Article 22
Décision individuelle automatisée, y compris le profilage

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 22 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 22 keyboard_arrow_up

(60) Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l'existence de l'opération de traitement et de ses finalités. Le responsable du traitement devrait fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées. En outre, la personne concernée devrait être informée de l'existence d'un profilage et des conséquences de celui-ci. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces données à caractère personnel et soit informée des conséquences auxquelles elle s'expose si elle ne les fournit pas. Ces informations peuvent être fournies accompagnées d'icônes normalisées afin d'offrir une bonne vue d'ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles devraient être lisibles par machine.

(71) La personne concernée devrait avoir le droit de ne pas faire l'objet d'une décision, qui peut comprendre une mesure, impliquant l'évaluation de certains aspects personnels la concernant, qui est prise sur le seul fondement d'un traitement automatisé et qui produit des effets juridiques la concernant ou qui, de façon similaire, l'affecte de manière significative, tels que le rejet automatique d'une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention humaine. Ce type de traitement inclut le "profilage" qui consiste en toute forme de traitement automatisé de données à caractère personnel visant à évaluer les aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d'intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements, dès lors qu'il produit des effets juridiques concernant la personne en question ou qu'il l'affecte de façon similaire de manière significative. Toutefois, la prise de décision fondée sur un tel traitement, y compris le profilage, devrait être permise lorsqu'elle est expressément autorisée par le droit de l'Union ou le droit d'un État membre auquel le responsable du traitement est soumis, y compris aux fins de contrôler et de prévenir les fraudes et l'évasion fiscale conformément aux règles, normes et recommandations des institutions de l'Union ou des organes de contrôle nationaux, et d'assurer la sécurité et la fiabilité d'un service fourni par le responsable du traitement, ou nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement, ou si la personne concernée a donné son consentement explicite. En tout état de cause, un traitement de ce type devrait être assorti de garanties appropriées, qui devraient comprendre une information spécifique de la personne concernée ainsi que le droit d'obtenir une intervention humaine, d'exprimer son point de vue, d'obtenir une explication quant à la décision prise à l'issue de ce type d'évaluation et de contester la décision. Cette mesure ne devrait pas concerner un enfant.
Afin d'assurer un traitement équitable et transparent à l'égard de la personne concernée, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées, le responsable du traitement devrait utiliser des procédures mathématiques ou statistiques adéquates aux fins du profilage, appliquer les mesures techniques et organisationnelles appropriées pour faire en sorte, en particulier, que les facteurs qui entraînent des erreurs dans les données à caractère personnel soient corrigés et que le risques d'erreur soit réduit au minimum, et sécuriser les données à caractère personnel d’une manière qui tienne compte des risques susceptibles de peser sur les intérêts et les droits de la personne concernée et qui prévienne, entre autres, les effets discriminatoires à l'égard des personnes physiques fondées sur la l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions, l'appartenance syndicale, le statut génétique ou l'état de santé, ou l'orientation sexuelle, ou qui se traduisent par des mesures produisant un tel effet. La prise de décision et le profilage automatisés fondés sur des catégories particulières de données à caractère personnel ne devraient être autorisés que dans des conditions spécifiques.

(72) Le profilage est soumis aux règles du présent règlement régissant le traitement des données à caractère personnel, par exemple le fondement juridique du traitement ou les principes en matière de protection des données. Le comité européen de la protection des données établi par le présent règlement (ci-après dénommé "comité") devrait pouvoir publier des directives à cet égard.

Afficher les considérants de la Directive 95/46 liés à l'article 22 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 22 keyboard_arrow_up

(41) considérant que toute personne doit pouvoir bénéficier du droit d'accès aux données la concernant qui font l'objet d'un traitement, afin de s'assurer notamment de leur exactitude et de la licéité de leur traitement; que, pour les mêmes raisons, toute personne doit en outre avoir le droit de connaître la logique qui sous-tend le traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l'article 15 paragraphe 1; que ce droit ne doit pas porter atteinte au secret des affaires ni à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel; que cela ne doit toutefois pas aboutir au refus de toute information de la personne concernée.

