Con­sidé­ra­ti­ons sur le pro­fi­la­ge à haut risque

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

, , ,
Ven­te à emporter (AI)
  • Le pro­fi­la­ge à haut ris­que sup­po­se un pro­fil de la per­son­na­li­té et doit être éva­lué au cas par cas en fonc­tion de l’uti­li­sa­ti­on et des cir­con­stances concrètes.
  • L’art. 5, let. g, de la loi révi­sée sur la pro­tec­tion des don­nées exi­ge en pre­mier lieu une DSFA ; cela con­sta­te un ris­que brut éle­vé, mais pas auto­ma­ti­quement un ris­que net élevé.
  • L’o­mis­si­on de la DSFA vio­le des obli­ga­ti­ons, mais ne modi­fie pas la char­ge de la preuve : le ris­que (net) réel doit être prou­vé par le demandeur.

Le nou­veau “pro­fi­la­ge à haut ris­que” selon l’ar­tic­le 5, lett­re g revDSG soulè­ve quel­ques que­sti­ons, notam­ment sur ce que la loi entend par ris­que éle­vé et sur les con­sé­quen­ces d’un tel profilage.

Le pro­fi­la­ge à haut ris­que est défi­ni com­me suit :

le pro­fi­la­ge qui com­por­te un ris­que éle­vé pour la per­son­na­li­té ou les droits fon­da­men­taux de la per­son­ne con­cer­née, en ce sens qu’il abou­tit à la mise en rela­ti­on de don­nées per­met­tant d’éva­luer des aspects essen­tiels de la per­son­na­li­té d’u­ne per­son­ne physique ;

Il s’a­git donc en sub­stance d’un pro­fi­la­ge (au sens de l’art. 5, let. f, LPD révi­sée) qui con­duit à un pro­fil de la per­son­na­li­té. En ce qui con­cer­ne le pro­fil de la per­son­na­li­té selon la LPD actu­el­le, il est tou­te­fois recon­nu que l’e­xi­stence d’un pro­fil de la per­son­na­li­té ne peut pas être éva­luée de maniè­re abstrai­te, mais en fait seu­le­ment lors de l’uti­li­sa­ti­on con­crè­te et en tenant comp­te de l’uti­li­sa­ti­on dans le cas par­ti­cu­lier, par exemp­le selon le Arrêt du TAF dans l’af­fai­re Money­hou­se:

Pour savoir si une com­pi­la­ti­on de plu­sieurs don­nées rela­ti­ves à une per­son­ne don­née per­met d’é­ta­b­lir un pro­fil de la per­son­na­li­té, il faut d’u­ne part tenir comp­te de la quan­ti­té et du con­te­nu des infor­ma­ti­ons per­son­nel­les, en d’aut­res ter­mes savoir si et dans quel­le mesu­re ces infor­ma­ti­ons per­met­tent de por­ter des juge­ments de valeur sur la per­son­ne con­cer­née. Il con­vi­ent en out­re de fai­re une distinc­tion en fonc­tion de la dimen­si­on tem­po­rel­le des infor­ma­ti­ons. Les don­nées per­son­nel­les qui sont coll­ec­tées sur une longue péri­ode et qui don­nent ain­si en quel­que sor­te une image bio­gra­phi­que en mon­trant une évo­lu­ti­on, un par­cours de la per­son­ne con­cer­née, doi­vent plutôt être qua­li­fi­ées de pro­fil de la per­son­na­li­té que les don­nées qui ne repré­sen­tent qu’un simp­le instanta­né. En out­re le con­tex­te con­cret dans lequel les don­nées sont uti­li­sées sera, dans cer­tai­nes cir­con­stances, déter­mi­nant pour savoir si la pro­tec­tion léga­le qua­li­fi­ée doit s’ap­pli­quer ou non. La noti­on de pro­fil de la per­son­na­li­té ne peut donc pas être défi­nie de maniè­re géné­ra­le, mais doit être accep­tée ou refusée au cas par cas sur la base des cir­con­stances con­crè­tes. (JAAC 65.48 con­sid. 2.b).

Selon moi, cela doit éga­le­ment s’ap­pli­quer au pro­fi­la­ge à haut ris­que. Par con­sé­quent, il ne peut y avoir de pro­fi­la­ge à haut ris­que que si son résul­tat est uti­li­sé ou doit être uti­li­sé dans un cas con­cret d’u­ne maniè­re qui ne por­te pas att­ein­te à la vie pri­vée. justi­fie une pro­tec­tion qua­li­fi­ée. En out­re, un pro­fi­la­ge ne peut jamais être un “pro­fi­la­ge à haut ris­que” s’il ne con­duit pas à un pro­fi­la­ge de la per­son­na­li­té. Si un pro­fi­la­ge ent­raî­ne un ris­que éle­vé pour d’aut­res rai­sons, il con­vi­ent de pro­cé­der à une AIPD, mais il ne s’a­git en aucun cas d’un “pro­fi­la­ge à haut ris­que” exi­geant par exemp­le un con­sen­te­ment expli­ci­te (pour autant qu’un con­sen­te­ment soit néces­saire dans un cas concret).

De plus, le “ris­que éle­vé” au sens de l’art. 5, let. g, de la loi révi­sée sur la pro­tec­tion des don­nées signi­fie tout d’a­bord qu’un effec­tuer la DSFA n’est pas le cas. Cela ne pré­ju­ge pas du résul­tat de la DSFA ; cel­le-ci peut très bien révé­ler qu’il n’y a pas de ris­que éle­vé dans le cas con­cret. Le “ris­que éle­vé” dans le pro­fi­la­ge à haut ris­que n’est donc qu’un ris­que éle­vé. Ris­que brut. En revan­che, les aut­res con­sé­quen­ces juri­di­ques du pro­fi­la­ge à haut ris­que (le con­sen­te­ment éven­tu­el­le­ment requis doit être expli­ci­te ; il peut être néces­saire de dési­gner un repré­sen­tant en Sui­s­se) ne s’ap­pli­quent que lorsque le le ris­que réel (le ris­que net) est effec­ti­ve­ment éle­vé dans le cas concret.

Dans ce con­tex­te, les Con­sé­quen­ces d’u­ne absence de DSFA important : si le responsable du trai­te­ment omet de pro­cé­der à une DSFA alors qu’il exi­ste un pro­fi­la­ge à haut ris­que, il dev­rait cer­tes vio­ler l’ob­li­ga­ti­on cor­re­spond­an­te. Tou­te­fois, com­me c’est le ris­que réel (net) qui est déter­mi­nant pour les aut­res con­sé­quen­ces juri­di­ques du pro­fi­la­ge à haut ris­que – c’est-à-dire en dehors de la DSFA -, le responsable peut invo­quer ce fai­ble ris­que net même en dehors d’u­ne DSFA ; l’o­mis­si­on de la DSFA ne le pri­ve pas de ce moy­en de défen­se. Ensuite, la preuve du ris­que net éle­vé incom­be à l’au­teur de la récla­ma­ti­on, con­for­mé­ment à la règ­le géné­ra­le de l’ar­tic­le 8 du Code civil, car l’ar­tic­le 5, lett­re g, de la loi révi­sée sur la pro­tec­tion des don­nées indi­que cer­tes un ris­que brut éle­vé, mais ne con­ti­ent aucu­ne pré­somp­ti­on ou aut­re ren­ver­se­ment du far­deau de la preuve pour le ris­que net.