Données personnelles

Profilage et décisions automatisées RGPD : Art. 22

L'Art. 22 RGPD interdit les décisions automatisées produisant des effets juridiques. Exceptions, garanties, lien avec l'IA Act et scoring crédit.

TD
Dr. Thiébaut Devergranne
12 avril 20268 min read

Le profilage RGPD et les décisions entièrement automatisées font l’objet d’un encadrement strict par l’Art. 22 du règlement. Toute personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou l’affectant de manière significative. Avec la généralisation de l’IA dans le scoring bancaire, le recrutement et la modération de contenu, cet article est devenu un enjeu central de conformité.

Points Clés

  • L’Art. 22(1) RGPD pose un principe d’interdiction des décisions entièrement automatisées produisant des effets juridiques ou affectant significativement la personne.
  • Trois exceptions existent (Art. 22(2)) : nécessité contractuelle, autorisation légale, consentement explicite.
  • Le profilage RGPD est défini à l’Art. 4(4) : « toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels ».
  • L’Art. 22(3) RGPD impose des garanties appropriées : droit d’obtenir une intervention humaine, droit d’exprimer son point de vue, droit de contester la décision.
  • Le Règlement européen sur l’IA (IA Act) crée des obligations supplémentaires pour les systèmes d’IA à haut risque, qui se cumulent avec l’Art. 22 RGPD.

Définitions : profilage et décision automatisée

L’Art. 4(4) RGPD définit le profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

Le profilage n’est pas interdit en soi. L’Art. 22 RGPD n’interdit que les décisions fondées exclusivement sur un traitement automatisé (y compris le profilage) qui produisent des effets juridiques ou affectent significativement la personne.

Trois niveaux doivent être distingués :

Profilage simple : collecte et analyse de données pour catégoriser une personne. Exemple : segmentation marketing. Soumis aux règles générales du RGPD (base légale, information, droits) mais pas à l’Art. 22.

Profilage avec prise de décision humaine : le profilage alimente une décision mais un humain prend la décision finale. Soumis aux règles générales mais pas à l’Art. 22, à condition que l’intervention humaine soit réelle et non purement formelle.

Décision entièrement automatisée fondée sur le profilage : aucune intervention humaine significative dans la décision. C’est le cas visé par l’Art. 22(1) RGPD. Exemple : refus automatique d’un crédit sur la base d’un score algorithmique.

Le principe d’interdiction : Art. 22(1)

L’Art. 22(1) RGPD dispose :

« La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. »

Le CEPD (lignes directrices WP251 rév.01 sur les décisions individuelles automatisées et le profilage) a précisé la notion d’« effets juridiques ou significatifs similaires » :

Effets juridiques : toute décision affectant les droits légaux de la personne. Exemples : refus de visa, résiliation automatique d’un contrat, rejet d’une demande de prestation sociale.

Effets significatifs similaires : effets qui n’ont pas de portée juridique formelle mais qui affectent significativement la personne dans sa vie quotidienne. Le CEPD cite : le refus d’un crédit en ligne, le rejet automatique d’une candidature à l’emploi, la modulation significative des tarifs d’assurance.

En revanche, la publicité ciblée ne produit en principe pas d’effet significatif au sens de l’Art. 22 — sauf si elle entraîne une discrimination ou affecte de manière importante les choix de la personne.

Les trois exceptions : Art. 22(2)

Le principe d’interdiction connaît trois exceptions :

Exception 1 : Nécessité contractuelle (Art. 22(2)(a)) — La décision est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne et le responsable de traitement. Exemple : pré-approbation automatisée d’un crédit à la consommation dans le cadre d’un contrat de prêt. Le CEPD interprète cette exception strictement : la décision doit être réellement nécessaire, et non simplement pratique.

Exception 2 : Autorisation légale (Art. 22(2)(b)) — La décision est autorisée par le droit de l’Union ou d’un État membre applicable au responsable de traitement, et qui prévoit des mesures appropriées pour la sauvegarde des droits et libertés. En France, le Code monétaire et financier autorise les décisions automatisées en matière de lutte contre le blanchiment sous certaines conditions.

Exception 3 : Consentement explicite (Art. 22(2)©) — La décision est fondée sur le consentement explicite de la personne. Ce consentement doit répondre aux exigences de l’Art. 7 RGPD et être explicite (déclaration expresse, pas un simple opt-in).

Garanties obligatoires : Art. 22(3)

Lorsqu’une exception s’applique (Art. 22(2)(a) ou ©), le responsable de traitement doit mettre en oeuvre des garanties appropriées. L’Art. 22(3) RGPD impose au minimum :

Droit à une intervention humaine : la personne doit pouvoir demander qu’un être humain réexamine la décision. Cette intervention doit être effective — un opérateur qui se contente de valider la décision algorithmique sans analyse ne satisfait pas l’exigence.

Droit d’exprimer son point de vue : la personne doit pouvoir communiquer des éléments de contexte ou des informations complémentaires avant la décision définitive.

