Lorsque l'on parle d'une entreprise ou d'une administration qui a recourt au profilage, cela signifie qu'elle adapte ses intéractions avec les individus aux données personnelles qu'elle a rassemblées sur eux.
Le projet de règlement décrit le profilage à l'article 20 comme un traitement automatisé de données permettant d'évaluer « certains aspects personnels propres à une personne physique (ndlr : c'est à dire un individu) ou à prévoir le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement ».
Les profils de données rapprochées par profilage comprennent tous les messages transmis sur le Net ainsi que les sites et vidéos consultés par tous les internautes, qui sont analysés par des entreprises (exemple avec Google (EN)) et des sociétés dont le métier est de vendre de la publicité ciblée sur les traits personnels des individus.
Le droit actuel interdit qu'une décision nous concernant (par exemple, la détermination du prix des choses qui nous sont vendues) soit prise de façon automatique par l'analyse de nos données personnelles - par profilage.
Le profilage est toutefois autorisé lorsqu'il intervient dans le cadre d'un contrat que nous avons déjà conclu ou que nous cherchons à conclure, ou lorsqu'il est spécifiquement autorisé par une loi et bénéficie d'un encadrement suffisant.
Le profilage est un outil de prédiction du comportement des personnes recensées. C'est donc un outil très puissant pour les États ou les entreprises à qui les données sont transmises.
Il peut s'agir, pour une structure privée, d'effectuer un profilage des individus, pour mieux connaître leurs habitudes de consommation et davantage cibler les actions de promotion.
Le profilage représente également un intérêt pour les États, à des fins de sécurité nationale. Il permet ainsi de surveiller une personne ou un groupe de personnes, à partir de leurs données, afin de connaître leurs habitudes de vie, lieux de séjour et de déplacement, ainsi que leurs activités et relations internationales.
Le profilage est l'un des enjeux principaux du futur règlement car il représente une menace pour la protection de la vie privée et des données personnelles à l'heure du « big data », où la quantité d'informations générées par une personne peut être gigantesque (par exemple par le biais de cartes de fidélité, de cookies, de puces RFID ou d'objets connectés).
Le profilage doit être encadré pour éviter d'être fondé sur des informations éronées, et il doit être interdit s'il est discriminatoire. Un profilage serait discriminatoire s'il était basé par exemple sur l'origine ethnique ou sur l'opinion politique d'un utilisateur.
Le projet de règlement tel qu'adopté par le Parlement européen ouvre la possibilité de sanctionner le profilage à l'échelle de l'Union européenne.
Pourtant, cette limite au profilage est elle même limitée. Tel qu'il est aujourd'hui, le projet de règlement intègre des exceptions qui autorisent le recours des Etats au profilage (article 21) pour la sécurité nationale, la sécurité publique ou encore pour « l'intérêt public général ». Surtout, le projet de règlement donne la possibilité aux États Membres d'invoquer ce motif d'exception qu'est « l'intérêt public général » pour créer de nouvelles exceptions ! Cette rédaction du projet rajoute des exceptions aux exceptions autorisées par la Directive européenne de 95 actuellement appliquée (par le biais de notre Loi Informatique et Liberté) et surtout, affaiblirait considérablement la protection de nos données personnelles. En effet, rappelons qu'un règlement européen s'applique directement en droit français et supplante la loi nationale ! Qu'importe si d'autres lois françaises sont plus protectrices, le règlement est supérieur.
En d'aures termes, si le projet de règlement était appliqué demain en l'état, nos données seraient bien moins protégées qu'elles ne le sont aujourd'hui (avec la Directive de 95 et les lois françaises comme la Loi Informatique et Libertés), donnant plus de marge de manoeuvre aux États membres.
Comment éviter ce recul en arrière, dans un contexte technologique donnant déjà aux Etats un pouvoir dont ils peuvent facilement abuser ? Des associations comme Privacy International, EDRi ou encore La Quadrature du Net appellent à enlever le profilage des exceptions misent en place pour les États (article 21). C'est le seul moyen de s'assurer que les Etats n'exploitent pas un jour les failles du prochain règlement pour mettre en place des catégorisations (ou blacklists) des citoyens selon leurs opinions politiques, leurs orientations sexuelles, ou encore leurs couleur de peau sous couvert d'un obscur « intérêt public général », ou d'une raison de sécurité nationale ou publique.