ParticuliersProfessionnelsPresse
FrEnGestionnaire de cookies
  1. Accueil
  2. Profilage et décision entièrement automatisée

Profilage et décision entièrement automatisée

29 mai 2018

Le règlement européen sur la protection des données (RGPD) pose les règles applicables au profilage et aux décisions entièrement automatisées. Les lignes directrices adoptées par l’ensemble des CNIL européennes clarifient et illustrent d’exemples concrets ce nouveau cadre juridique.

La collecte et l’analyse de l’activité des personnes, par exemple sur Internet, les réseaux sociaux ou les sites marchands, permettent de construire des profils pour mieux cerner leur personnalité, leurs habitudes d'achat ou leur comportement. Ces processus sont toutefois susceptibles d’aboutir à des analyses et prédictions inexactes, voire à des refus de services injustifiés ou à d’autres décisions défavorables aux personnes, de perpétuer des stéréotypes et d’enfermer des personnes dans leurs choix. Le RGPD vise à limiter ces risques, en prévoyant des obligations adaptées pour les organismes recourant au profilage et des droits spécifiques pour les personnes à l’égard de tels traitements.

Qu’est-ce que le profilage ?

Le profilage est défini à l’article 4 du RGPD. Il s’agit d’un traitement utilisant les données personnelles d’un individu en vue d’analyser et de prédire son comportement, comme par exemple déterminer ses performances au travail, sa situation financière, sa santé, ses préférences, ses habitudes de vie, etc.

Un traitement de profilage repose sur l’établissement d’un profil individualisé, concernant une personne en particulier : il vise à évaluer certains de ses aspects personnels, en vue d’émettre un jugement ou de tirer des conclusions sur elle.

A retenir

Un traitement de profilage a pour objet d’évaluer une personne et de prédire ses réactions et ses préférences. Le profilage est un traitement individualisé : il ne comprend donc pas les traitements purement statistiques ayant pour objectif d’acquérir une vue d’ensemble sur un groupe.

Qu’est-ce qu’une décision entièrement automatisée ?

Il s’agit d’une décision prise à l’égard d’une personne, par le biais d’algorithmes appliqués à ses données personnelles, sans qu’aucun être humain n’intervienne dans le processus.

Les décisions automatisées peuvent intervenir dans de nombreux domaines d’activité (finance, fiscalité, marketing, etc.) et produire des effets juridiques ou des effets significatifs pour les personnes concernées.

Par exemple, une décision de refus de crédit peut avoir pour seul fondement l’utilisation d’un algorithme qui applique automatiquement certains critères à la situation financière du demandeur, sans aucune intervention humaine.

Le RGPD prévoit des règles plus restrictives dans ces cas, pour éviter que l’homme ne subisse ces décisions émanant uniquement de machines. L’article 22 du RGPD encadre ainsi les processus de prise de décision entièrement automatisés, lorsqu’elles produisent des effets juridiques ou des effets significatifs.

Quelles catégories de décisions sont concernées ?

L’article 22 du RGPD s’applique aux traitements fondant exclusivement les décisions « produisant des effets juridiques » ou « affectant de manière significative » les personnes.  

Une décision produit un effet juridique lorsqu’elle impacte les droits et libertés de la personne. Par exemple, une décision affectant la liberté d’aller et venir des personnes, leur liberté de réunion et leurs droits contractuels, les privant du bénéfice d’une prestation sociale ou d’une prestation individuelle qu’ils avaient souscrite.

Une décision peut également avoir un impact significatif, similaire à un effet juridique, lorsqu’elle a pour conséquence d’influencer l’environnement de la personne, son comportement, ses choix ou d’aboutir à une forme de discrimination. Par exemple, une décision qui a des conséquences sur la situation financière de quelqu’un ou qui entraîne une application de tarifs plus élevés l’affecte de manière significative.

A retenir

Une décision a un effet juridique sur une personne lorsqu’elle impact ses droits et ses libertés. Même si une décision ne produit pas d’effets juridiques, elle peut quand même avoir un impact significatif. Dans les deux cas, ce sont les règles plus restrictives de l’article 22 du RGPD qui s’appliqueront si cette décision est prise de manière entièrement automatisée.

Quels liens entre profilage et décision automatisée ?

En pratique, les deux notions sont intimement liées : profiler une personne conduit fréquemment à prendre une décision à son sujet et de nombreuses décisions entièrement automatisées sont prises sur la base d’un profilage. L’établissement de profils et le recours à des algorithmes appliqués à des jeux de données personnelles peuvent ainsi mener à la prise de décisions entièrement automatisées, dans des domaines aussi divers que la santé, l’éducation, l’assurance, la protection sociale, la lutte contre la fraude, etc.

Il s’agit néanmoins de notions distinctes : une décision peut être prise sans recourir à un traitement de profilage et un profilage n’aboutit pas nécessairement à une prise de décision automatisée. Par exemple, un système de détection des infractions au code de la route qui aboutit à des amendes automatiques ne nécessite pas de profilage, mais implique pourtant une décision exclusivement automatisée.

A retenir

Une décision entièrement automatisée est une décision qui a été prise par un algorithme, sans aucune intervention humaine. Elle peut découler d’un profilage, mais ce n’est pas systématique : cette décision peut être prise sans qu’un profil ait été construit au préalable.

Quelles règles applicables à ces traitements ?

Tout traitement de profilage doit faire l’objet d’une attention particulière, car il soulève par nature des risques importants pour les droits et libertés des personnes. Les dispositions du RGPD doivent donc être appliquées à ces traitements en tenant compte de cette spécificité, par exemple en assurant la plus grande transparence et le respect des droits des personnes concernées par le profilage réalisé.

Des règles particulières encadrent la décision entièrement automatisée (article 22 du RGPD), qu’elle soit fondée sur un profilage ou non : par principe, les individus ont le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé et produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. Des exceptions sont néanmoins prévues et, dans ce cas, des garanties spécifiques doivent encadrer le traitement fondant une telle décision.  

A retenir

Il est en principe interdit de prendre une décision au sujet d’une personne, si elle est entièrement informatisée et si elle produit des effets juridiques à son égard ou a un impact significatif sur elle.  

Toutes les décisions entièrement automatisées sont-elles interdites ?

Non. Le règlement européen sur la protection des données (RGPD) prévoit que, dans certains cas particuliers, une personne peut faire l’objet d’une décision entièrement automatisée, même si cette dernière a un effet juridique ou un impact significatif sur elle.

Ces exceptions concernent :

  • les décisions fondées sur le consentement explicite des personnes concernées,
  • les décisions nécessaires à la conclusion ou à l'exécution d'un contrat,
  • les décisions encadrées par des dispositions légales spécifiques.

Dans ces cas, des garanties spécifiques doivent être prévues afin de limiter les risques d’arbitraire soulevés par une telle prise de décision.

Quelles mesures doivent être prises dans le cadre d’une prise de décision entièrement automatisée ?

Les personnes concernées ont des droits supplémentaires lorsqu’une décision entièrement automatisée est prise à leur égard et les affecte particulièrement.

Des obligations spécifiques de transparence sont prévues : les personnes doivent être informées, lors de la collecte de leurs données et à tout moment sur leur demande, de l’existence d’une telle décision, de la logique sous-jacente ainsi que de l’importance et des conséquences prévues de cette décision.

Un droit à une intervention humaine leur est également accordé : toute personne ayant fait l’objet d’une telle décision peut demander qu’une personne humaine intervienne, notamment afin d’obtenir un réexamen de sa situation, d’exprimer son propre point de vue, d'obtenir une explication sur la décision prise ou de contester la décision.

Les traitements de profilage et les traitements fondant des décisions entièrement automatisées sont soumis aux autres dispositions du RGPD, qui doivent être appliquées en tenant compte des risques présentés, par exemple en matière de sécurité et de mise à jour des données.

A retenir

Les droits des personnes sont renforcés lorsqu’une décision entièrement automatisée est prise à leur encontre : une information spécifique doit leur être fournie et elles ont le droit de contester la décision.

Document reference

Lignes directrices du G29

Guidelines on Automated individual decision-making and Profiling
[ PDF-1.02 Mo ]

Ceci peut également vous intéresser ...

IA : la CNIL publie ses premières recommandations sur le développement des systèmes ...
08 avril 2024
Intelligence artificielle (IA)
Données personnelles et IA : l’apport des normes ISO/IEC 27701 et 42001
02 avril 2024
Normalisation
Violations de données personnelles : bilan de 5 années de RGPD
Depuis le 25 mai 2018, les violations de données personnelles susceptibles d’engendrer un risque ...
27 mars 2024
Violation de données