Le Règlement Général sur la Protection des Données (RGPD) a prévu ce droit particulier pour répondre à une problématique sectorielle de plus en plus rencontrée par certaines personnelles : la prise de décision automatisée, réalisée par des algorithmes, à partir de données à caractère personnel.
Qu’est-ce que le droit de ne pas faire l’objet d’une décision individuelle automatisée ?
Il s’agit du droit, pour une personne, de demander à ce qu’une décision prise sur la base de ses données ne soit pas fondée exclusivement sur le résultat d’un algorithme analysant ses données, mais fasse également l’objet d’une revue ou d’une vérification par une personne physique.
Article 22 – Décision individuelle automatisée, y compris le profilage
1. La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.
2. Le paragraphe 1 ne s’applique pas lorsque la décision :
a) est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ;
b) est autorisée par le droit de l’Union ou le droit de l’Etat membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ; ou
c) est fondée sur le consentement explicite de la personne concernée.
3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en oeuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.
4. Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l’article 9, paragraphe 1, à moins que l’article 9, paragraphe 2, point a) ou g), ne s’applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place.
Quel usage de ce droit ?
Contrairement à d’autres, comme le droit d’accès par exemple, le droit de ne pas faire l’objet d’une prise de décision individuelle automatisée n’a qu’un usage, bien défini : la personne concernée qui fait l’objet d’une telle prise de décision, qui a vocation à produire un effet juridique ou similaire (notamment dans le cadre de relations pré-contractuelles ou contractuelles), à le droit de demander à ce que la décision soit prise totalement ou revue par un être humain, en lieu et place de l’algorithme.
Ce droit impose aussi au responsable du traitement, pour la mise en oeuvre de ce type de prise de décisions sur certaines données, de mettre en place et de pouvoir justifier de gardes-fous afin d’éviter que des données parasites, non nécessaires, particulièrement sensibles, ou erronées ne soient utilisées lors de la prise de décision automatisée.
Quelles limites à ce droit ?
Ce droit, de par sa particularité, ne connaît finalement que peu de limites, la première étant que les traitements relevant de la prise de décision individuelle automatisée restent circonscrits à des secteurs d’activité bien particuliers, et souvent déjà très réglementés.
Parmi les autres limites, nous pouvons néanmoins citer que ce type de droit ne saurait être exercé sur les traitements de données nécessitant l’analyse rapide de gros volumes de données pour la prise de décision, l’intervention d’un humain se prêtant ici mal à la prise de décision, ou encore la faculté pour le responsable du traitement de demander (parfois de forcer un peu) le consentement des personnes à la prise de décision automatisée.
Vous souhaitez approfondir vos connaissances sur le RGPD ou avez besoin d’assistance pour optimiser la gestion des données au sein de votre organisation ? Notre équipe d’experts est là pour vous aider. Contactez-nous pour découvrir comment nous pouvons vous accompagner dans votre démarche de conformité et renforcer la confiance de vos clients dans la gestion de leurs données personnelles.