données provenant de différentes sources.
38 La mise en œuvre du profilage a également des répercussions sur la conception et la mise en œuvre des processus réglementaires de protection des données. En particulier, le profilage est important pour la mise en œuvre des processus d'information : tant les données personnelles utilisées dans le profilage ("input") que les nouvelles données et connaissances créées à l'aide du profilage ("output") devraient faire partie des informations fournies aux personnes concernées de manière appropriée et compréhensible. Les catégories de données traitées ou nouvellement créées dans le cadre du profilage ainsi que les finalités de traitement poursuivies par le profilage doivent ensuite être décrites dans la déclaration de protection des données. En revanche, le profilage lui-même ne doit pas être mentionné spécifiquement dans la déclaration de protection des données. Une explication du profilage peut toutefois être recommandée dans un souci de transparence, en tant que mesure de confiance. Les traitements de données en rapport avec le profilage doivent être documentés avec les indications nécessaires dans le registre des traitements conformément à l'art. 12 LPD.
39 Enfin, il est de bonne pratique de prévoir des possibilités permettant aux personnes concernées de s'opposer au profilage. Dans la pratique, ces possibilités d'opt-out peuvent être mises en œuvre par exemple par des fonctionnalités techniques permettant aux personnes concernées de désactiver ou d'empêcher de manière autonome les traitements de données ou les services liés au profilage - p. ex. la réception de mesures de marketing direct personnalisées. De telles possibilités d'opt-out rendent opérationnel le droit général d'opposition de l'art. 30 al. 2 let. b LPD et tiennent en outre compte de l'idée de "privacy by design". De plus, ces possibilités d'opt-out répondent de plus en plus aux attentes des clients qui souhaitent pouvoir influencer de manière pertinente le traitement de leurs données.
Bibliographie
Artikel-29-Datenschutzgruppe, Leitlinien zur automatisierten Entscheidungsfindung im Einzelfall einschliesslich Profiling für die Zwecke der Verordnung 2016/679, angenommen am 3.10.2017 und zuletzt überarbeitet und angenommen am 6.2.2018, abrufbar unter https://www.dsb.gv.at/dam/jcr:768b9c7f-f0f6-45d7-b2aa-d113d121ea69/Leitlinien%20zu%20automatisierten%20Entscheidungen%20im%20Einzelfall%20einschlie%C3%9Flich%20Profiling%20f%C3%BCr%20die%20Zwecke%20der%20Verordnung%202016-679.pdf, besucht am 25.5.2023.
Buchner Benedikt, Kommentierung zu Art. 4 Nr. 4 DSGVO, in: Kühling Jürgen/Buchner Benedikt (Hrsg.), Datenschutz-Grundverordnung, 3. Aufl., München 2020.
Bühlmann Lukas/Schüepp Michael, Begriff und Rechtsfolgen des Profilings im nDSG und der DSGVO, in: Jusletter 12.9.2022.
Ernst Stefan, Kommentierung zu Art. 4 DSGVO, in: Paal Boris P./Pauly Daniel A. (Hrsg.), Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl., München 2021.
Glatthaar Matthias, Keine Angst vor Profiling, in: Jusletter IT 30.9.2021.
Glatthaar Matthias/Schröder Annika, Kommentierung zu Art. 22 DSG, in: Blechta Gabor-Paul/Vasella David (Hrsg.), Basler Kommentar zum Datenschutzgesetz/Öffentlichkeitsgesetz, 4. Aufl., Basel 2023.
Jacot-Guillarmod Emilie, Le profilage à risque élevé de la nLPD : réflexions autour d’un monstre de Frankenstein, swissprivacy.ch, 24.8.2021, abrufbar unter https://swissprivacy.law/86/, besucht am 25.5.2023.
Klabunde Achim, Kommentierung zu Art. 4 DSGVO, in: Ehmann Eugen/Selmayr Martin (Hrsg.), Datenschutz-Grundverordnung, 2. Aufl., München 2018.
Lorentz Nora, Profiling – Persönlichkeitsschutz durch Datenschutz? Eine Standortbestimmung nach Inkrafttreten der DSGVO, Tübingen 2020.
Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter 16.11.2020 (zit. Datenschutzgesetz).
Rosenthal David, Der Entwurf für ein neues Datenschutzgesetz, in: Jusletter 27.11.2017 (zit. Entwurf).
Roth Simon, Das Profiling im neuen Datenschutzrecht, SZW 2021, S. 34 ff.
Rudin Beat, Kommentierung zu Art. 5, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Bern 2023.
Scholz Philip, Kommentierung zu Art. 4 Nr. 4 DSGVO, in: Simitis Spiros/Hornung Gerrit/Spiecker gen. Döhmann Indra (Hrsg.), Datenschutzrecht – DSGVO mit BDSG, 1. Aufl., Frankfurt a.M. 2019.
Vasella David, Neues DSG: kein grundsätzliches Einwilligungserfordernis beim Profiling, auch nicht bei hohem Risiko, datenrecht.ch, 25.9.2020, abrufbar unter https://datenrecht.ch/neues-dsg-kein-grundsaetzlicheseinwilligungserfordernis-beim-profiling-auch-nicht-bei-hohem-risiko/, besucht am 25.5.2023 (zit. Einwilligungserfordernis).
Vasella David, Überlegungen zum Profiling mit hohem Risiko, datenrecht.ch, 23.11.2020, abrufbar unter https://datenrecht.ch/ueberlegungen-zum-profiling-mit-hohem-risiko/, besucht am 25.5.2023 (zit. Profiling).
Matériaux
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.7.2017, BBl 2017 S. 6941 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 25.5.2023 (zit. Botschaft DSG).