Le Règlement européen relatif aux données personnelles du 27 avril 2016 (RGDP) autorise le profilage mais l’encadre strictement.
Le RGDP définit le profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».
Le Considérant 71 indique qu’un traitement de ce type doit être assorti de garanties appropriées, qui devraient comprendre une information spécifique de la personne concernée ainsi que le droit d’obtenir une intervention humaine, d’exprimer son point de vue, d’obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation et de contester la décision.
L’existence d’une prise de décision automatisée, « y compris un profilage », doit être portée à la connaissance de la personne concernée. Le responsable de traitement doit également fournir des informations utiles concernant la logique sous-jacente de l’algorithme, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
L’article 22 prévoit le droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.
Attention, le profilage n’est pas autorisé en matière de données « sensibles ».