Profilage : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

Le profilage désigne, au sens du RGPD, toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne.

Le profilage désigne, au sens du RGPD, toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne. L'article 4 paragraphe 4 du Règlement (UE) 2016/679 fournit cette définition extensive qui couvre la quasi-totalité des pratiques contemporaines d'analyse comportementale.

L'enjeu pratique du profilage est devenu central avec l'explosion des techniques d'intelligence artificielle, du machine learning et du big data. Les organisations contemporaines profilent massivement leurs clients, prospects, employés et candidats, à des fins variées (marketing personnalisé, scoring de crédit, détection de fraude, recrutement automatisé, recommandation de contenus). Le RGPD impose à ces pratiques un cadre juridique strict, particulièrement pour les décisions automatisées produisant des effets juridiques sur les personnes.

Le règlement opère une distinction fondamentale entre le profilage simple, qui peut être effectué sur les bases légales habituelles avec les garanties usuelles, et la décision automatisée incluant un profilage au sens de l'article 22, qui est en principe interdite sauf exceptions limitativement énumérées et avec des garanties renforcées. Cette distinction commande l'ensemble du régime applicable.

Vous souhaitez sécuriser vos pratiques de profilage ? Le Cabinet Aurore Bonavia accompagne les organisations dans l'analyse juridique et la mise en conformité de leurs traitements de profilage. → Voir l'accompagnement en droit du numérique

La définition extensive du profilage

L'article 4 paragraphe 4 du RGPD pose une définition large :

« Profilage, toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique. »

Trois éléments cumulatifs caractérisent le profilage :

  • un traitement automatisé, qui suppose l'usage de procédés techniques (logiciels, algorithmes, modèles statistiques, systèmes d'IA) ; les analyses purement manuelles n'entrent pas dans le champ ;
  • une utilisation pour évaluer des aspects personnels, ce qui distingue le profilage des traitements purement administratifs (paie, comptabilité, gestion des accès) ;
  • une personne physique identifiée ou identifiable, ce qui exclut les analyses purement statistiques sur des données anonymisées.

L'EDPB a précisé dans ses Lignes directrices WP251 sur les décisions automatisées et le profilage que la qualification de profilage est large et couvre tant les opérations destinées à classifier les personnes (segmentation marketing, catégorisation comportementale) que celles destinées à prédire leurs comportements futurs (scoring, modèles prédictifs, ciblage personnalisé).

La distinction entre profilage simple et décision automatisée article 22

Le RGPD distingue deux régimes juridiques selon que le profilage produit ou non des effets juridiques ou des effets équivalents pour la personne concernée :

  • le profilage simple (par exemple segmentation marketing, recommandation de produits, personnalisation de contenu) peut être effectué sur les bases légales habituelles (consentement, contrat, intérêts légitimes), sous réserve du respect des principes généraux du RGPD (minimisation, transparence, information, droits des personnes) ; le droit d'opposition de l'article 21 s'applique notamment au profilage à des fins de prospection ;
  • la décision automatisée incluant un profilage au sens de l'article 22, qui produit des effets juridiques (refus de crédit, blocage de compte, sanction administrative) ou affecte de manière significative la personne concernée (refus d'embauche, modulation tarifaire majeure, impact sur la santé), est en principe interdite sauf exceptions limitativement énumérées.

Cette distinction implique une analyse de qualification systématique de chaque traitement de profilage. La pratique des contrôles CNIL retient une interprétation extensive de la notion d'effet significatif, qui couvre les décisions susceptibles de modifier substantiellement les choix, les opportunités ou les ressources de la personne concernée, indépendamment de toute formalisation juridique stricte.

Les exceptions à l'interdiction de la décision automatisée

L'article 22 paragraphe 2 du RGPD énumère limitativement trois exceptions à l'interdiction de principe :

  • la nécessité contractuelle : la décision automatisée est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et le responsable de traitement (par exemple, scoring automatique d'une demande de crédit en ligne fondé sur les données fournies par le demandeur) ;
  • l'autorisation par le droit de l'Union ou d'un État membre : la décision est autorisée par une norme juridique qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes (par exemple, certains dispositifs de lutte contre la fraude fiscale ou de prévention du blanchiment) ;
  • le consentement explicite de la personne concernée à la décision automatisée (cette exception suppose un consentement particulièrement éclairé et spécifique, distinct du consentement habituel).

Pour les catégories particulières de données au sens de l'article 9 (origine raciale, opinions politiques, données de santé, etc.), l'article 22 paragraphe 4 du RGPD impose des conditions supplémentaires : la décision automatisée fondée sur ces données ne peut être prise que sur la base du consentement explicite ou pour des motifs d'intérêt public important, avec des mesures appropriées pour la sauvegarde des droits et libertés.

Les garanties renforcées exigées par l'article 22

L'article 22 paragraphe 3 du RGPD impose au responsable de traitement, lorsque la décision automatisée est autorisée, des garanties renforcées pour préserver les droits et libertés de la personne concernée :

  • le droit d'obtenir une intervention humaine de la part du responsable de traitement ; la personne concernée peut exiger qu'un opérateur humain examine sa situation et reconsidère la décision automatisée ;
  • le droit d'exprimer son point de vue sur la décision et les données qui l'ont fondée ;
  • le droit de contester la décision et d'en obtenir la révision selon des modalités compréhensibles.

