Article 22 du RGPD

Décision individuelle automatisée, y compris le profilage

RGPD » chapitre 3 - droits de la personne concernée » section 4 - droit d'opposition et prise de décision individuelle automatisée »  article 22

  1. La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.
  2. Le paragraphe 1 ne s’applique pas lorsque la décision:
    • a) est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement;
    • b) est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou
    • c) est fondée sur le consentement explicite de la personne concernée.
  3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.
  4. Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l’article 9, paragraphe 1, à moins que l’article 9, paragraphe 2, point a) ou g), ne s’applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place.

Article 22 du RGPD : Ce qu'il faut comprendre

L’article 22 du RGPD donne aux personnes le droit de ne pas être soumises uniquement à des décisions automatisées (comme un algorithme) qui pourraient avoir un impact juridique ou un effet important sur leur vie. Cela inclut les décisions basées sur le profilage, c’est-à-dire l’analyse automatisée des comportements ou des données personnelles pour prendre des décisions.

Exemptions à ce droit

Ce droit ne s’applique pas dans trois cas :

  1. Nécessaire pour un contrat : Si la décision est indispensable pour exécuter un contrat, par exemple, un prêt bancaire en ligne accordé en fonction d’une évaluation automatisée.
  2. Autorisé par la loi : Si la loi européenne ou nationale permet ce type de décision automatisée, à condition qu’il y ait des protections pour garantir les droits et libertés des personnes concernées.
  3. Consentement explicite : Si la personne concernée a donné son accord clair et explicite pour que ses données soient traitées de manière automatisée.

Mesures de protection

Si l’un de ces cas s’applique, l’organisation doit mettre en place des garanties pour protéger les droits des personnes. Par exemple, la personne doit avoir la possibilité de :

  • Demander une intervention humaine : Quelqu’un doit pouvoir réexaminer la décision prise par l’algorithme.
  • Exprimer son point de vue : La personne peut donner son opinion et contester la décision.

Limites sur les données sensibles

Les décisions automatisées ne peuvent pas utiliser des données sensibles (comme les données de santé ou religieuses), sauf si la personne a donné son consentement explicite ou si cela est permis par la loi pour des raisons importantes d’intérêt public, avec des protections appropriées en place.

Article 22 du RGPD – Exemples concrets

  • Exemple 1 : Refus de prêt basé sur un algorithme
    Si une personne demande un prêt en ligne et que la décision est prise uniquement par un algorithme (sur la base de son profil financier), elle a le droit de demander qu’un être humain revoit la décision si elle est refusée.
  • Exemple 2 : Profilage pour une assurance
    Une entreprise d’assurance utilise un système automatisé pour calculer les primes en fonction des données de santé des utilisateurs. La personne concernée peut s’y opposer si elle estime que la décision n’est pas juste et demander un réexamen manuel.
  • Exemple 3 : Consentement pour un service personnalisé
    Si une personne accepte que ses données soient utilisées pour du profilage (par exemple, pour obtenir des recommandations personnalisées sur un site de streaming), elle doit pouvoir revenir sur cette décision à tout moment et demander une révision.

← Article 21 – Droit d’opposition
Article 23 – Limitations →

Les articles du RGPD mentionnant l'article 22

Votre site internet est-il en conformité vis à vis des données personnelles ?

Cet article concerne les sites internet qui utilisent des algorithmes ou des systèmes de profilage automatisé pour personnaliser l’expérience utilisateur ou pour la publicité ciblée.

Faites auditer votre site gratuitement par un développeur consultant en RGPD !

Audit RGPD gratuit