La nature de l’article 22 du RGPD est une question très controversée. Le groupe de travail Article 29, d’une part, interprète cette disposition comme une interdiction générale et justifie principalement sa lecture en se fondant sur le considérant 71, qui indique clairement que le traitement au titre de l’article 22 du RGPD n’est pas autorisé de manière générale.^[2] D’autre part, Bygrave et d’autres auteurs soutiennent que cette interprétation va à l’encontre de la formulation réelle de l’article 22 du RGPD, ainsi que de sa place dans la structure du règlement (à savoir le chapitre III sur les droits de la personne concernée) et de sa prise en compte particulière dans les articles 13.2(f), 14.2(g), 15.1(h) et 35.3(a).^[3] Alors que l’interprétation de l’article 22 du RGPD en tant qu’interdiction exige du responsable du traitement qu’il l’applique indépendamment de l’action de la personne concernée à cette fin, son interprétation en tant que droit implique son exercice suivant les exigences susmentionnées inscrites à l’article 12 du RGPD qui seront également mentionnées ci-dessous.

La prise de décision automatisée est la capacité de prendre des décisions par des moyens technologiques sans intervention humaine. Les décisions automatisées peuvent se fonder sur n’importe quel type de données, par exemple, des données fournies directement par les personnes concernées (telles que les réponses à un questionnaire) ; des données observées sur les personnes (telles que les données de localisation recueillies via une application) ; des données dérivées ou déduites telles qu’un profil de la personne déjà créé (par exemple, un score de crédit)^[4] .

Le profilage est toute forme de traitement automatisé de données à caractère personnel consistant à utiliser des données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique (voir article 4 du RGPD).

Bien que le RGPDne définisse pas les effets “légaux” et “similaires” découlant de la prise de décision automatisée, le groupe de travail Article 29 précise qu’un effet légal exige que la décision, fondée uniquement sur un traitement automatisé, affecte les droits légaux d’une personne, tels que la liberté de s’associer avec d’autres, de voter à une élection ou d’entreprendre une action en justice. Un effet juridique peut également être quelque chose qui affecte le statut juridique d’une personne ou ses droits en vertu d’un contrat^[5] . Les exemples d’effets juridiques comprennent la résiliation d’un contrat, le refus d’un avantage social accordé par la loi, le refus de la citoyenneté ou du permis de séjour. En ce qui concerne les effets similaires, le groupe de travail Article 29 les considère comme la conséquence de décisions qui doivent être susceptibles d’affecter de manière significative les circonstances, les comportements ou les choix de la personne concernée : avoir un impact prolongé ou permanent sur la personne concernée ou ; conduire à l’exclusion ou à la discrimination de la personne^[6] . Ceci est évident dans une pratique de recrutement en ligne qui favorise les hommes blancs au détriment des femmes ou des personnes appartenant à des groupes minoritaires ou vulnérables.

Conformément à l’article 22.4 du RGPD, lorsque des catégories particulières de données à caractère personnel sont concernées, une prise de décision automatisée peut avoir lieu, à condition que la personne concernée y ait explicitement consenti ou lorsqu’elle est nécessaire pour des raisons d’intérêt public substantiel prévues par le droit de l’UE ou des États membres de l’UE. Dans ce contexte, le responsable du traitement doit prendre toutes les mesures appropriées pour sauvegarder les droits et libertés de la personne concernée.

Comme déjà mentionné, l’article 12 du RGPD prévoit l’obligation pour le responsable du traitement d’informer la personne concernée de l’existence de la prise de décision automatisée. En outre, l’information ne doit pas se limiter au fait que cette prise de décision a lieu, mais elle doit également expliquerla logique impliquée et les conséquences potentielles pour la personne concernée^[7] .

L’article 22.2 du RGPD prévoit trois exceptions à l’interdiction de la prise de décision automatisée, à savoir :

• La décision est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ;
• La décision est autorisée par la législation de l’UE ou d’un État membre de l’UE à laquelle le responsable du traitement est soumis ;
• La décision est fondée sur le consentement explicite de la personne concernée.

Dans les cas où l’une de ces exceptions s’applique, le responsable du traitement des données doit mettre en œuvre des garanties spécifiques autres que celles généralement prévues à l’article 12 du RGPD. Sur la base de l’article 22.3 du RGPD, dans les cas de dérogations pour le contrat et le consentement, les personnes concernées auront toujours le droit d’exiger un examen humain de la décision entièrement automatisée, en plus des garanties générales que le responsable du traitement des données doit mettre en œuvre pour protéger leurs droits et libertés fondamentaux, ainsi que leurs intérêts légitimes. En outre, afin de garantir un traitement des données équitable et transparent, le considérant 71 exige du responsable du traitement des données qu’il utilise des procédures mathématiques ou statistiques appropriées pour le profilage, qu’il mette en œuvre des mesures techniques et organisationnelles appropriées pour garantir, en particulier, que les facteurs qui entraînent des inexactitudes dans les données à caractère personnel soient corrigés et que le risque d’erreurs soit réduit au minimum, sécuriser les données à caractère personnel d’une manière qui tienne compte des risques potentiels qu’elles comportent pour les intérêts et les droits de la personne concernée et prévenir, entre autres, les effets discriminatoires à l’égard des personnes physiques sur la base de l’origine raciale ou ethnique, des opinions politiques, de la religion ou des convictions, de l’appartenance syndicale, du statut génétique ou de santé ou de l’orientation sexuelle, ou les traitements qui aboutissent à des mesures ayant un tel effet. À ces fins, la mise en œuvre du principe de la protection des données dès la conception et par défaut est de la plus haute importance. En outre, le considérant 91 précise qu’une analyse d’impact sur la protection des données devrait être effectuée dans le cadre des processus décisionnels automatisés, chaque fois que le traitement des données aboutit à des décisions concernant des personnes physiques spécifiques à la suite de toute évaluation systématique et extensive des aspects personnels relatifs aux personnes physiques fondée sur le profilage de ces données ou à la suite du traitement de catégories particulières de données à caractère personnel, de données biométriques ou de données relatives aux condamnations pénales et aux infractions ou de mesures de sécurité connexes.La disposition poursuit en disant qu’[une] analyse d’impact sur la protection des données est également requise pour la surveillance à grande échelle de zones accessibles au public, en particulier lorsqu’on utilise des dispositifs optiques et électroniques, ou pour toute autre opération pour laquelle l’autorité de contrôle compétente considère que le traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes concernées, notamment parce qu’il empêche les personnes concernées d’exercer un droit ou d’utiliser un service ou un contrat, ou parce qu’il est effectué systématiquement à grande échelle.

1. L. A. Bygrave, ‘Article 22. Automated individual decision-making, including profiling, in C. Kuner, L. A. Bygrave &C. Docksey The EU General Data Protection Regulation (RGPD) A Commentary, Oxford : Oxford University Press, 2020, p. 526 ↑
2. Groupe de travail Article 29 sur la protection des données, “Lignes directrices sur la prise de décision individuelle automatisée et le profilage aux fins du règlement 2016/679”, 2018, WP251rev.01, p. 19-20. ↑
3. L. A. Bygrave, op. cit. p. 531-532. ↑
4. Groupe de travail Article 29 sur la protection des données, “Lignes directrices sur la prise de décision individuelle automatisée et le profilage aux fins du règlement 2016/679”, op. cit. , p. 8 ↑
5. Groupe de travail Article 29 sur la protection des données, “Lignes directrices sur la prise de décision individuelle automatisée et le profilage aux fins du règlement n° 2016/679”, op. cit. p. 21. ↑
6. Ibid. ↑
7. Agence des droits fondamentaux (ed.), op. cit. p. 234 ↑