L'article 13 paragraphe 2 f) et l'article 14 paragraphe 2 g) du RGPD imposent par ailleurs au responsable de traitement de fournir, dès la collecte ou ultérieurement, des informations utiles concernant la logique sous-jacente à la décision automatisée, ainsi que sur l'importance et les conséquences prévues du traitement pour la personne concernée.

L'arrêt CJUE Schufa Holding du 7 décembre 2023 (C-634/21) a précisé l'application de cet article 22 aux scores de crédit automatisés. La Cour a retenu que la production d'un score automatisé par un organisme de scoring qui influence de manière significative la décision finale de l'établissement bancaire utilisateur constitue elle-même une décision automatisée au sens de l'article 22, déclenchant l'application des garanties renforcées du RGPD. Cette jurisprudence ouvre des perspectives contentieuses majeures pour les algorithmes de notation et de recommandation déployés par les plateformes numériques.

La transparence algorithmique et les contraintes pratiques

L'obligation d'information sur la logique sous-jacente à la décision automatisée constitue l'un des défis pratiques les plus complexes de l'article 22. Les modèles d'intelligence artificielle modernes (réseaux de neurones profonds, modèles de langage, modèles de classification non supervisés) présentent un caractère opaque qui rend l'explication précise des décisions techniquement difficile.

L'EDPB a précisé dans ses Lignes directrices WP251 que la logique sous-jacente ne suppose pas la communication du code source ou des paramètres techniques de l'algorithme. Le responsable doit fournir une explication compréhensible des facteurs qui ont contribué à la décision (variables d'entrée, pondérations principales, logique générale du modèle), sans nécessairement entrer dans les détails techniques.

La pratique a forgé plusieurs techniques d'explicabilité algorithmique (XAI - Explainable AI) qui permettent de répondre à cette exigence :

  • les explications locales (LIME, SHAP) qui identifient les variables ayant contribué à une décision particulière ;
  • les explications globales qui caractérisent les variables d'importance générale du modèle ;
  • les modèles intrinsèquement interprétables (arbres de décision, modèles linéaires) lorsque la précision technique le permet ;
  • la production de contre-factuels indiquant les changements de variables qui auraient conduit à une décision différente.

Le Règlement européen sur l'IA (AI Act, Règlement (UE) 2024/1689) renforce ces exigences pour les systèmes d'IA à haut risque, en imposant des obligations de transparence, de documentation, de gouvernance et de supervision humaine. L'articulation entre le RGPD et l'AI Act structure désormais le cadre juridique applicable aux décisions automatisées impliquant des données personnelles.

Spécificité juridique sur le droit de ne pas faire l'objet d'une décision automatisée

L'article 22 paragraphe 1 du RGPD pose un droit de ne pas faire l'objet d'une décision automatisée :

« La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire. »

Ce droit est formulé comme une interdiction de principe opposable au responsable de traitement, plutôt que comme un droit subjectif que la personne concernée devrait exercer pour en bénéficier. Cette qualification dispense la personne de toute démarche préalable et impose au responsable de respecter l'interdiction par défaut, sauf à se placer dans l'une des trois exceptions de l'article 22 paragraphe 2.

L'effet juridique ou affectation significative s'apprécie concrètement, en considérant les conséquences réelles de la décision sur la personne concernée. La pratique CNIL et l'EDPB retiennent une interprétation large qui couvre :

  • le refus ou l'octroi de prestations financières (crédit, assurance, allocation, financement) ;
  • le refus ou l'octroi d'opportunités d'emploi (filtrage de CV, scoring de candidats, décisions de recrutement) ;
  • les décisions tarifaires significatives (modulation forte du prix, conditions commerciales discriminatoires) ;
  • les sanctions ou mesures restrictives (blocage de compte, suspension de service, ajout à une liste d'exclusion) ;
  • les décisions affectant la santé (priorisation médicale, refus de prise en charge, recommandations de traitement).

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de profilage

  • la qualification juridique de vos traitements de profilage au regard de l'article 22 du RGPD ;
  • l'analyse des bases légales applicables aux différents types de profilage ;
  • la rédaction des analyses d'impact (AIPD) pour les profilages à risque élevé ;
  • la mise en place des garanties renforcées exigées par l'article 22 paragraphe 3 ;
  • la rédaction des mentions d'information sur la logique algorithmique sous-jacente ;
  • la mise en place des dispositifs d'intervention humaine et de contestation des décisions ;
  • l'articulation des obligations RGPD avec les obligations de l'AI Act pour les systèmes à haut risque ;
  • la défense face aux réclamations CNIL et aux actions civiles fondées sur l'article 22 ;
  • la formation des équipes data science et IA aux exigences juridiques applicables.

En savoir plus sur l'accompagnement du cabinet : avocat RGPD.

Sources : Règlement (UE) 2016/679 (RGPD) art. 4.4, art. 9, art. 13, art. 14, art. 21, art. 22, Règlement (UE) 2024/1689 (AI Act), EDPB Lignes directrices WP251 sur les décisions automatisées et le profilage, jurisprudence CJUE 7 décembre 2023 (Schufa Holding C-634/21), CNIL guide pratique sur le profilage et les décisions automatisées. Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.