Décisions automatisées : article 22 RGPD

L’article 22 du RGPD constitue l’une des dispositions les plus significatives du règlement en matière d’intelligence artificielle. En posant le principe d’un droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou des effets significatifs similaires, cet article établit un cadre protecteur face à la prise de décision algorithmique. Avec la multiplication des systèmes d’IA dans les processus decisionnels des entreprises et des administrations, cette disposition acquiert une portée pratique considérable.

L’articulation de l’article 22 avec le règlement européen sur l’IA (AI Act) cree un cadre juridique a double niveau qui impose aux organisations une vigilance accrue dans la conception et le déploiement de leurs systèmes de décision automatisée.

Le champ d’application de l’article 22

La notion de décision fondée exclusivement sur un traitement automatisé

L’article 22, paragraphe 1, du RGPD dispose que “la personne concernée à le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire”.

Deux conditions cumulatives delimitent le champ d’application de cette disposition. Premièrement, la décision doit être fondée “exclusivement” sur un traitement automatisé. Le Comité européen de la protection des données (CEPD) a précise dans ses lignes directrices que le critère d’exclusivite est satisfait lorsqu’aucune intervention humaine significative n’intervient dans le processus de décision. Une intervention humaine purement formelle, de façon automatique ou symbolique, sans réelle possibilité de modifier le résultat, ne suffit pas a exclure l’application de l’article 22.

Deuxièmement, la décision doit produire des effets juridiques ou des effets significatifs similaires. Les effets juridiques incluent la conclusion ou la résiliation d’un contrat, l’octroi ou le refus d’une prestation sociale, l’acceptation ou le rejet d’une candidature à un emploi. Les effets significatifs similaires couvrent des situations qui, sans être juridiquement contraignantes, affectent de manière substantielle la situation de la personne : modulation tarifaire significative, exclusion d’un service, restriction d’accès à un contenu.

La notion de profilage

L’article 22 vise explicitement le profilage comme forme de traitement automatisé susceptible de fonder une décision. L’article 4(4) du RGPD définit le profilage comme “toute forme de traitement automatisé de données à caractère personnel consistant a utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique”.

Dans le contexte de l’IA, le profilage correspond à la phase d’évaluation des caractéristiques personnelles par le système algorithmique. La décision automatisée est le résultat opérationnel de cette évaluation. Les deux notions se cumulent fréquemment mais restent distinctes : un profilage n’entraîne pas nécessairement une décision au sens de l’article 22, et une décision automatisée peut intervenir sans profilage préalable.

Les exceptions à l’interdiction

La nécessité contractuelle

La première exception (article 22, paragraphe 2, point a) autorise les décisions automatisées lorsqu’elles sont nécessaires à la conclusion ou à l’exécution d’un contrat entre la personne concernée et le responsable du traitement. Cette exception s’applique par exemple à l’octroi automatisé de crédit, à la souscription automatisée d’assurance ou au traitement automatisé de demandes d’ouverture de compte.

La CNIL a précisé que la notion de “nécessité” devait être interprétée strictement : l’automatisation doit être objectivement nécessaire et pas simplement commode ou économiquement avantageuse pour le responsable du traitement. L’existence d’une alternative raisonnable impliquant une intervention humaine exclut en principe le recours à cette exception.

L’autorisation légale

La deuxième exception (article 22, paragraphe 2, point b) autorise les décisions automatisées lorsqu’elles sont autorisées par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis, et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée.

En droit français, l’article 47 de la loi Informatique et Libertés, consultable sur Legifrance, encadré les décisions individuelles automatisées prises par les administrations. Cette disposition autorise les décisions administratives individuelles fondées sur un traitement algorithmique, sous reserve que des règles et des critères explicitent le traitement, que le droit d’obtenir une intervention humaine soit garanti et que la personne soit informée du recours à un traitement algorithmique.

Le consentement explicite

La troisième exception (article 22, paragraphe 2, point c) autorise les décisions automatisées fondées sur le consentement explicite de la personne concernée. Ce consentement doit répondre aux conditions générales de validité posées par le RGPD : il doit être libre, spécifique, éclairé et univoque. Dans le contexte de la relation de travail, le consentement est rarement considéré comme valable en raison du déséquilibre de pouvoir entre l’employeur et le salarié.

Les garanties obligatoires

Le droit à l’intervention humaine

Lorsqu’une des exceptions de l’article 22(2) s’applique, le paragraphe 3 impose la mise en place de mesures appropriées pour la sauvegarde des droits et libertés de la personne. Le texte mentionne explicitement le droit d’obtenir une intervention humaine de la part du responsable du traitement.

Cette intervention humaine doit être effective et non purement formelle. La personne en charge de la révision doit disposer de l’autorité et de la compétence pour modifier la décision automatisée. Elle doit avoir accès à l’ensemble des informations pertinentes et disposer du temps nécessaire pour examiner le dossier de manière individualisee.

Le AI Act renforcé cette exigence pour les systèmes à haut risque en imposant des mesures de contrôle humain spécifiques (article 14), incluant la capacité d’ignorer les résultats du système et de décider de ne pas l’utiliser.

Le droit d’exprimer son point de vue

La personne concernée doit avoir la possibilité d’exprimer son point de vue sur la décision automatisée. Ce droit implique que la personne soit informée de l’existence de la décision automatisée, qu’elle dispose d’un canal de communication effectif pour faire valoir ses arguments et que ses observations soient prises en compte dans le processus de révision.

Le droit de contester la décision

Le droit de contester la décision automatisée constitue la garantie ultime. Il suppose l’existence d’un mécanisme de recours effectif, interne ou externe, permettant à la personne de remettre en cause la décision et d’obtenir une nouvelle évaluation de sa situation.

L’articulation avec le AI Act

Complementarite des obligations

L’article 22 du RGPD et les dispositions du AI Act relatives aux systèmes à haut risque forment un cadre complémentaire. L’article 22 protégé les personnes concernées en leur conferant des droits individuels. Le AI Act impose des obligations de conception et de déploiement aux fournisseurs et aux deployeurs de systèmes d’IA.

Pour un système d’IA à haut risque prenant des décisions automatisées au sens de l’article 22, le cumul des obligations est significatif : système de gestion des risques (article 9 AI Act), qualité des données (article 10 AI Act), documentation technique (article 11 AI Act), transparence (article 13 AI Act), contrôle humain (article 14 AI Act), plus les garanties de l’article 22(3) du RGPD et l’obligation de réaliser une AIPD.

L’explicabilité comme pont entre les deux textes

L’obligation de fournir des “informations utiles concernant la logique sous-jacente” du traitement automatisé, imposée par les articles 13(2)(f), 14(2)(g) et 15(1)(h) du RGPD, se recoupé avec les obligations d’explicabilité et de transparence du AI Act. L’audit algorithmique permet de vérifier la conformité à ces deux ensembles d’exigences.

La mise en conformité pratique

L’inventaire des décisions automatisées

La première étape de la mise en conformité consiste à cartographier l’ensemble des décisions automatisées au sein de l’organisation. Pour chaque décision, il convient de déterminer si elle est fondée exclusivement sur un traitement automatisé, si elle produit des effets juridiques ou des effets significatifs similaires, si une des exceptions de l’article 22(2) est applicable et si les garanties de l’article 22(3) sont mises en place.

Cette cartographie doit être intégrée au registre des systèmes d’IA et au registre des traitements RGPD. Le formulaire RGPD peut être adapte pour inclure les informations relatives aux décisions automatisées.

La conception de garanties effectives

Pour chaque décision automatisée identifiée, l’organisation doit concevoir et mettre en oeuvre des garanties appropriées. Ces garanties incluent un mécanisme d’intervention humaine avec des personnes formées et habilitées, un processus d’expression du point de vue de la personne, un mécanisme de contestation et de révision de la décision, une information claire et accessible sur l’existence de la décision automatisée, ses conséquences et les droits de la personne.

Les clauses contractuelles

Lorsque le système de décision automatisée est fourni par un tiers, les clauses contractuelles de sous-traitance doivent prévoir les obligations relatives à l’article 22. Le contrat doit garantir la possibilité d’intervention humaine, l’accès aux informations nécessaires à l’exercice des droits des personnes et la coopération du sous-traitant en cas de demande de révision.

Les sanctions en cas de non-respect des obligations de l’article 22 relèvent du plafond le plus élevé du RGPD : 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. La violation des obligations du AI Act relatives aux systèmes à haut risque s’ajoute à ce risque sanctionnateur.

Cas pratiques d’application

L’octroi automatisé de crédit

Le scoring de crédit constitue l’un des cas d’application les plus fréquents de l’article 22. Pour une analyse complète des obligations spécifiques au secteur financier, consultez notre guide IA en banque et assurance. La décision d’octroi ou de refus de crédit, lorsqu’elle est fondée exclusivement sur un algorithme de scoring, produit des effets juridiques directs. L’exception contractuelle (article 22(2)(a)) peut être invoquée, mais les garanties de l’article 22(3) doivent impérativement être mises en place : possibilité d’intervention humaine, information du demandeur sur les facteurs ayant détermine la décision, et mécanisme de contestation.

Le tri automatisé de candidatures

Le rejet automatisé d’une candidature à un emploi constitue une décision produisant des effets juridiques significatifs. Comme détaillé dans notre analyse des enjeux de l’IA en matière de recrutement, l’utilisation de systèmes d’IA pour le tri de candidatures doit respecter l’article 22 du RGPD en plus des obligations du AI Act applicables aux systèmes à haut risque.

La moderation automatisée de contenus

La suppression automatisée de contenus sur une plateforme en ligne peut constituer une décision affectant de manière significative la liberté d’expression de la personne. Le règlement sur les services numériques prévoit des garanties spécifiques pour ces situations, qui s’ajoutent aux obligations de l’article 22 du RGPD.

FAQ

Comment déterminer si une décision est “fondée exclusivement” sur un traitement automatisé ?

Le critère d’exclusivite s’apprécie au regard de la réalité du processus décisionnel et non de sa présentation formelle. Une intervention humaine n’exclut l’application de l’article 22 que si elle est substantielle : la personne doit disposer de l’autorité, de la compétence et des moyens de modifier effectivement la décision produite par l’algorithme. Une simple validation automatique ou une approbation systématique sans examen réel ne constitue pas une intervention humaine significative. En cas de doute, il est recommandé d’appliquer les garanties de l’article 22(3) à titre de précaution, ce qui est cohérent avec l’approche de gestion des risques du RGPD.

L’article 22 s’applique-t-il aux systèmes d’IA générative comme ChatGPT ?

L’article 22 du RGPD ne vise que les décisions produisant des effets juridiques ou des effets significatifs similaires. L’utilisation d’un système d’IA générative pour produire du contenu ne constitue pas en soi une décision au sens de l’article 22. En revanche, si les résultats d’un système d’IA générative sont utilisés pour fonder une décision affectant une personne (par exemple, génération automatique d’une évaluation de performance ou d’une recommandation de recrutement), l’article 22 s’applique dès lors que cette décision est prise sans intervention humaine significative. Le critère déterminant est la nature de la décision et ses effets sur la personne, et non la technologie utilisée pour la produire.

Quelles sont les sanctions spécifiques en cas de violation de l’article 22 ?

La violation de l’article 22 du RGPD relève du plafond de sanctions le plus élevé prévu par le règlement : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. En France, la CNIL a déjà sanctionné des pratiques de profilage et de décision automatisée non conformes. À ces sanctions administratives s’ajoutent la possibilité d’actions civiles en réparation du préjudice subi par la personne concernée et, le cas échéant, les sanctions pénales prévues par la loi Informatique et Libertés. Si le système de décision automatisée est également un système d’IA à haut risque au sens du AI Act, les sanctions du AI Act (jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires mondial) se cumulent avec celles du RGPD.