Qu’est-ce que la prise de decision automatisee?
La prise de decision automatisee signifie qu’un systeme prend une decision concernant une personne sans aucune intervention humaine significative. Pensez a un logiciel qui rejette automatiquement une demande de pret sur la base d’un score de credit, ou a un algorithme qui filtre des candidats avant que quiconque n’examine leur CV.
L’article 22 du RGPD donne aux personnes le droit de ne pas faire l’objet d’une decision fondee uniquement sur un traitement automatise - y compris le profilage - produisant des effets juridiques ou des effets significatifs similaires les concernant.
Les mots cles sont “uniquement” et “effets juridiques ou significatifs similaires.” Les deux conditions doivent etre remplies pour que l’article 22 s’applique.
Profilage vs prise de decision automatisee
Ces deux concepts sont lies mais differents.
Le profilage est l’analyse automatisee de donnees personnelles pour evaluer certains aspects d’une personne - ses performances professionnelles, sa situation economique, sa sante, ses preferences personnelles, sa fiabilite, son comportement ou sa localisation.
La prise de decision automatisee consiste a agir sur cette analyse sans intervention humaine.
Le profilage seul n’est pas interdit par l’article 22. Vous pouvez utiliser des analyses pour segmenter vos clients ou evaluer des prospects. La restriction entre en jeu lorsque vous utilisez ce profilage pour prendre une decision qui a des effets juridiques ou significatifs - et qu’aucun humain n’est implique de maniere significative.
Quand l’article 22 s’applique-t-il?
L’article 22 s’applique lorsque les trois conditions sont reunies:
- La decision est fondee uniquement sur un traitement automatise (pas d’examen humain significatif)
- Le traitement comprend du profilage ou une analyse automatisee
- La decision produit des effets juridiques ou des effets significatifs similaires
| Scenario | Entierement automatise? | Effet significatif? | Article 22 applicable? |
|---|---|---|---|
| Demande de pret automatiquement rejetee par un algorithme de scoring | Oui | Oui - acces au credit refuse | Oui |
| IA qui filtre les CV et rejette automatiquement des candidats | Oui | Oui - opportunite d’emploi refusee | Oui |
| Prime d’assurance entierement determinee par un algorithme de profilage des risques | Oui | Oui - impact financier | Oui |
| Detection de fraude qui bloque automatiquement un compte bancaire | Oui | Oui - acces aux fonds refuse | Oui |
| Moteur de recommandation de produits qui suggere des articles | Oui | Non - pas d’effet juridique ou significatif | Non |
| IA qui filtre les CV, mais un recruteur prend la decision finale | Non | N/A - humain dans le processus | Non |
| Personnalisation de contenu sur un site web | Oui | Non - pas d’effet significatif | Non |
| ChatGPT redige une lettre qu’une personne examine et envoie | Non | N/A - l’humain prend la decision | Non |
Trois exceptions ou les decisions automatisees sont autorisees
Meme lorsque l’article 22 s’appliquerait normalement, la prise de decision automatisee est permise dans trois cas:
1. Necessite contractuelle
La decision automatisee est necessaire a la conclusion ou a l’execution d’un contrat avec la personne. Par exemple, une decision de credit instantanee pour un achat en ligne, ou un examen manuel rendrait le service impraticable.
2. Autorisee par la loi
Le droit de l’UE ou d’un Etat membre autorise explicitement la prise de decision automatisee. La loi doit inclure des garanties appropriees pour les droits de la personne.
3. Fondee sur le consentement explicite
La personne a donne son consentement explicite a la prise de decision automatisee. Ce consentement doit etre specifique, eclaire et librement donne - pas enfoui dans les conditions generales.
Garanties requises - meme avec les exceptions
Meme lorsqu’une des trois exceptions s’applique, vous devez toujours fournir ces garanties:
- Droit a l’intervention humaine - la personne peut demander qu’un etre humain revoie la decision
- Droit d’exprimer son point de vue - la personne peut expliquer sa situation
- Droit de contester la decision - la personne peut remettre en cause le resultat
Vous ne pouvez pas non plus utiliser la prise de decision automatisee basee sur des categories speciales de donnees (sante, origine ethnique, opinions politiques, etc.), sauf si vous disposez d’un consentement explicite ou d’une base d’interet public majeur avec des garanties appropriees.
Quand une AIPD est-elle requise?
Une Analyse d’Impact relative a la Protection des Donnees (AIPD) est requise lorsque la prise de decision automatisee cree un risque eleve. Cela inclut generalement:
- Le profilage systematique avec des effets significatifs sur les personnes
- Le traitement automatise a grande echelle de donnees personnelles
- La combinaison de jeux de donnees de manieres que les personnes ne pourraient pas raisonnablement prevoir
- Le traitement de donnees sensibles via des systemes automatises
Si vous utilisez des outils IA pour evaluer, noter ou categoriser des personnes, une AIPD est presque certainement requise.
Ce que cela signifie en pratique pour votre entreprise
Si vous dirigez une PME et utilisez des outils IA ou des systemes automatises, voici ce qu’il faut verifier:
Etape 1: Cartographiez vos processus automatises
Listez chaque outil ou systeme qui prend des decisions concernant des personnes. Incluez les outils de recrutement, les verifications de credit, la detection de fraude, le scoring client et toute automatisation alimentee par l’IA.
Etape 2: Verifiez si un humain est implique de maniere significative
Un humain “dans le processus” ne compte que s’il examine veritablement la decision et a l’autorite de la modifier. Valider automatiquement la sortie d’un algorithme n’est pas un examen humain significatif.
Etape 3: Evaluez les effets
Le processus automatise produit-il des effets juridiques (refus de contrat, resiliation de service) ou des effets significatifs similaires (impact financier, opportunite refusee)? Si oui et qu’aucun humain n’est implique, l’article 22 s’applique.
Etape 4: Mettez en place des garanties
Pour tout processus ou l’article 22 s’applique:
- Ajoutez un veritable examen humain avant les decisions finales
- Creez une procedure permettant aux personnes de contester les decisions
- Documentez votre base juridique (contrat, loi ou consentement explicite)
- Informez les personnes que la prise de decision automatisee a lieu
- Incluez ces informations dans votre politique de confidentialite
Etape 5: Envisagez une AIPD
Si le traitement implique du profilage avec des effets significatifs, realisez une AIPD avant de commencer.
Erreurs courantes
- Supposer que “un humain clique sur approuver” est un examen significatif - la personne doit reellement evaluer le dossier, pas simplement confirmer la recommandation du systeme
- Oublier d’informer les personnes - votre politique de confidentialite doit expliquer la prise de decision automatisee, la logique utilisee et les consequences potentielles
- Utiliser des outils IA sans considerer l’article 22 - si un outil IA prend des decisions concernant des personnes pour vous, les obligations du RGPD s’appliquent toujours a votre entreprise
- Ignorer la transparence sur le profilage - meme lorsque l’article 22 ne s’applique pas, vous devez etre transparent sur le profilage dans votre politique de confidentialite en vertu des articles 13 et 14
GDPRWise analyse votre configuration de confidentialite et identifie ou les regles de prise de decision automatisee peuvent s'appliquer a votre entreprise.