Droit de contester la décision : un mécanisme de contestation doit être accessible, avec un réexamen effectif du dossier.

Le CEPD recommande de compléter ces garanties par une obligation de transparence renforcée : expliquer la logique sous-jacente de l’algorithme, les données prises en compte et le poids relatif des critères (Art. 13(2)(f) et Art. 14(2)(g) RGPD).

Profilage RGPD et données sensibles : Art. 22(4)

L’Art. 22(4) RGPD prévoit une protection renforcée pour les décisions automatisées fondées sur des données sensibles au sens de l’Art. 9(1) (origine raciale ou ethnique, opinions politiques, convictions religieuses, données génétiques, données biométriques, données de santé, orientation sexuelle).

Ces décisions ne sont autorisées que si :

  • La personne a donné son consentement explicite (Art. 9(2)(a)), ou
  • Le traitement est nécessaire pour un motif d’intérêt public important (Art. 9(2)(g)), sur la base du droit de l’Union ou d’un État membre.

Dans les deux cas, des mesures appropriées pour la sauvegarde des droits doivent être mises en place.

Interaction avec le Règlement IA (IA Act)

Le Règlement européen sur l’intelligence artificielle (Règlement (UE) 2024/1689), entré en vigueur le 1er août 2024, crée un cadre complémentaire. Plusieurs systèmes d’IA relevant du profilage RGPD sont classés à haut risque par l’Annexe III de l’IA Act :

  • Les systèmes de scoring de crédit (Annexe III, point 5(b))
  • Les systèmes de tri de candidatures et de recrutement automatisé (Annexe III, point 4)
  • Les systèmes de scoring social (interdits par l’Art. 5(1)© de l’IA Act)

Pour ces systèmes, les obligations se cumulent : conformité RGPD (Art. 22, base légale, information, DPIA au titre de l’Art. 35 RGPD) et conformité IA Act (gestion des risques, données d’entraînement, transparence, surveillance humaine).

La CNIL a publié en 2024 des recommandations sur l’application du RGPD aux systèmes d’IA, confirmant que l’Art. 22 s’applique pleinement aux décisions prises par des modèles de machine learning et que le recours à l’IA ne dispense pas de l’obligation de transparence algorithmique.

Cas pratiques : scoring crédit et recrutement

Scoring bancaire : lorsqu’un organisme de crédit rejette automatiquement une demande de prêt sur la base d’un score algorithmique, l’Art. 22(1) RGPD s’applique. L’organisme doit soit obtenir le consentement explicite, soit justifier la nécessité contractuelle. Dans tous les cas, le demandeur a droit à une intervention humaine, à une explication de la logique du scoring et à la possibilité de contester la décision. La CNIL a rappelé ces obligations dans sa recommandation sur les traitements de données dans le secteur bancaire.

Recrutement automatisé : un ATS (Applicant Tracking System) qui rejette automatiquement des candidatures sur la base de critères algorithmiques (mots-clés, score de compatibilité) relève de l’Art. 22 RGPD. Le CEPD a précisé que le candidat doit être informé avant que la décision ne soit prise et doit pouvoir demander un réexamen humain. La mise en conformité RGPD de ces systèmes exige une DPIA préalable.

FAQ

Le profilage marketing est-il soumis à l’Art. 22 RGPD ?

Le profilage à des fins de publicité ciblée n’est pas, en principe, soumis à l’Art. 22 RGPD, car il ne produit pas d’effets juridiques ou significatifs similaires dans la plupart des cas. Cependant, si le profilage conduit à une discrimination tarifaire significative, à une exclusion de services essentiels ou à une manipulation des choix de la personne, il peut relever de l’Art. 22. Le CEPD recommande une analyse au cas par cas.

Qu’est-ce qu’une « intervention humaine significative » ?

Le CEPD (lignes directrices WP251 rév.01) exige que l’intervention humaine soit réelle et effective. Un opérateur qui valide systématiquement les décisions algorithmiques sans analyse indépendante ne constitue pas une intervention humaine au sens de l’Art. 22. L’intervenant doit avoir l’autorité et la compétence pour modifier la décision, et doit disposer de toutes les informations nécessaires.

Une DPIA est-elle obligatoire pour le profilage ?

Oui dans la plupart des cas. L’Art. 35(3)(a) RGPD impose une analyse d’impact pour « l’évaluation systématique et approfondie d’aspects personnels […] fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques ». La CNIL a inscrit le profilage à grande échelle dans sa liste des traitements nécessitant une DPIA.

L’IA Act remplace-t-il l’Art. 22 RGPD ?

Non. L’IA Act et le RGPD sont complémentaires et s’appliquent de manière cumulative. L’Art. 2(7) de l’IA Act confirme que le règlement est « sans préjudice » du RGPD. Un système d’IA classé à haut risque doit respecter à la fois les obligations de l’IA Act (gestion des risques, qualité des données, transparence) et celles du RGPD (Art. 22, base légale, information, droits des personnes).

Automate your GDPR compliance

Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.

Discover Legiscope
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →