arrow_back Retour à tous les articles

Article 22
Décision individuelle automatisée, y compris le profilage

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 22 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 22 keyboard_arrow_up

(60) Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l'existence de l'opération de traitement et de ses finalités. Le responsable du traitement devrait fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées. En outre, la personne concernée devrait être informée de l'existence d'un profilage et des conséquences de celui-ci. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces données à caractère personnel et soit informée des conséquences auxquelles elle s'expose si elle ne les fournit pas. Ces informations peuvent être fournies accompagnées d'icônes normalisées afin d'offrir une bonne vue d'ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles devraient être lisibles par machine.

(71) La personne concernée devrait avoir le droit de ne pas faire l'objet d'une décision, qui peut comprendre une mesure, impliquant l'évaluation de certains aspects personnels la concernant, qui est prise sur le seul fondement d'un traitement automatisé et qui produit des effets juridiques la concernant ou qui, de façon similaire, l'affecte de manière significative, tels que le rejet automatique d'une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention humaine. Ce type de traitement inclut le "profilage" qui consiste en toute forme de traitement automatisé de données à caractère personnel visant à évaluer les aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d'intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements, dès lors qu'il produit des effets juridiques concernant la personne en question ou qu'il l'affecte de façon similaire de manière significative. Toutefois, la prise de décision fondée sur un tel traitement, y compris le profilage, devrait être permise lorsqu'elle est expressément autorisée par le droit de l'Union ou le droit d'un État membre auquel le responsable du traitement est soumis, y compris aux fins de contrôler et de prévenir les fraudes et l'évasion fiscale conformément aux règles, normes et recommandations des institutions de l'Union ou des organes de contrôle nationaux, et d'assurer la sécurité et la fiabilité d'un service fourni par le responsable du traitement, ou nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement, ou si la personne concernée a donné son consentement explicite. En tout état de cause, un traitement de ce type devrait être assorti de garanties appropriées, qui devraient comprendre une information spécifique de la personne concernée ainsi que le droit d'obtenir une intervention humaine, d'exprimer son point de vue, d'obtenir une explication quant à la décision prise à l'issue de ce type d'évaluation et de contester la décision. Cette mesure ne devrait pas concerner un enfant.
Afin d'assurer un traitement équitable et transparent à l'égard de la personne concernée, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées, le responsable du traitement devrait utiliser des procédures mathématiques ou statistiques adéquates aux fins du profilage, appliquer les mesures techniques et organisationnelles appropriées pour faire en sorte, en particulier, que les facteurs qui entraînent des erreurs dans les données à caractère personnel soient corrigés et que le risques d'erreur soit réduit au minimum, et sécuriser les données à caractère personnel d’une manière qui tienne compte des risques susceptibles de peser sur les intérêts et les droits de la personne concernée et qui prévienne, entre autres, les effets discriminatoires à l'égard des personnes physiques fondées sur la l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions, l'appartenance syndicale, le statut génétique ou l'état de santé, ou l'orientation sexuelle, ou qui se traduisent par des mesures produisant un tel effet. La prise de décision et le profilage automatisés fondés sur des catégories particulières de données à caractère personnel ne devraient être autorisés que dans des conditions spécifiques.

(72) Le profilage est soumis aux règles du présent règlement régissant le traitement des données à caractère personnel, par exemple le fondement juridique du traitement ou les principes en matière de protection des données. Le comité européen de la protection des données établi par le présent règlement (ci-après dénommé "comité") devrait pouvoir publier des directives à cet égard.

Afficher les considérants de la Directive 95/46 liés à l'article 22 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 22 keyboard_arrow_up

(41) considérant que toute personne doit pouvoir bénéficier du droit d'accès aux données la concernant qui font l'objet d'un traitement, afin de s'assurer notamment de leur exactitude et de la licéité de leur traitement; que, pour les mêmes raisons, toute personne doit en outre avoir le droit de connaître la logique qui sous-tend le traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l'article 15 paragraphe 1; que ce droit ne doit pas porter atteinte au secret des affaires ni à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel; que cela ne doit toutefois pas aboutir au refus de toute information de la personne concernée.

Guidelines

Ici viendront les guidelines

D'où vient-on ?

L’article 15 de la Directive reconnaissait déjà à toute personne le droit de ne pas être soumise à une décision produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé destiné à évaluer certains aspects de sa personnalité, tels que son rendement professionnel, son crédit, sa fiabilité, son comportement, etc. Néanmoins, des exceptions étaient prévues sous conditions dès lors que la décision était prise dans le cadre de la conclusion ou l’exécution d’un contrat ou était autorisée par une loi prévoyant des mesures de sauvegarde de l’intérêt légitime de la personne.

