Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Dimanche 19 juillet 2026
RGPD

Profilage RGPD : définition, règles et limites

Profilage RGPD : définition (Art. 4(4)), bases légales, transparence et droit d'opposition. Ce que dit la CNIL et comment se mettre en conformité.

En juin 2023, la CNIL a infligé 40 millions d’euros d’amende à Criteo pour ses pratiques de reciblage publicitaire — une sanction confirmée par le Conseil d’État le 4 mars 2026 (délibération SAN-2023-009). Au cœur du dossier : le profilage. C’est l’une des activités les plus courantes en entreprise — segmentation marketing, scoring, personnalisation, détection de fraude — et l’une des plus mal maîtrisées juridiquement. La confusion la plus fréquente que je rencontre en conseil : croire que le profilage est encadré par le seul Art. 22 du RGPD. C’est faux, et cette erreur coûte cher.

Qu’est-ce que le profilage au sens du RGPD ?

Le profilage a une définition juridique précise, posée à l’Art. 4(4) du RGPD : « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

Trois éléments cumulatifs ressortent de cette définition. Il faut d’abord un traitement automatisé — un profilage réalisé entièrement à la main sort du champ de la définition. Il faut ensuite que ce traitement porte sur des données personnelles. Il faut enfin une finalité d’évaluation ou de prédiction d’un aspect de la personne : ses goûts, sa solvabilité, sa fiabilité, son état de santé, ses déplacements.

Concrètement, vous faites du profilage si vous attribuez un score d’appétence à vos prospects, si vous segmentez votre base clients par comportement d’achat, si vous notez la solvabilité d’un demandeur de crédit, si vous détectez les transactions suspectes par un algorithme, ou si vous personnalisez des recommandations produit. Dans la plupart des entreprises que j’accompagne, le profilage est déjà partout — souvent sans que le mot ait jamais été prononcé, et sans qu’il figure au registre des traitements.

Profilage et décision automatisée : la confusion à éviter

C’est le point le plus mal compris du sujet. Le profilage et la décision individuelle automatisée de l’Art. 22 sont deux notions distinctes.

L’Art. 22(1) encadre un cas très précis : une décision prise sur le seul fondement d’un traitement automatisé (sans intervention humaine réelle), et qui produit des effets juridiques ou affecte la personne « de manière significative de façon similaire ». Refus de crédit automatique, rejet automatisé d’une candidature, résiliation automatique d’un contrat : voilà ce que vise l’Art. 22. J’analyse ce mécanisme en détail dans mon article dédié à l’article 22 du RGPD sur les décisions automatisées.

Le profilage, lui, est bien plus large. La majorité des opérations de profilage ne relèvent pas de l’Art. 22, parce qu’elles ne débouchent sur aucune décision produisant des effets juridiques ou significatifs. Segmenter une base pour envoyer des offres ciblées, personnaliser un fil d’actualité, calculer un score d’appétence commercial : c’est du profilage, mais ce n’est pas une décision automatisée au sens de l’Art. 22. Ces traitements restent pleinement soumis au RGPD — bases légales, transparence, droit d’opposition — mais sans les garanties renforcées de l’Art. 22.

Retenez la règle : tout profilage est un traitement soumis au RGPD ; seul un sous-ensemble du profilage relève des règles spéciales de l’Art. 22. Confondre les deux conduit soit à sur-contraindre des traitements marketing anodins, soit — plus dangereux — à sous-estimer les obligations qui pèsent sur un profilage à fort impact.

Sur quelle base légale peut-on profiler ?

Le profilage n’est licite que s’il repose sur l’une des bases légales de l’Art. 6(1). Trois d’entre elles reviennent en pratique.

Le consentement (Art. 6(1)(a)) s’impose notamment pour le profilage publicitaire fondé sur des traceurs. C’est précisément l’absence de consentement valable qui a fondé la sanction de Criteo. Le profilage à des fins de ciblage via cookies suppose un consentement recueilli dans les conditions décrites dans mon guide sur la conformité des cookies et bandeaux CNIL.

L’intérêt légitime (Art. 6(1)(f)) peut fonder certains profilages — anti-fraude, sécurité, personnalisation limitée — à condition de réussir le test de mise en balance entre vos intérêts et les droits des personnes. Le profilage étant par nature intrusif, ce test est exigeant : plus le profilage est fin, prédictif ou porteur de conséquences, plus l’intérêt légitime devient fragile. Je détaille la méthode dans mon article sur la base légale de l’intérêt légitime.

L’exécution du contrat (Art. 6(1)(b)) ne couvre le profilage que s’il est objectivement nécessaire à la fourniture du service demandé — une hypothèse plus rare qu’on ne le croit. Le Comité européen de la protection des données (EDPB) retient une interprétation stricte de la « nécessité contractuelle ».

Cas particulier : dès que le profilage porte sur des données sensibles (santé, opinions, orientation sexuelle…) au sens de l’Art. 9, ou permet d’en déduire, il faut en plus une base de l’Art. 9(2) — le plus souvent le consentement explicite.

Les obligations de transparence

Le RGPD impose une information renforcée dès lors qu’il y a profilage débouchant sur une décision automatisée au sens de l’Art. 22. Les Art. 13(2)(f) et 14(2)(g) exigent alors d’informer la personne de l’existence de la décision automatisée, mais aussi de lui communiquer des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues du traitement pour elle.

Même en dehors de l’Art. 22, le principe de transparence de l’Art. 5(1)(a) et l’information générale des Art. 13-14 imposent d’indiquer clairement, dans votre politique de confidentialité, que vous réalisez du profilage, pour quelles finalités, et sur quelle base légale. Une mention noyée du type « nous améliorons votre expérience » ne suffit pas : la CNIL attend une description compréhensible des traitements réels.

