Art. 22
1. La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.
2. Le paragraphe 1 ne s'applique pas lorsque la décision:
a) est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement;
b) est autorisée par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou
c) est fondée sur le consentement explicite de la personne concernée.
3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en oeuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision.
4. Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l'article 9, paragraphe 1, à moins que l'article 9, paragraphe 2, point a) ou g), ne s'applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place.
|
1. Toute personne physique a le droit de ne pas être soumise à une mesure produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé destiné à évaluer certains aspects personnels propres à cette personne physique ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement.
2. Sous réserve des autres dispositions du présent règlement, une personne ne peut être soumise à une mesure telle que celle visée au paragraphe 1 que si le traitement:
a) est effectué dans le cadre de la conclusion ou de l'exécution d'un contrat, lorsque la demande de conclusion ou d’exécution du contrat, introduite par la personne concernée, a été satisfaite ou qu'ont été invoquées des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée, tels que le droit d’obtenir une intervention humaine;
ou b) est expressément autorisé par une législation de l'Union ou d'un État membre qui prévoit également des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée;
ou c) est fondé sur le consentement de la personne concernée, sous réserve des conditions énoncées à l’article 7 et de garanties appropriées.
3. Le traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à une personne physique ne saurait être exclusivement fondé sur les catégories particulières de données à caractère personnel mentionnées à l’article 9.
4. Dans les cas prévus au paragraphe 2, les informations que le responsable du traitement doit fournir en vertu de l'article 14 comportent notamment des informations relatives à l’existence du traitement pour une mesure telle que celle visée au paragraphe 1 et aux effets escomptés de ce traitement sur la personne concernée.
5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et conditions applicables aux mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée conformément au paragraphe 2.
|
Aux fins du présent règlement, on entend par:
(…)
12 bis) "profilage": toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels liés à une personne physique, notamment pour analyser et prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles ou les intérêts, la fiabilité ou le comportement, ou la localisation et les déplacements;
Art. 20 Décision individuelle automatisée
1. La personne concernée a le droit de ne pas être soumise à une décision (…) résultant exclusivement d'un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière sensible .
1 bis. Le paragraphe 1 ne s'applique pas lorsque la décision: (...)
a) est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement (...);
ou b) est (…) autorisée par la législation de l'Union ou d'un État membre à laquelle le responsable du traitement est soumis et qui prévoit également des mesures appropriées garantissant la sauvegarde des droits et des libertés ainsi que des intérêts légitimes de la personne concernée; ou c) est fondé sur le consentement explicite de la personne concernée (…).
1 ter. Dans les cas visés au paragraphe 1 bis, points a) et c), le responsable du traitement met en œuvre des mesures appropriées garantissant la sauvegarde des droits et des libertés ainsi que des intérêts légitimes de la personne concernée, et en tout état de cause du droit de la personne concernée d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision. 2. (...)
3. Les décisions visées au paragraphe 1 bis ne sauraient être (…) fondées sur les catégories particulières de données à caractère personnel mentionnées à l'article 9, paragraphe 1, à moins que l'article 9, paragraphe 2, points a) ou g), ne s'applique et que des mesures appropriées garantissant la sauvegarde des droits et des libertés ainsi que des intérêts légitimes de la personne concernée ne soient en place.
4. (...)
5. (...)
|
Art. 15
1. Les États membres reconnaissent à toute personne le droit de ne pas être soumise à une décision produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité, tels que son rendement professionnel, son crédit, sa fiabilité, son comportement, etc.
2. Les États membres prévoient, sous réserve des autres dispositions de la présente directive, qu'une personne peut être soumise à une décision telle que celle visée au paragraphe 1 si une telle décision:
a) est prise dans le cadre de la conclusion ou de l'exécution d'un contrat, à condition que la demande de conclusion ou d'exécution du contrat, introduite par la personne concernée, ait été satisfaite ou que des mesures appropriées, telles que la possibilité de faire valoir son point de vue, garantissent la sauvegarde de son intérêt légitime
ou
b) est autorisée par une loi qui précise les mesures garantissant la sauvegarde de l'intérêt légitime de la personne concernée.
|
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
Art. 47
Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018
Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.
Aucune décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel, y compris le profilage, à l'exception :
1° Des cas mentionnés aux a et c du 2 de l'article 22 du règlement (UE) 2016/679 du 27 avril 2016, sous les réserves mentionnées au 3 du même article 22 et à condition que les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en œuvre soient communiquées, à l'exception des secrets protégés par la loi, par le responsable de traitement à l'intéressé s'il en fait la demande ;
2° Des décisions administratives individuelles prises dans le respect de l'article L. 311-3-1 et du chapitre Ier du titre Ier du livre IV du code des relations entre le public et l'administration, à condition que le traitement ne porte pas sur des données mentionnées au I de l'article 6 de la présente loi. Ces décisions comportent, à peine de nullité, la mention explicite prévue à l'article L. 311-3-1 du code des relations entre le public et l'administration. Pour ces décisions, le responsable de traitement s'assure de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard.
Par dérogation au 2° du présent article, aucune décision par laquelle l'administration se prononce sur un recours administratif mentionné au titre Ier du livre IV du code des relations entre le public et l'administration ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel.
|
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
Art. 10
Version initiale
Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.
Aucune autre décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité.
Ne sont pas regardées comme prises sur le seul fondement d'un traitement automatisé les décisions prises dans le cadre de la conclusion ou de l'exécution d'un contrat et pour lesquelles la personne concernée a été mise à même de présenter ses observations, ni celles satisfaisant les demandes de la personne concernée.
Art. 10
Modifié par la loi n°2018-493 du 20 juin 2018
Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.
Aucune décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel, y compris le profilage, à l'exception :
1° Des cas mentionnés aux a et c du 2 de l'article 22 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, sous les réserves mentionnées au 3 du même article 22 et à condition que les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en œuvre soient communiquées, à l'exception des secrets protégés par la loi, par le responsable de traitement à l'intéressé s'il en fait la demande ;
2° Des décisions administratives individuelles prises dans le respect de l'article L. 311-3-1 et du chapitre Ier du titre Ier du livre IV du code des relations entre le public et l'administration, à condition que le traitement ne porte pas sur des données mentionnées au I de l'article 8 de la présente loi. Ces décisions comportent, à peine de nullité, la mention explicite prévue à l'article L. 311-3-1 du code des relations entre le public et l'administration. Pour ces décisions, le responsable de traitement s'assure de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard.
Par dérogation au 2° du présent article, aucune décision par laquelle l'administration se prononce sur un recours administratif mentionné au titre Ier du livre IV du code des relations entre le public et l'administration ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel.
NOTA :
Conformément à l'article 37 de la loi n° 2018-493 du 20 juin 2018, la seconde phrase du 2° de l'article 10 de la loi n° 78-17 du 6 janvier 1978 dans sa rédaction résultant de l'article 21 de ladite loi, entre en vigueur le 1er juillet 2020.
|