Belgique

La loi belge a implémenté l’article 15 de la Directive en son article 12bis ; cette disposition contient deux exceptions à l’interdiction des décisions automatisées produisant des effets juridiques ou affectant de manière significative une personne concernée prises sur le seul fondement d’un traitement autorisé de données :

- lorsque la décision est prise dans le cadre d’un contrat ;

- lorsque la décision se fonde sur une disposition légale, pour autant que cette disposition contienne des mesures appropriées, garantissant la sauvegarde des intérêts légitimes de l'intéressé.

Dans ces cas, la personne concernée doit conserver la possibilité de faire valoir son point de vue.

France

La loi Informatique et Libertés transpose en son article 10 le droit prévu à l’article 15 de la Directive, avec une extension particulière pour les décisions de justice. Cette disposition prévoit cependant deux exceptions aux termes desquelles, ne sont pas considérées comme prises sur le seul fondement d’un traitement automatisé :

- les décisions prises dans le cadre de la conclusion ou de l'exécution d'un contrat et pour lesquelles la personne concernée a été mise à même de présenter ses observations,

 - les décisions satisfaisant les demandes de la personne concernée.

Où va-t-on ?

L’article 22 du Règlement vient préciser quelque peu l’ancienne disposition de la Directive.

Il prévoit ainsi que la personne concernée a le droit de ne pas être soumise à une décision résultant exclusivement d'un traitement automatisé produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire. Il y inclut expressément le profilage, à savoir toute forme de traitement automatisé de données à caractère personnel visant à évaluer certains aspects personnels liés à une personne physique, notamment par l'analyse et la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles ou les intérêts, la fiabilité ou le comportement, ou la localisation et les déplacements (cfr la définition de l’article 4, 4) du Règlement).

Cette disposition étend cependant les exceptions possibles à l’interdiction. Outre le cas où la décision est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et le responsable du traitement, elle prévoit une exception lorsque la décision est autorisée par la législation de l'Union ou d'un État membre à laquelle le responsable du traitement; enfin, il peut être dérogé à l’interdiction lorsque la décision est fondée sur le consentement explicite de la personne concernée.

Dans les trois hypothèses, des mesures appropriées garantissant la sauvegarde des droits et des libertés ainsi que des intérêts légitimes de la personne concernée doivent être prévues soit par la loi qui admet une telle décision, soit par le responsable qui doit en outre reconnaître à la personne le droit d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision.

L’interdiction est cependant renforcée pour les décisions fondées sur un traitement de données sensibles au sens de l’article 9 §1er du Règlement qui restent interdites sauf si la personne a donné son consentement explicite au sens de l’article 9§2 (a) à moins qu’il soit exclu par le droit de l’Union ou la loi de l’État membre ou si le traitement est considéré comme nécessaire pour des raisons d’intérêt public sur le fondement du droit de l’Union ou de la loi de l’État membre (cfr. art. 9, paragraphe 2, g) qui doit alors prévoir des mesures appropriées et spécifiques de sauvegarde des intérêts légitimes de la personne. En toute hypothèse, des mesures appropriées garantissant la sauvegarde des droits et des libertés ainsi que des intérêts légitimes de la personne concernée doivent être mises en place.

 

Difficultés probables

Ce qui frappe surtout à la lecture de la nouvelle disposition, c’est que tout en élargissant les exceptions à l’interdiction, elle s’en remet à la prise de mesures de sauvegardes appropriées et/ou spécifiques qui restent non précisées. On peut certes se référer aux considérants 71 et 72 pour trouver quelques exemples (information spécifique de la personne concernée, droit d'obtenir une intervention humaine, mesures pour réduire les erreurs au maximum, l'obligation de réaliser une analyse d'impact dans certains cas, etc.), mais la marge de manœuvre des États membres et des responsables risque d’être trop étendue que pour garantir effectivement celles-ci et en tout état de cause pour les harmoniser au sein de l’Union.

Règlement
1e 2e

Art. 22

1. La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.

2. Le paragraphe 1 ne s'applique pas lorsque la décision:

a) est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement;

b) est autorisée par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou

c) est fondée sur le consentement explicite de la personne concernée.

3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en oeuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision.

4. Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l'article 9, paragraphe 1, à moins que l'article 9, paragraphe 2, point a) ou g), ne s'applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place.

Proposition 1 close

 1. Toute personne physique a le droit de ne pas être soumise à une mesure produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé destiné à évaluer certains aspects personnels propres à cette personne physique ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement.

