L'article 22 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 encadre les décisions individuelles fondées exclusivement sur un traitement automatisé, y compris le profilage. Il consacre le droit pour toute personne concernée de ne pas faire l'objet d'une décision produisant des effets juridiques la concernant ou l'affectant de manière significative, lorsqu'une telle décision repose uniquement sur un traitement automatisé de ses données à caractère personnel.
Cette disposition vise à prévenir les risques de déshumanisation de la décision et à garantir que les personnes ne soient pas soumises à des choix automatisés susceptibles d'avoir un impact important sur leur situation sans intervention humaine appropriée. Elle s'inscrit dans une logique de protection renforcée face au développement des algorithmes décisionnels et de l'intelligence artificielle.
L'article 22 constitue ainsi un garde-fou juridique contre l'automatisation intégrale de décisions ayant des conséquences substantielles pour les individus.
Texte officiel de l'article 22 du RGPD
L'article 22 du RGPD dispose notamment que :
La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.
Le paragraphe 1 ne s'applique pas si la décision : est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement ; est autorisée par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ; ou est fondée sur le consentement explicite de la personne concernée.
Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins le droit d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision.
Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l'article 9, paragraphe 1, sauf si l'article 9, paragraphe 2, point a) ou g), s'applique et si des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée sont en place.
Analyse juridique et portée de l'article 22
L'article 22 pose comme principe que les décisions produisant des effets juridiques ou des effets significatifs sur la personne ne peuvent pas être prises uniquement sur la base d'un traitement automatisé. Il vise notamment les décisions relatives à l'octroi d'un crédit, au recrutement, à la résiliation d'un contrat, à l'accès à un service ou à l'évaluation du comportement d'une personne.
Sur le plan juridique, cette disposition consacre un droit subjectif à l'intervention humaine dans les processus décisionnels sensibles. Elle ne prohibe pas l'utilisation d'outils automatisés, mais impose que ceux-ci ne soient pas les seuls déterminants de la décision finale lorsqu'elle a des conséquences importantes pour la personne concernée.
Ce mécanisme participe à la préservation de la dignité humaine et à la prévention des discriminations algorithmiques.
Notion de décision fondée exclusivement sur un traitement automatisé
Une décision est considérée comme fondée exclusivement sur un traitement automatisé lorsqu'aucune intervention humaine réelle et substantielle n'intervient dans le processus décisionnel. Une simple validation formelle ou automatique par un agent humain ne suffit pas à écarter l'application de l'article 22.
Le traitement automatisé inclut le profilage, défini à l'article 4, point 4, du RGPD comme toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique.
L'article 22 ne s'applique que lorsque la décision produit des effets juridiques ou affecte de manière significative la personne concernée, ce qui suppose une appréciation concrète de l'impact de la décision sur sa situation.
Exceptions au principe d'interdiction
Le RGPD prévoit trois hypothèses dans lesquelles une décision automatisée peut être licite. Il s'agit des décisions nécessaires à la conclusion ou à l'exécution d'un contrat, des décisions autorisées par le droit de l'Union ou le droit d'un État membre, et des décisions fondées sur le consentement explicite de la personne concernée.
Ces exceptions sont d'interprétation stricte. La nécessité contractuelle suppose que la décision automatisée soit objectivement indispensable à l'exécution du contrat et non simplement plus commode pour le responsable du traitement. Le consentement explicite doit répondre aux exigences renforcées prévues par le RGPD et ne peut être présumé.
Dans tous les cas, le responsable du traitement doit mettre en place des garanties appropriées pour protéger les droits de la personne concernée.
Garanties offertes à la personne concernée
Lorsque la décision automatisée est admise au titre des exceptions prévues par le règlement, la personne concernée doit bénéficier, a minima, du droit d'obtenir une intervention humaine, du droit d'exprimer son point de vue et du droit de contester la décision.
Ces garanties visent à réintroduire une dimension humaine dans le processus décisionnel et à permettre un réexamen individualisé de la situation. Elles traduisent la volonté du législateur européen d'éviter que les individus ne soient enfermés dans des logiques purement algorithmiques.
L'information relative à l'existence d'une décision automatisée et à sa logique sous-jacente doit également être fournie conformément aux articles 13, 14 et 15 du RGPD.
Données sensibles et décisions automatisées
L'article 22 interdit en principe que les décisions automatisées reposent sur les catégories particulières de données à caractère personnel mentionnées à l'article 9, telles que les données de santé, les données biométriques ou les opinions politiques.
Une dérogation n'est possible que lorsque le traitement est fondé sur le consentement explicite de la personne concernée ou lorsqu'il est justifié par un motif d'intérêt public important, sous réserve de la mise en place de garanties appropriées.
Cette restriction vise à prévenir les atteintes graves à la vie privée et les risques accrus de discrimination.
Articulation avec les autres dispositions du RGPD
L'article 22 s'articule étroitement avec les articles 13 et 14, qui imposent une obligation d'information sur l'existence d'une prise de décision automatisée, et avec l'article 15, qui consacre le droit d'accès aux informations relatives à la logique sous-jacente du traitement.
Il se rattache également aux principes posés à l'article 5, notamment ceux de licéité, de loyauté, de transparence et de minimisation des données, ainsi qu'aux exigences de protection des données dès la conception prévues à l'article 25.
Jurisprudence et pratique des autorités de contrôle
Les autorités de contrôle européennes, dont la CNIL, examinent avec une attention particulière les dispositifs de décision automatisée, en particulier dans les secteurs du crédit, de l'assurance, de l'emploi et des services numériques.
Elles sanctionnent les responsables de traitement qui mettent en œuvre des décisions automatisées sans base juridique valable ou sans garanties effectives permettant l'intervention humaine et la contestation de la décision.
La pratique décisionnelle souligne que la simple existence d'un support humain théorique ne suffit pas ; l'intervention humaine doit être réelle, compétente et susceptible d'influer sur la décision.
Recommandations de la CNIL et du CEPD
La CNIL recommande aux organisations de cartographier précisément leurs traitements automatisés et d'identifier ceux susceptibles de relever de l'article 22. Elle insiste sur la nécessité de documenter les logiques décisionnelles et de prévoir des procédures internes de réexamen humain.
Le Comité européen de la protection des données (CEPD) rappelle que l'article 22 constitue une garantie essentielle face à l'essor des systèmes algorithmiques et qu'il doit être interprété à la lumière des droits fondamentaux consacrés par la Charte des droits fondamentaux de l'Union européenne.
L'article 22 du RGPD consacre le droit de ne pas être soumis à une décision individuelle fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou des effets significatifs similaires. Il vise à préserver l'autonomie, la dignité et les droits fondamentaux des personnes face à l'automatisation croissante des processus décisionnels.
Ce droit impose aux responsables de traitement une vigilance accrue dans l'usage des algorithmes et des systèmes automatisés, ainsi que la mise en place de garanties effectives permettant l'intervention humaine et la contestation des décisions. Il constitue un pilier essentiel de la protection des personnes dans l'économie numérique et un marqueur fort de la responsabilité des acteurs traitant des données personnelles.