Les lignes directrices WP251 rev.01, adoptées par le groupe de travail « Article 29 » et endossées par l’EDPB, restent la référence sur le sujet. Elles précisent notamment qu’expliquer la « logique sous-jacente » ne signifie pas divulguer l’algorithme complet, mais donner à la personne les moyens de comprendre les critères pris en compte.

Le droit d’opposition au profilage

C’est le levier le plus puissant — et le plus sous-exploité par les personnes concernées. L’Art. 21 organise deux régimes très différents.

Lorsque le profilage repose sur l’intérêt légitime ou une mission d’intérêt public (Art. 6(1)(e) ou (f)), l’Art. 21(1) ouvre un droit d’opposition motivé : la personne invoque sa situation particulière, et vous devez cesser le traitement sauf à démontrer des motifs légitimes et impérieux qui prévalent. Le curseur penche en faveur de la personne.

Lorsque le profilage est réalisé à des fins de prospection commerciale, l’Art. 21(2) change tout : le droit d’opposition devient absolu et inconditionnel. La personne n’a aucune justification à fournir, et vous n’avez aucune marge d’appréciation — vous devez cesser immédiatement le profilage marketing. C’est un point de contrôle récurrent de la CNIL, que je relie à mes analyses sur le droit d’opposition de l’article 21 et sur la prospection commerciale conforme au RGPD. Concrètement, tout dispositif de profilage marketing doit prévoir un mécanisme d’opposition simple, gratuit et effectif, dès le premier contact.

Quand faut-il réaliser une AIPD ?

Le profilage est l’un des critères qui déclenchent l’obligation d’analyse d’impact. L’Art. 35(3)(a) impose une AIPD en cas d’« évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques » ou affectant significativement les personnes.

Au-delà de ce cas visé par le texte, la liste CNIL des traitements soumis à AIPD retient le profilage à grande échelle comme facteur de risque. En pratique : un scoring appliqué à toute une base clients, un profilage prédictif en assurance ou en crédit, un ciblage comportemental massif justifient presque toujours une analyse d’impact. Réaliser cette AIPD avant de déployer le traitement n’est pas une formalité — c’est la meilleure preuve d’accountability en cas de contrôle.

C’est typiquement le genre de cartographie — recenser les profilages, qualifier leur base légale, déclencher les AIPD nécessaires — que des outils comme Legiscope permettent d’industrialiser, plutôt que de tenir à la main dans un tableur qui se périme au premier nouveau traitement.

Profilage et AI Act : la double conformité

Depuis l’entrée en application progressive du règlement européen sur l’intelligence artificielle (AI Act), un profilage opéré par un système d’IA peut relever d’une double réglementation. L’AI Act classe notamment en « haut risque » certains systèmes d’évaluation des personnes — scoring de crédit, tri de candidatures, évaluation d’éligibilité à des prestations. Ces systèmes cumulent alors les obligations de l’AI Act (documentation, gouvernance des données, contrôle humain) et celles du RGPD. Je traite cette articulation dans mon guide IA et RGPD. L’idée à retenir : la qualification « profilage » au sens du RGPD et la qualification « système à haut risque » au sens de l’AI Act sont indépendantes, et il faut vérifier les deux.

Ce qu’il faut retenir

  • Le profilage est défini à l’Art. 4(4) du RGPD : tout traitement automatisé visant à évaluer ou prédire un aspect d’une personne (goûts, solvabilité, comportement, santé…).
  • Ne pas le confondre avec la décision automatisée de l’Art. 22 : la plupart des profilages n’y sont pas soumis, mais restent pleinement encadrés par le RGPD.
  • Un profilage exige une base légale solide : consentement pour le ciblage publicitaire, intérêt légitime sous réserve d’un test de mise en balance exigeant, contrat de façon rare.
  • Le droit d’opposition est absolu lorsque le profilage sert la prospection commerciale (Art. 21(2)) : aucune justification requise, arrêt immédiat.
  • Une AIPD s’impose pour tout profilage systématique à fort impact (Art. 35(3)(a)), et un profilage par IA peut cumuler RGPD et AI Act.

FAQ

Le profilage est-il interdit par le RGPD ?

Non. Le profilage est licite dès lors qu’il repose sur une base légale valable (Art. 6), qu’il respecte les principes de transparence et de minimisation, et que le droit d’opposition est garanti. Seul le profilage débouchant sur une décision entièrement automatisée à effet significatif est encadré par les règles spéciales, restrictives, de l’Art. 22.

Quelle est la différence entre profilage et décision automatisée ?

Le profilage (Art. 4(4)) est une opération d’évaluation ou de prédiction automatisée sur une personne. La décision automatisée (Art. 22) est une décision prise sans intervention humaine réelle, produisant des effets juridiques ou significatifs. Un profilage peut exister sans décision automatisée — c’est même le cas le plus fréquent en marketing.

Un client peut-il s’opposer au profilage marketing ?

Oui, et de façon inconditionnelle. L’Art. 21(2) confère un droit d’opposition absolu au profilage lié à la prospection commerciale : la personne n’a aucune raison à donner, et le responsable de traitement doit cesser immédiatement. Ce droit doit être facile à exercer, dès le premier message.

Faut-il une AIPD avant de mettre en place un profilage ?

Une analyse d’impact est obligatoire en cas d’évaluation systématique et approfondie fondée sur un traitement automatisé, y compris le profilage, servant de base à des décisions à effet significatif (Art. 35(3)(a)). Pour tout scoring ou ciblage à grande échelle, réaliser l’AIPD en amont est la démarche recommandée par la CNIL.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →