Decisions automatisees : article 22 du RGPD

L’article 22 du RGPD constitue l’une des dispositions les plus significatives du reglement en matiere d’intelligence artificielle. En posant le principe d’un droit de ne pas faire l’objet d’une decision fondee exclusivement sur un traitement automatise produisant des effets juridiques ou des effets significatifs similaires, cet article etablit un cadre protecteur face a la prise de decision algorithmique. Avec la multiplication des systemes d’IA dans les processus decisionnels des entreprises et des administrations, cette disposition acquiert une portee pratique considerable.

L’articulation de l’article 22 avec le reglement europeen sur l’IA (AI Act) cree un cadre juridique a double niveau qui impose aux organisations une vigilance accrue dans la conception et le deploiement de leurs systemes de decision automatisee.

Le champ d’application de l’article 22

La notion de decision fondee exclusivement sur un traitement automatise

L’article 22, paragraphe 1, du RGPD dispose que “la personne concernee a le droit de ne pas faire l’objet d’une decision fondee exclusivement sur un traitement automatise, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de maniere significative de facon similaire”.

Deux conditions cumulatives delimitent le champ d’application de cette disposition. Premierement, la decision doit etre fondee “exclusivement” sur un traitement automatise. Le Comite europeen de la protection des donnees (CEPD) a precise dans ses lignes directrices que le critere d’exclusivite est satisfait lorsqu’aucune intervention humaine significative n’intervient dans le processus de decision. Une intervention humaine purement formelle, de facon automatique ou symbolique, sans reelle possibilite de modifier le resultat, ne suffit pas a exclure l’application de l’article 22.

Deuxiemement, la decision doit produire des effets juridiques ou des effets significatifs similaires. Les effets juridiques incluent la conclusion ou la resiliation d’un contrat, l’octroi ou le refus d’une prestation sociale, l’acceptation ou le rejet d’une candidature a un emploi. Les effets significatifs similaires couvrent des situations qui, sans etre juridiquement contraignantes, affectent de maniere substantielle la situation de la personne : modulation tarifaire significative, exclusion d’un service, restriction d’acces a un contenu.

La notion de profilage

L’article 22 vise explicitement le profilage comme forme de traitement automatise susceptible de fonder une decision. L’article 4(4) du RGPD definit le profilage comme “toute forme de traitement automatise de donnees a caractere personnel consistant a utiliser ces donnees a caractere personnel pour evaluer certains aspects personnels relatifs a une personne physique, notamment pour analyser ou predire des elements concernant le rendement au travail, la situation economique, la sante, les preferences personnelles, les interets, la fiabilite, le comportement, la localisation ou les deplacements de cette personne physique”.

Dans le contexte de l’IA, le profilage correspond a la phase d’evaluation des caracteristiques personnelles par le systeme algorithmique. La decision automatisee est le resultat operationnel de cette evaluation. Les deux notions se cumulent frequemment mais restent distinctes : un profilage n’entraine pas necessairement une decision au sens de l’article 22, et une decision automatisee peut intervenir sans profilage prealable.

Les exceptions a l’interdiction

La necessite contractuelle

La premiere exception (article 22, paragraphe 2, point a) autorise les decisions automatisees lorsqu’elles sont necessaires a la conclusion ou a l’execution d’un contrat entre la personne concernee et le responsable du traitement. Cette exception s’applique par exemple a l’octroi automatise de credit, a la souscription automatisee d’assurance ou au traitement automatise de demandes d’ouverture de compte.

La CNIL a precise que la notion de “necessite” devait etre interpretee strictement : l’automatisation doit etre objectivement necessaire et pas simplement commode ou economiquement avantageuse pour le responsable du traitement. L’existence d’une alternative raisonnable impliquant une intervention humaine exclut en principe le recours a cette exception.

L’autorisation legale

La deuxieme exception (article 22, paragraphe 2, point b) autorise les decisions automatisees lorsqu’elles sont autorisees par le droit de l’Union ou le droit de l’Etat membre auquel le responsable du traitement est soumis, et qui prevoit egalement des mesures appropriees pour la sauvegarde des droits et libertes et des interets legitimes de la personne concernee.

En droit francais, l’article 47 de la loi Informatique et Libertes, consultable sur Legifrance, encadre les decisions individuelles automatisees prises par les administrations. Cette disposition autorise les decisions administratives individuelles fondees sur un traitement algorithmique, sous reserve que des regles et des criteres explicitent le traitement, que le droit d’obtenir une intervention humaine soit garanti et que la personne soit informee du recours a un traitement algorithmique.

Le consentement explicite

La troisieme exception (article 22, paragraphe 2, point c) autorise les decisions automatisees fondees sur le consentement explicite de la personne concernee. Ce consentement doit repondre aux conditions generales de validite posees par le RGPD : il doit etre libre, specifique, eclaire et univoque. Dans le contexte de la relation de travail, le consentement est rarement considere comme valable en raison du desequilibre de pouvoir entre l’employeur et le salarie.

Les garanties obligatoires

Le droit a l’intervention humaine

Lorsqu’une des exceptions de l’article 22(2) s’applique, le paragraphe 3 impose la mise en place de mesures appropriees pour la sauvegarde des droits et libertes de la personne. Le texte mentionne explicitement le droit d’obtenir une intervention humaine de la part du responsable du traitement.

Cette intervention humaine doit etre effective et non purement formelle. La personne en charge de la revision doit disposer de l’autorite et de la competence pour modifier la decision automatisee. Elle doit avoir acces a l’ensemble des informations pertinentes et disposer du temps necessaire pour examiner le dossier de maniere individualisee.

Le AI Act renforce cette exigence pour les systemes a haut risque en imposant des mesures de controle humain specifiques (article 14), incluant la capacite d’ignorer les resultats du systeme et de decider de ne pas l’utiliser.

Le droit d’exprimer son point de vue

La personne concernee doit avoir la possibilite d’exprimer son point de vue sur la decision automatisee. Ce droit implique que la personne soit informee de l’existence de la decision automatisee, qu’elle dispose d’un canal de communication effectif pour faire valoir ses arguments et que ses observations soient prises en compte dans le processus de revision.

Le droit de contester la decision

Le droit de contester la decision automatisee constitue la garantie ultime. Il suppose l’existence d’un mecanisme de recours effectif, interne ou externe, permettant a la personne de remettre en cause la decision et d’obtenir une nouvelle evaluation de sa situation.

L’articulation avec le AI Act

Complementarite des obligations

L’article 22 du RGPD et les dispositions du AI Act relatives aux systemes a haut risque forment un cadre complementaire. L’article 22 protege les personnes concernees en leur conferant des droits individuels. Le AI Act impose des obligations de conception et de deploiement aux fournisseurs et aux deployeurs de systemes d’IA.

Pour un systeme d’IA a haut risque prenant des decisions automatisees au sens de l’article 22, le cumul des obligations est significatif : systeme de gestion des risques (article 9 AI Act), qualite des donnees (article 10 AI Act), documentation technique (article 11 AI Act), transparence (article 13 AI Act), controle humain (article 14 AI Act), plus les garanties de l’article 22(3) du RGPD et l’obligation de realiser une AIPD.

L’explicabilite comme pont entre les deux textes

L’obligation de fournir des “informations utiles concernant la logique sous-jacente” du traitement automatise, imposee par les articles 13(2)(f), 14(2)(g) et 15(1)(h) du RGPD, se recoupe avec les obligations d’explicabilite et de transparence du AI Act. L’audit algorithmique permet de verifier la conformite a ces deux ensembles d’exigences.

La mise en conformite pratique

L’inventaire des decisions automatisees

La premiere etape de la mise en conformite consiste a cartographier l’ensemble des decisions automatisees au sein de l’organisation. Pour chaque decision, il convient de determiner si elle est fondee exclusivement sur un traitement automatise, si elle produit des effets juridiques ou des effets significatifs similaires, si une des exceptions de l’article 22(2) est applicable et si les garanties de l’article 22(3) sont mises en place.

Cette cartographie doit etre integree au registre des systemes d’IA et au registre des traitements RGPD. Le formulaire RGPD peut etre adapte pour inclure les informations relatives aux decisions automatisees.

La conception de garanties effectives

Pour chaque decision automatisee identifiee, l’organisation doit concevoir et mettre en oeuvre des garanties appropriees. Ces garanties incluent un mecanisme d’intervention humaine avec des personnes formees et habilitees, un processus d’expression du point de vue de la personne, un mecanisme de contestation et de revision de la decision, une information claire et accessible sur l’existence de la decision automatisee, ses consequences et les droits de la personne.

Les clauses contractuelles

Lorsque le systeme de decision automatisee est fourni par un tiers, les clauses contractuelles de sous-traitance doivent prevoir les obligations relatives a l’article 22. Le contrat doit garantir la possibilite d’intervention humaine, l’acces aux informations necessaires a l’exercice des droits des personnes et la cooperation du sous-traitant en cas de demande de revision.

Les sanctions en cas de non-respect des obligations de l’article 22 relevent du plafond le plus eleve du RGPD : 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. La violation des obligations du AI Act relatives aux systemes a haut risque s’ajoute a ce risque sanctionnateur.

Cas pratiques d’application

L’octroi automatise de credit

Le scoring de credit constitue l’un des cas d’application les plus frequents de l’article 22. La decision d’octroi ou de refus de credit, lorsqu’elle est fondee exclusivement sur un algorithme de scoring, produit des effets juridiques directs. L’exception contractuelle (article 22(2)(a)) peut etre invoquee, mais les garanties de l’article 22(3) doivent imperativement etre mises en place : possibilite d’intervention humaine, information du demandeur sur les facteurs ayant determine la decision, et mecanisme de contestation.

Le tri automatise de candidatures

Le rejet automatise d’une candidature a un emploi constitue une decision produisant des effets juridiques significatifs. Comme detaille dans notre analyse des enjeux de l’IA en matiere de recrutement, l’utilisation de systemes d’IA pour le tri de candidatures doit respecter l’article 22 du RGPD en plus des obligations du AI Act applicables aux systemes a haut risque.

La moderation automatisee de contenus

La suppression automatisee de contenus sur une plateforme en ligne peut constituer une decision affectant de maniere significative la liberte d’expression de la personne. Le reglement sur les services numeriques prevoit des garanties specifiques pour ces situations, qui s’ajoutent aux obligations de l’article 22 du RGPD.

FAQ

Comment determiner si une decision est “fondee exclusivement” sur un traitement automatise ?

Le critere d’exclusivite s’apprecie au regard de la realite du processus decisionnel et non de sa presentation formelle. Une intervention humaine n’exclut l’application de l’article 22 que si elle est substantielle : la personne doit disposer de l’autorite, de la competence et des moyens de modifier effectivement la decision produite par l’algorithme. Une simple validation automatique ou une approbation systematique sans examen reel ne constitue pas une intervention humaine significative. En cas de doute, il est recommande d’appliquer les garanties de l’article 22(3) a titre de precaution, ce qui est coherent avec l’approche de gestion des risques du RGPD.

L’article 22 s’applique-t-il aux systemes d’IA generative comme ChatGPT ?

L’article 22 du RGPD ne vise que les decisions produisant des effets juridiques ou des effets significatifs similaires. L’utilisation d’un systeme d’IA generative pour produire du contenu ne constitue pas en soi une decision au sens de l’article 22. En revanche, si les resultats d’un systeme d’IA generative sont utilises pour fonder une decision affectant une personne (par exemple, generation automatique d’une evaluation de performance ou d’une recommandation de recrutement), l’article 22 s’applique des lors que cette decision est prise sans intervention humaine significative. Le critere determinant est la nature de la decision et ses effets sur la personne, et non la technologie utilisee pour la produire.

Quelles sont les sanctions specifiques en cas de violation de l’article 22 ?

La violation de l’article 22 du RGPD releve du plafond de sanctions le plus eleve prevu par le reglement : jusqu’a 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice precedent, le montant le plus eleve etant retenu. En France, la CNIL a deja sanctionne des pratiques de profilage et de decision automatisee non conformes. A ces sanctions administratives s’ajoutent la possibilite d’actions civiles en reparation du prejudice subi par la personne concernee et, le cas echeant, les sanctions penales prevues par la loi Informatique et Libertes. Si le systeme de decision automatisee est egalement un systeme d’IA a haut risque au sens du AI Act, les sanctions du AI Act (jusqu’a 15 millions d’euros ou 3 % du chiffre d’affaires mondial) se cumulent avec celles du RGPD.