En une phrase. L’article 22 RGPD accorde à la personne concernée le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou l’affectant de manière significative similaire — avec trois exceptions étroites : (a) nécessaire à l’exécution d’un contrat, (b) autorisée par la loi, © fondée sur le consentement explicite. Même lorsqu’une exception s’applique, la personne conserve le droit à l’intervention humaine, à exprimer son point de vue et à contester la décision.
L’article 22 est l’une des dispositions RGPD les plus conséquentes pour les déploiements IA/ML — et la plus contestée à mesure que la prise de décision automatisée devient omniprésente. La CJUE a confirmé dans SCHUFA (Affaire C-634/21, décembre 2023) que même les algorithmes de scoring de crédit relèvent de l’article 22 lorsqu’ils influencent de manière significative les décisions humaines en aval. Avec l’entrée en vigueur de l’AI Act en 2026-2027, l’article 22 se trouve à l’intersection de la conformité RGPD et AI Act.
Pour les droits connexes : article 35 RGPD AIPD, article 21 RGPD droit d’opposition. Pour AI Act : EU AI Act guide, AI Act vs RGPD.
Points clés
- Article 22 §1 : droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé avec effets juridiques ou significatifs.
- Trois exceptions à l’article 22 §2 : exécution de contrat, loi, consentement explicite.
- Même avec exceptions, mesures appropriées requises : droit à l’intervention humaine, expression du point de vue, contestation de la décision.
- Article 22 §4 : les exceptions ne s’appliquent pas aux données de catégorie particulière (article 9) sauf consentement explicite OU intérêt public important.
- L’arrêt SCHUFA de la CJUE (2023) a élargi « fondée exclusivement sur » aux cas où un humain valide formellement mais en pratique entérine l’algorithme.
1. Article 22 §1 — l’interdiction
Trois conditions cumulatives déclenchent l’interdiction :
- La décision est fondée exclusivement sur un traitement automatisé (y compris le profilage)
- Elle produit des effets juridiques la concernant OU l’affecte de manière significative similaire
- La personne concernée n’a pas consenti ou une autre exception ne s’applique pas
« Fondée exclusivement sur » — la clarification SCHUFA
La CJUE dans SCHUFA (décembre 2023) a clarifié que « exclusivement » n’exige pas zéro implication humaine. Si un humain valide formellement mais s’en remet entièrement à l’algorithme, la décision est toujours « exclusivement automatisée ».
Test pratique :
- L’humain fait-il une évaluation indépendante ?
- L’humain a-t-il l’autorité de renverser le résultat automatisé ?
- L’humain le fait-il dans les cas non triviaux ?
Si une réponse est non, la décision est « exclusivement automatisée » aux fins de l’article 22.
« Effets juridiques ou significatifs similaires »
| Exemples — DANS le périmètre | Exemples — HORS du périmètre |
|---|---|
| Approbation/refus de prêt | Recommandations produits personnalisées |
| Calcul de prime d’assurance | Ordre de résultats de recherche |
| Filtrage de candidatures | Suggestions de films |
| Décisions de visa/immigration | Sélection de contenu newsletter |
| Éligibilité aux prestations sociales | Attribution de variante A/B |
| Notation de performance d’emploi | Personnalisation d’UI |
| Scoring de crédit (SCHUFA) | Ciblage publicitaire générique |
2. Les trois exceptions (article 22 §2)
(a) Exécution de contrat
La décision est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et le responsable.
(b) Autorisé par le droit de l’UE/État membre
Loi spécifique autorisant la décision automatisée avec garanties.
© Consentement explicite
La personne concernée a donné son consentement explicite. Sujet aux conditions de l’article 7 + doit être univoque + librement donné.
3. Garanties requises (article 22 §3)
Même lorsqu’une exception s’applique, le responsable doit mettre en œuvre des mesures appropriées incluant au moins :
- Droit d’obtenir une intervention humaine (un véritable humain, avec autorité pour renverser)
- Droit d’exprimer son point de vue
- Droit de contester la décision
Ces droits doivent être faciles à exercer — pas enterrés dans du jargon juridique, pas derrière des paywalls, pas requérant du courrier postal.
4. Données de catégorie particulière (article 22 §4)
Les décisions automatisées impliquant des données de catégorie particulière (article 9 : santé, biométrie, etc.) sont permises uniquement si :
- Consentement explicite (article 9 §2(a)), OU
- Intérêt public important au titre du droit UE/État membre (article 9 §2(g))
ET des mesures appropriées de sauvegarde des droits et libertés de la personne concernée sont en place.
5. Interaction avec les obligations d’information
Les articles 13 §2(f) et 14 §2(g) requièrent que le responsable informe la personne concernée de :
- L’existence d’une prise de décision automatisée (y compris le profilage)
- Des informations utiles sur la logique sous-jacente
- De l’importance et des conséquences envisagées d’un tel traitement
La CJUE dans SCHUFA a confirmé que cela inclut la révélation de la logique algorithmique à la personne concernée sur demande — pas seulement une divulgation générique « nous utilisons l’IA ».
6. Intersection avec l’AI Act
L’EU AI Act (Règlement 2024/1689) classe de nombreux systèmes de décision automatisée comme « IA à haut risque » requérant évaluation de conformité, documentation technique et supervision humaine. Les obligations de l’article 22 RGPD sont cumulatives avec les obligations de l’AI Act.
7. Obligation d’AIPD
L’article 35 §3(a) rend l’AIPD obligatoire pour « l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques ».
Traduction : tout traitement entrant dans le champ de l’article 22 requiert une AIPD. Voir article 35 RGPD AIPD.
8. Application
| Année | Sanction | Problème article 22 |
|---|---|---|
| 2023 | SCHUFA (CJUE) — Renvoi préjudiciel | Scoring de crédit comme article 22 |
| 2024 | Hertz France (CNIL) — 40K€ | Filtrage automatisé sans information |
| 2024 | Plusieurs fournisseurs IA (CNIL) — 50K€-500K€ | Décisions automatisées sans AIPD |
L’article 83(5)(b) place les violations de l’article 22 au sommet de l’échelle des amendes — jusqu’à 20M€ ou 4 % du chiffre d’affaires mondial.
9. Checklist d’implémentation
Pour tout système de décision automatisée :
- ☐ AIPD réalisée (article 35) — obligatoire
- ☐ Base légale documentée (article 6) — typiquement (b) contrat ou (a) consentement
- ☐ Pour données de catégorie particulière : exception article 9 identifiée
- ☐ Exception article 22 applicable : documentée
- ☐ Mécanisme d’intervention humaine implémenté et testé
- ☐ Mécanisme pour la personne d’exprimer son point de vue documenté
- ☐ Mécanisme de contestation des décisions documenté
- ☐ Politique de confidentialité divulgue : existence, logique, importance, conséquences
- ☐ Explicabilité de l’algorithme documentée
- ☐ Évaluation de conformité AI Act si haut risque
10. Outillage
Legiscope mappe les obligations de l’article 22 sur vos déploiements IA/ML via le registre, génère l’AIPD requise et fournit des modèles pour le workflow d’intervention humaine.
Pour les approfondissements connexes : article 35 RGPD AIPD, base juridique RGPD, EU AI Act guide, AI Act vs GDPR.
Conclusion
L’article 22 est la réponse RGPD à la prise de décision algorithmique. À mesure que l’IA évolue, il devient la disposition la plus fréquemment déclenchée. L’arrêt SCHUFA a supprimé l’échappatoire facile (« nous avons un humain dans la boucle ») — une vraie revue humaine est requise, pas une validation formelle.
FAQ
Quand l’article 22 RGPD s’applique-t-il ?
Lorsqu’une décision est fondée exclusivement sur un traitement automatisé (y compris profilage) et produit des effets juridiques ou affecte de manière significative similaire la personne concernée. Prêts, assurance, filtrage d’emploi, scoring de crédit qualifient tous.
Que signifie « fondée exclusivement sur un traitement automatisé » après SCHUFA ?
La CJUE a clarifié en 2023 que « exclusivement » inclut les cas où un humain valide formellement mais entérine l’algorithme. Une vraie revue humaine avec autorité pour renverser est requise.
Puis-je utiliser des décisions automatisées pour le recrutement ?
Uniquement si (a) nécessaire à l’exécution d’un contrat (rare — la revue manuelle est généralement possible), (b) autorisé par la loi, ou © consentement explicite (rare en contexte d’emploi). Même alors, les mécanismes d’intervention humaine doivent être en place.
Quelles informations dois-je fournir sur l’algorithme ?
Les articles 13 §2(f) et 14 §2(g) requièrent des « informations utiles sur la logique sous-jacente » plus l’importance et les conséquences envisagées. L’arrêt SCHUFA confirme que cela signifie plus que « nous utilisons l’IA » — la logique algorithmique réelle doit être divulguée sur demande.
L’AI Act remplace-t-il l’article 22 ?
Non — les deux s’appliquent cumulativement. L’article 22 protège les personnes concernées via le RGPD ; l’AI Act régule le système IA lui-même avec évaluation de conformité, documentation et exigences de supervision.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial