Le profilage à risque élevé de la nLPD : réflexions autour d’un monstre de Frankenstein

, le 24 août 2021
Malgré la lettre ambi­guë de l’art. 5 let. g nLPD, tout profi­lage donnant lieu à l’établissement d’un profil de la person­na­lité devrait être consi­déré comme un profi­lage à risque élevé. Sous l’angle systé­ma­tique, il sied de distin­guer le risque élevé « abstrait » de l’art. 5 let. g nLPD du risque élevé « concret » à évaluer au moyen d’une analyse d’impact (art. 22 s. nLPD), seul ce dernier justi­fiant la consul­ta­tion du Préposé selon l’art. 23 nLPD.

Dans le cadre de la révi­sion inté­grale de la LPD, la défi­ni­tion et la règle­men­ta­tion du profi­lage ont fait l’objet de vifs débats parle­men­taires, et couler l’encre média­tique (p. ex. Le Nouvelliste, 24.09.2020). Le compro­mis adopté à l’issue de la Conférence de conci­lia­tion intro­duit deux notions distinctes dans la loi : le profi­lage (art. 5 let. f nLPD) et le profi­lage à risque élevé (art. 5 let. g nLPD).

Si la première est connue du droit euro­péen (art. 4 ch. 4 RGPD), la seconde a été créée de toutes pièces par nos parle­men­taires. Le texte légal indique qu’en sus des attri­buts d’un profi­lage « ordi­naire » (soit (1) le trai­te­ment de données person­nelles (2) au moyen de tech­niques de trai­te­ment auto­ma­ti­sées (3) afin d’évaluer les aspects person­nels d’un indi­vidu, cf. en droit euro­péen WP29 251 rév. 01 p. 7), le profi­lage à risque élevé doit présen­ter les carac­té­ris­tiques suivantes :

  1. un appa­rie­ment de données ;
  2. la possi­bi­lité d’apprécier les carac­té­ris­tiques essen­tielles de la person­na­lité d’une personne physique ; et
  3. un risque élevé pour la person­na­lité ou les droits fonda­men­taux de la personne concernée.

A notre sens, le premier élément est dépourvu de portée propre, tout profi­lage (y compris un profi­lage « ordi­naire » au sens de la let. f) repo­sant sur un appa­rie­ment de données. Le deuxième réin­tro­duit dans la nLPD la notion de « profil de la person­na­lité » du droit actuel (art. 3 let. d LPD). On se réfé­rera dès lors à la juris­pru­dence et à la doctrine exis­tantes, en parti­cu­lier à l’arrêt de prin­cipe « Moneyhouse » (TAF, 18.04.2017, A‑4232/​2015), pour déter­mi­ner si le trai­te­ment conduit à l’établissement d’un profil de la person­na­lité selon ce second critère. Il sied de rappe­ler ici que le profil de la person­na­lité se rapporte au résul­tat du trai­te­ment, alors que le profi­lage se réfère à une forme de trai­te­ment parti­cu­lière (FF 2017 6641 s.). Le troi­sième critère, s’il peut paraître tauto­lo­gique au regard de la notion qu’il vise à défi­nir, pose des diffi­cul­tés d’interprétation.

On peut en parti­cu­lier s’interroger sur la rela­tion entre le critère du risque élevé et celui du profil de la person­na­lité : tout profi­lage qui résulte en un profil de la person­na­lité consti­tue-t-il un profi­lage à risque élevé au sens de la loi, ou faut-il analy­ser sépa­ré­ment si le résul­tat du profi­lage consti­tue un profil de la person­na­lité et si ceci crée un risque élevé pour les droits de la personne concernée ?

L’interprétation litté­rale et systé­ma­tique condui­rait plutôt à privi­lé­gier la seconde hypo­thèse : la lettre de l’art. 5 let. g nLPD mentionne sépa­ré­ment le profil de la person­na­lité et le risque élevé pour les droits de la personne concer­née. En outre, plusieurs autres dispo­si­tions légales (art. 14 al. 1 let. d, art. 22, et art. 24 al. 1 nLPD) se réfèrent à la notion de risque élevé. Or, certaines de ces dispo­si­tions (en parti­cu­lier l’art. 22 rela­tif à l’analyse d’impact et l’art. 24 rela­tif à l’éventuel devoir d’annonce d’une viola­tion de la sécu­rité des données) requièrent de toute évidence une évalua­tion des risques in concreto. La cohé­rence requer­rait dès lors une appré­cia­tion du risque concret lors de l’application de cette disposition.

Par oppo­si­tion, l’interprétation histo­rique et téléo­lo­gique laisse entendre que tout profi­lage résul­tant en un profil de la person­na­lité est à quali­fier de profi­lage à risque élevé. Lors des débats sous la Coupole, de nombreux parle­men­taires consi­dé­raient mani­fes­te­ment tout profi­lage menant à l’établissement d’un profil de la person­na­lité comme problé­ma­tique. L’introduction de la notion de profi­lage à risque élevé vise préci­sé­ment à main­te­nir le niveau de protec­tion exis­tant s’agissant de l’établissement de profils de la personnalité.

Comment choi­sir entre ces deux inter­pré­ta­tions raison­nables, mais contra­dic­toires ? S’agissant d’une dispo­si­tion légale intro­duite lors de débats parle­men­taires très récents, il nous semble diffi­cile de faire fi de la volonté mani­feste du légis­la­teur et de la ratio legis. On peut certes regret­ter l’ambiguïté du texte de l’art. 5 let. g nLPD et le manque de cohé­rence dans la systé­ma­tique légale, mais ces manque­ments ne nous surprennent pas, s’agissant du fruit d’un compro­mis poli­tique de dernière minute. Selon nous, la prudence voudra dès lors qu’on inter­prète la notion de profi­lage à risque élevé comme compre­nant tout profi­lage donnant lieu à l’établissement d’un profil de la person­na­lité, indé­pen­dam­ment du risque concret (en ce sens égale­ment, Vasella, Überlegungen zum Profiling mit hohem Risiko, daten​recht​.ch ; contra, Rosenthal, Das neue Datenschutzgesetz, Jusletter 16.11.2020 N 27).

Cette inter­pré­ta­tion large n’engendre pas de diffi­cul­tés pratiques parti­cu­lières, au regard des consé­quences modestes du profi­lage à risque élevé : le consen­te­ment à un tel profi­lage, lorsqu’il est néces­saire (cf. Vasella, Neues DSG : kein grund­sätz­liches Einwilligungserfordernis beim Profiling, auch nicht bei hohem Risiko, daten​recht​.ch), devra être expli­cite (art. 6 al. 7 let. b nLPD). L’intérêt prépon­dé­rant du respon­sable de trai­te­ment à l’évaluation de la solva­bi­lité de la personne concer­née ne pourra justi­fier un profi­lage à risque élevé (art. 31 al. 2 let. c ch. 1 nLPD, ce qui codi­fie la juris­pru­dence  « Moneyhouse » susvi­sée). Contrairement à ce que suppose Rosenthal (Rosenthal, Das neue Datenschutzgesetz, Jusletter 16.11.2020 N 27), il n’en décou­lera pas une consul­ta­tion systé­ma­tique du Préposé selon l’art. 23 nLPD. Le risque abstrait décou­lant d’un « profi­lage à risque élevé » devra bien plus conduire le respon­sable de trai­te­ment à procé­der à une analyse d’impact (art. 22 al. 1 nLPD), l’éventuelle consul­ta­tion du Préposé (art. 23 nLPD) dépen­dant de l’évaluation du risque concret (en ce sens égale­ment, Vasella, Überlegungen zum Profiling mit hohem Risiko, daten​recht​.ch).

Le compro­mis poli­tique trouvé par les Chambres a conduit à l’adoption d’une dispo­si­tion équi­voque, partiel­le­ment tauto­lo­gique et à la réin­tro­duc­tion « par la petite porte » d’un concept de l’ancien droit. Malgré les casse-têtes dogma­tiques créés par ce monstre de Frankenstein légis­la­tif, une inter­pré­ta­tion rela­ti­ve­ment simple nous semble s’imposer : tout profi­lage qui résulte en un profil de la person­na­lité doit être consi­déré comme un profi­lage à risque élevé au sens de l’art. 5 let. g nLPD. En tout état, les impli­ca­tions d’une telle quali­fi­ca­tion sont rela­ti­ve­ment restreintes. En parti­cu­lier, on distin­guera la fiction de risque élevé de l’art. 5 let. g nLPD du risque élevé concret menant à la consul­ta­tion du Préposé selon l’art. 23 nLPD.



Proposition de citation : Emilie Jacot-Guillarmod, Le profilage à risque élevé de la nLPD : réflexions autour d’un monstre de Frankenstein, 24 août 2021 in www.swissprivacy.law/86


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
swissprivacy.law