2. Sous réserve des autres dispositions du présent règlement, une personne ne peut être soumise à une mesure telle que celle visée au paragraphe 1 que si le traitement:

a) est effectué dans le cadre de la conclusion ou de l'exécution d'un contrat, lorsque la demande de conclusion ou d’exécution du contrat, introduite par la personne concernée, a été satisfaite ou qu'ont été invoquées des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée, tels que le droit d’obtenir une intervention humaine;

ou b) est expressément autorisé par une législation de l'Union ou d'un État membre qui prévoit également des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée;

ou c) est fondé sur le consentement de la personne concernée, sous réserve des conditions énoncées à l’article 7 et de garanties appropriées.

3. Le traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à une personne physique ne saurait être exclusivement fondé sur les catégories particulières de données à caractère personnel mentionnées à l’article 9.

4. Dans les cas prévus au paragraphe 2, les informations que le responsable du traitement doit fournir en vertu de l'article 14 comportent notamment des informations relatives à l’existence du traitement pour une mesure telle que celle visée au paragraphe 1 et aux effets escomptés de ce traitement sur la personne concernée.

5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et conditions applicables aux mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée conformément au paragraphe 2.

Proposition 2 close

Aux fins du présent règlement, on entend par:

(…)

12 bis) "profilage": toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels liés à une personne physique, notamment pour analyser et prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles ou les intérêts, la fiabilité ou le comportement, ou la localisation et les déplacements;

Art. 20 Décision individuelle automatisée

1. La personne concernée a le droit de ne pas être soumise à une décision (…) résultant exclusivement d'un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière sensible .

1 bis. Le paragraphe 1 ne s'applique pas lorsque la décision: (...)

a) est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement (...);

 ou b) est (…) autorisée par la législation de l'Union ou d'un État membre à laquelle le responsable du traitement est soumis et qui prévoit également des mesures appropriées garantissant la sauvegarde des droits et des libertés ainsi que des intérêts légitimes de la personne concernée; ou c) est fondé sur le consentement explicite de la personne concernée (…).

1 ter. Dans les cas visés au paragraphe 1 bis, points a) et c), le responsable du traitement met en œuvre des mesures appropriées garantissant la sauvegarde des droits et des libertés ainsi que des intérêts légitimes de la personne concernée, et en tout état de cause du droit de la personne concernée d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision. 2. (...)

3. Les décisions visées au paragraphe 1 bis ne sauraient être (…) fondées sur les catégories particulières de données à caractère personnel mentionnées à l'article 9, paragraphe 1, à moins que l'article 9, paragraphe 2, points a) ou g), ne s'applique et que des mesures appropriées garantissant la sauvegarde des droits et des libertés ainsi que des intérêts légitimes de la personne concernée ne soient en place.

4. (...)

5. (...)

Directive

Art. 15

1. Les États membres reconnaissent à toute personne le droit de ne pas être soumise à une décision produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité, tels que son rendement professionnel, son crédit, sa fiabilité, son comportement, etc.

2. Les États membres prévoient, sous réserve des autres dispositions de la présente directive, qu'une personne peut être soumise à une décision telle que celle visée au paragraphe 1 si une telle décision:

a) est prise dans le cadre de la conclusion ou de l'exécution d'un contrat, à condition que la demande de conclusion ou d'exécution du contrat, introduite par la personne concernée, ait été satisfaite ou que des mesures appropriées, telles que la possibilité de faire valoir son point de vue, garantissent la sauvegarde de son intérêt légitime

ou

b) est autorisée par une loi qui précise les mesures garantissant la sauvegarde de l'intérêt légitime de la personne concernée.

France

Art. 10

Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.

Aucune autre décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité.

Ne sont pas regardées comme prises sur le seul fondement d'un traitement automatisé les décisions prises dans le cadre de la conclusion ou de l'exécution d'un contrat et pour lesquelles la personne concernée a été mise à même de présenter ses observations, ni celles satisfaisant les demandes de la personne concernée.

 

Belgique

Art. 12 bis

Une décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité.

L'interdiction prévue à l'alinéa 1er ne s'applique pas lorsque la décision est prise dans le cadre d'un contrat ou est fondée sur une disposition prévue par ou en vertu d'une loi, d'un décret ou d'une ordonnance. Ce contrat ou cette disposition doivent contenir des mesures appropriées, garantissant la sauvegarde des intérêts légitimes de l'intéressé. Il devra au moins être permis à celui-ci de faire valoir utilement son point de vue.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK