Article 22 du RGPD : Décision individuelle automatisée, y compris le profilage

Texte original du RGPD

1.La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.

2.Le paragraphe 1 ne s’applique pas lorsque la décision:

a) est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement;

b) est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou

c) est fondée sur le consentement explicite de la personne concernée.

3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en oeuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.

4.Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l’article 9, paragraphe 1, à moins que l’article 9, paragraphe 2, point a) ou g), ne s’applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 15

1.Les États membres reconnaissent à toute personne le droit de ne pas être soumise à une décision produisant des effets juridiques à son égard ou l’affectant de manière significative, prise sur le seul fondement d’un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité, tels que son rendement professionnel, son crédit, sa fiabilité, son comportement, etc.

2.Les États membres prévoient, sous réserve des autres dispositions de la présente directive, qu’une personne peut être soumise à une décision telle que celle visée au paragraphe 1 si une telle décision:

a) est prise dans le cadre de la conclusion ou de l’exécution d’un contrat, à condition que la demande de conclusion ou d’exécution du contrat, introduite par la personne concernée, ait été satisfaite ou que des mesures appropriées, telles que la possibilité de faire valoir son point de vue, garantissent la sauvegarde de son intérêt légitime

ou

b) est autorisée par une loi qui précise les mesures garantissant la sauvegarde de l’intérêt légitime de la personne concernée.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 47

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.

Aucune décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel, y compris le profilage, à l’exception :

1° Des cas mentionnés aux a et c du 2 de l’article 22 du règlement (UE) 2016/679 du 27 avril 2016, sous les réserves mentionnées au 3 du même article 22 et à condition que les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en œuvre soient communiquées, à l’exception des secrets protégés par la loi, par le responsable de traitement à l’intéressé s’il en fait la demande ;

2° Des décisions administratives individuelles prises dans le respect de l’article L. 311-3-1 et du chapitre Ier du titre Ier du livre IV du code des relations entre le public et l’administration, à condition que le traitement ne porte pas sur des données mentionnées au I de l’article 6 de la présente loi. Ces décisions comportent, à peine de nullité, la mention explicite prévue à l’article L. 311-3-1 du code des relations entre le public et l’administration. Pour ces décisions, le responsable de traitement s’assure de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard.

Par dérogation au 2° du présent article, aucune décision par laquelle l’administration se prononce sur un recours administratif mentionné au titre Ier du livre IV du code des relations entre le public et l’administration ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel.

Article 10

Version en vigueur du 25 mai 2018 au 01 juin 2019

Modifié par LOI n°2018-493 du 20 juin 2018 – art. 21 (V)

Aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.

Aucune décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel, y compris le profilage, à l’exception :

1° Des cas mentionnés aux a et c du 2 de l’article 22 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, sous les réserves mentionnées au 3 du même article 22 et à condition que les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en œuvre soient communiquées, à l’exception des secrets protégés par la loi, par le responsable de traitement à l’intéressé s’il en fait la demande ;

2° Des décisions administratives individuelles prises dans le respect de l’article L. 311-3-1 et du chapitre Ier du titre Ier du livre IV du code des relations entre le public et l’administration, à condition que le traitement ne porte pas sur des données mentionnées au I de l’article 8 de la présente loi. Ces décisions comportent, à peine de nullité, la mention explicite prévue à l’article L. 311-3-1 du code des relations entre le public et l’administration. Pour ces décisions, le responsable de traitement s’assure de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard.

Par dérogation au 2° du présent article, aucune décision par laquelle l’administration se prononce sur un recours administratif mentionné au titre Ier du livre IV du code des relations entre le public et l’administration ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel.

Conformément à l’article 37 de la loi n° 2018-493 du 20 juin 2018, la seconde phrase du 2° de l’article 10 de la loi n° 78-17 du 6 janvier 1978 dans sa rédaction résultant de l’article 21 de ladite loi, entre en vigueur le 1er juillet 2020.

Analyse des 3 textes qui précèdent

Le RGPD renforce et précise le mécanisme déjà prévu par la Directive.

• Il consacre un droit nouveau et explicite : celui de ne pas être soumis à une décision exclusivement automatisée produisant des effets juridiques ou ayant un impact significatif similaire.
• Il inclut expressément le profilage dans le champ d’application.
• Les exceptions sont élargies :
  • lorsque la décision est nécessaire à un contrat,
  • lorsqu’elle est autorisée par une loi européenne ou nationale,
  • ou lorsqu’elle repose sur le consentement explicite de la personne.
• Dans toutes ces hypothèses, des garanties doivent être prévues : intervention humaine, possibilité de présenter ses arguments, droit de contester.
• Concernant les données sensibles (art. 9), l’interdiction est renforcée et ne peut être levée qu’en cas de consentement explicite ou de motif d’intérêt public prévu par la loi.

Le RGPD marque donc une avancée claire en matière de protection, en intégrant la notion de profilage et en posant des garanties procédurales.

La Directive 95/46 CE posait déjà le principe d’interdiction, mais de manière moins complète et plus souple.

• Elle reconnaissait le droit de ne pas être soumis à une décision automatisée destinée à évaluer certains aspects de la personnalité (par ex. la fiabilité, le crédit, le rendement professionnel).
• Des exceptions existaient :
  • lorsqu’il s’agissait de l’exécution d’un contrat,
  • ou lorsqu’une loi l’autorisait, avec l’obligation de garantir certains garde-fous.
• Le texte de la Directive était plus général et lacunaire par rapport aux précisions introduites par le RGPD (pas de référence explicite au profilage, pas de procédures claires sur le droit d’intervention humaine).

La Loi Informatique et Libertés a transposé la Directive, mais en l’adaptant :

• L’article 10 de la loi Informatique et Libertés reprenait le principe de l’interdiction des décisions automatisées, y compris celles prises dans le cadre judiciaire (extension par rapport à la Directive).
• Deux exceptions étaient prévues où l’on considère que la décision n’est pas purement automatisée :
  1. si elle intervient dans le cadre d’un contrat et que la personne a pu présenter ses observations,
  2. si la décision satisfait une demande formulée par l’individu.
• Ce texte montre une spécificité française : une volonté d’encadrer plus fermement les décisions automatisées, mais en conservant une certaine souplesse pratique (ex. décision favorable à la personne).

Jurisprudences 

Européennes 

C-634/21,  OQ contre Land Hessen (7 décembre 2023)

La CJUE y a jugé qu’un score (par exemple une note de crédit) attribué de manière entièrement automatisée et qui influence fortement la décision d’un tiers (comme un banquier ou un bailleur) est une « décision automatisée » au sens de l’article 22. Ainsi, ce type de score relève bien de la protection prévue par cet article

Affaire Fastweb S.p.A. du 20 juin 2024

Sanction de 1,000,000 euros d’amende : la décision de l’Autorité italienne de protection des données (Garante) sanctionne en effet l’entreprise pour avoir traité massivement et de façon automatisée les données de prospects et de clients pour effectuer des appels promotionnels sans base légale valable.

Françaises 

CE Fr., n°41962 (17 juin 2019)

Dans cette décision, le Conseil d’État français a jugé qu’un traitement automatisé de données à caractère personnel relatif à l’usage d’un dispositif médical (pression positive continue) ne constituait pas un traitement destiné à définir le profil ou à évaluer certains aspects de la personnalité d’une personne au sens de l’article 10 de la loi Informatique et Libertés, qui transpose l’article 22 de la Directive au niveau national (avant le RGPD).

En conséquence, la décision prise sur la base de ce traitement automatisé n’était pas une « décision individuelle automatisée » au sens de la réglementation sur la protection des données, et n’était donc pas soumise aux restrictions et garanties spécifiques prévues par l’article 22 du RGPD.

Recommandations 

CEPD 

Guidelines on the targeting of social media users – 8/2020 (13 April 2021)

CNIL 

CNIL, page explicative sur le profilage et la décision entièrement automatisée, avec exemples d’effets juridiques et impact significatif 

Pages CNIL sur le droit à l’intervention humaine en cas de décision automatisée :

G29

Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 – wp251rev.01 (6 février 2018)

Lignes directrices du Groupe de Travail Article 29 (EDPB) sur la prise de décision automatisée et le profilage, PDF en français