Le GDPR

L’article 22 du Règlement vient préciser quelque peu l’ancienne disposition de la Directive.

Il prévoit ainsi que la personne concernée a le droit de ne pas être soumise à une décision résultant exclusivement d'un traitement automatisé produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire. Il y inclut expressément le profilage, à savoir toute forme de traitement automatisé de données à caractère personnel visant à évaluer certains aspects personnels liés à une personne physique, notamment par l'analyse et la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles ou les intérêts, la fiabilité ou le comportement, ou la localisation et les déplacements (cfr la définition de l’article 4, 4) du Règlement).

Cette disposition étend cependant les exceptions possibles à l’interdiction. Outre le cas où la décision est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et le responsable du traitement, elle prévoit une exception lorsque la décision est autorisée par la législation de l'Union ou d'un État membre à laquelle le responsable du traitement; enfin, il peut être dérogé à l’interdiction lorsque la décision est fondée sur le consentement explicite de la personne concernée.

Dans les trois hypothèses, des mesures appropriées garantissant la sauvegarde des droits et des libertés ainsi que des intérêts légitimes de la personne concernée doivent être prévues soit par la loi qui admet une telle décision, soit par le responsable qui doit en outre reconnaître à la personne le droit d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision.

L’interdiction est cependant renforcée pour les décisions fondées sur un traitement de données sensibles au sens de l’article 9 §1er du Règlement qui restent interdites sauf si la personne a donné son consentement explicite au sens de l’article 9§2 (a) à moins qu’il soit exclu par le droit de l’Union ou la loi de l’État membre ou si le traitement est considéré comme nécessaire pour des raisons d’intérêt public sur le fondement du droit de l’Union ou de la loi de l’État membre (cfr. art. 9, paragraphe 2, g) qui doit alors prévoir des mesures appropriées et spécifiques de sauvegarde des intérêts légitimes de la personne. En toute hypothèse, des mesures appropriées garantissant la sauvegarde des droits et des libertés ainsi que des intérêts légitimes de la personne concernée doivent être mises en place.

 

La Directive

L’article 15 de la Directive reconnaissait déjà à toute personne le droit de ne pas être soumise à une décision produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé destiné à évaluer certains aspects de sa personnalité, tels que son rendement professionnel, son crédit, sa fiabilité, son comportement, etc. Néanmoins, des exceptions étaient prévues sous conditions dès lors que la décision était prise dans le cadre de la conclusion ou l’exécution d’un contrat ou était autorisée par une loi prévoyant des mesures de sauvegarde de l’intérêt légitime de la personne.

France

La loi Informatique et Libertés transpose en son article 10 le droit prévu à l’article 15 de la Directive, avec une extension particulière pour les décisions de justice. Cette disposition prévoit cependant deux exceptions aux termes desquelles, ne sont pas considérées comme prises sur le seul fondement d’un traitement automatisé :

- les décisions prises dans le cadre de la conclusion ou de l'exécution d'un contrat et pour lesquelles la personne concernée a été mise à même de présenter ses observations,

 - les décisions satisfaisant les demandes de la personne concernée.

Difficultés probables ?

Ce qui frappe surtout à la lecture de la nouvelle disposition, c’est que tout en élargissant les exceptions à l’interdiction, elle s’en remet à la prise de mesures de sauvegardes appropriées et/ou spécifiques qui restent non précisées. On peut certes se référer aux considérants 71 et 72 pour trouver quelques exemples (information spécifique de la personne concernée, droit d'obtenir une intervention humaine, mesures pour réduire les erreurs au maximum, l'obligation de réaliser une analyse d'impact dans certains cas, etc.), mais la marge de manœuvre des États membres et des responsables risque d’être trop étendue que pour garantir effectivement celles-ci et en tout état de cause pour les harmoniser au sein de l’Union.

Sommaire

Union Européenne

Belgique

Union Européenne

Comité européen de la protection des données (EDPB)

Guidelines on the targeting of social media users - 8/2020 (13 April 2021)

L’essor des médias sociaux représente une évolution importante de l’environnement en ligne au cours des dix dernières années. De plus en plus de personnes utilisent les médias sociaux pour rester en contact avec leur famille et leurs amis, pour se constituer un réseau professionnel ou pour créer des liens autour d’idées et d’intérêts communs. Aux fins des présentes lignes directrices, les médias sociaux sont considérés comme des plateformes en ligne qui permettent le développement de réseaux et de communautés d’utilisateurs, via lesquels des informations et des contenus sont partagés . L’une des principales caractéristiques des médias sociaux consiste à permettre aux personnes de s’inscrire en vue de créer des «comptes» ou des «profils» personnels, d’interagir les uns avec les autres en partageant du contenu produit par les utilisateurs ou autre et de créer des liens et des réseaux avec d’autres utilisateurs.

Dans le cadre de leur modèle économique, de nombreux fournisseurs de médias sociaux proposent des services de ciblage. Les services de ciblage permettent aux personnes physiques ou morales (les «cibleurs») de communiquer certains messages aux utilisateurs des médias sociaux afin de promouvoir des intérêts commerciaux, politiques ou autres . L’une des caractéristiques propres au ciblage est l’adéquation perçue entre la personne ou le groupe ciblé et le message délivré. L’hypothèse sousjacente est que plus la correspondance est bonne, plus le taux de réception (conversion) est élevé et donc, plus la campagne de ciblage est efficace (retour sur investissement).

 Les mécanismes permettant de cibler les utilisateurs de médias sociaux sont devenus de plus en plus sophistiqués au fil du temps. Les organisations peuvent désormais cibler des individus sur la base de toute une série de critères. Ces critères peuvent avoir été établis sur la base de données à caractère personnel que les utilisateurs ont activement communiquées ou partagées, telles que leur état civil. Toutefois, les critères de ciblage sont également de plus en plus établis sur la base de données à caractère personnel qui ont été observées ou déduites, soit par le fournisseur de médias sociaux, soit par des tiers, et collectées (agrégées) par la plateforme ou d’autres acteurs (p. ex. des courtiers en données) à l’appui des options de ciblage publicitaire. En d’autres termes, le ciblage des utilisateurs de médias sociaux ne consiste pas seulement à «sélectionner» les individus ou les groupes d’individus qui sont les destinataires d’un message particulier (le «public cible»), mais il s’agit plutôt d’un processus complet mené par un ensemble de parties prenantes qui aboutit à la diffusion de messages spécifiques à l’intention des individus qui disposent de comptes sur les réseaux sociaux.

La combinaison et l’analyse de données émanant de différentes sources, ainsi que la nature potentiellement sensible des données à caractère personnel traitées dans le cadre des médias sociaux5 , créent des risques pour les libertés et les droits fondamentaux des individus. Du point de vue de la protection des données, de nombreux risques sont liés à l’éventuel manque de transparence et de contrôle de l’utilisateur. Pour les individus concernés, le traitement sous-jacent des données à caractère personnel qui aboutit à l’envoi d’un message ciblé est souvent opaque. Il peut en outre supposer des utilisations non prévues ou non souhaitées de données à caractère personnel, ce qui soulève des questions non seulement en ce qui concerne la législation en matière de protection des données, mais aussi par rapport à d’autres libertés et droits fondamentaux. Récemment, le ciblage opéré par les médias sociaux a suscité un intérêt accru auprès du public et a fait l’objet d’un examen réglementaire dans le cadre du processus décisionnel et des processus électoraux démocratiques.

Link

Retour au sommaire

Groupe 29

Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 - wp251rev.01 (6 février 2018)

(Endorsed by the EDPB)

The General Data Protection Regulation (the GDPR), specifically addresses profiling and automated individual decision-making, including profiling.

Profiling and automated decision-making are used in an increasing number of sectors, both private and public. Banking and finance, healthcare, taxation, insurance, marketing and advertising are just a few examples of the fields where profiling is being carried out more regularly to aid decision-making.

Advances in technology and the capabilities of big data analytics, artificial intelligence and machine learning have made it easier to create profiles and make automated decisions with the potential to significantly impact individuals’ rights and freedoms.

The widespread availability of personal data on the internet and from Internet of Things (IoT) devices, and the ability to find correlations and create links, can allow aspects of an individual’s personality or behaviour, interests and habits to be determined, analysed and predicted.

Profiling and automated decision-making can be useful for individuals and organisations, delivering benefits such as:

  • increased efficiencies; and
  • resource savings.

They have many commercial applications, for example, they can be used to better segment markets and tailor services and products to align with individual needs. Medicine, education, healthcare and transportation can also all benefit from these processes.

However, profiling and automated decision-making can pose significant risks for individuals’ rights and freedoms which require appropriate safeguards.

These processes can be opaque. Individuals might not know that they are being profiled or understand what is involved.

Profiling can perpetuate existing stereotypes and social segregation. It can also lock a person into a specific category and restrict them to their suggested preferences. This can undermine their freedom to choose, for example, certain products or services such as books, music or newsfeeds. In some cases, profiling can lead to inaccurate predictions. In other cases it can lead to denial of services and goods and unjustified discrimination.

The GDPR introduces new provisions to address the risks arising from profiling and automated decision-making, notably, but not limited to, privacy. The purpose of these guidelines is to clarify those provisions.

This document covers:

  • Definitions of profiling and automated decision-making and the GDPR approach to these in general – Chapter II
  • General provisions on profiling and automated decision-making – Chapter III
  • Specific provisions on solely automated decision-making defined in Article 22 - Chapter IV
  • Children and profiling – Chapter V
  • Data protection impact assessments and data protection officers– Chapter VI

The Annexes provide best practice recommendations, building on the experience gained in EU Member States.

The Article 29 Data Protection Working Party (WP29) will monitor the implementation of these guidelines and may complement them with further details as appropriate.

Read the Guidelines

Retour au sommaire

Belgique

Recommandation n°01/2020 relative aux traitements de données à caractère personnel à des fins de marketing direct (17 janvier 2020)

La présente recommandation a pour objet d’aider les responsables de traitement recourant à des techniques de marketing direct (ou y participant) à acquérir les bons réflexes afin d’agir en conformité avec les règles du RGPD applicables. Elle examine dès lors les questions fréquemment posées relatives à la protection des données à caractère personnel dans le cadre du marketing direct.

La Recommandation tient également compte, le cas échéant, de la multitude d’acteurs pouvant interagir avec les responsables de traitement mais s’adresse principalement à ces derniers. La Recommandation ne se limite pas aux seules communications réalisées dans le cadre du marketing direct mais examine également l’ensemble des traitements de données à caractère personnel réalisés à cette fin et les règles qui s’y appliquent.

Les règles, concepts et principes développés dans cette Recommandation le sont sur la base du RGPD et ne tiennent pas compte d’autres législations applicables. La Recommandation n’a cependant pas non plus vocation à être une étude exhaustive du RGPD. Cela ne signifie pas que les responsables du traitement effectuant des traitements de donnés pour des finalités de marketing direct sont dispensés du respect de l’ensemble des règles qui leurs sont applicables, en ce compris celles édictées par le RGPD et qui ne font pas l’objet de l’examen fourni par cette recommandation, tel que le respect de l’ensemble des droits accordés aux personnes concernées prévus aux articles 12 à 22 du RGPD ou encore en matière de transferts internationaux tels qu’encadrés par le Chapitre V du RGPD.

Les points examinés sont illustrés par des situations propres au marketing direct. Chaque exemple n’implique pas pour autant un examen approfondi et exhaustif des différentes questions ou problèmes de conformité au RGPD.

La Recommandation fait également état de certaines sanctions adoptées par les Autorités de protection des données en la matière. Certaines de ces décisions sont toutefois susceptibles d’appel ou autres voies de recours au moment de l’adoption de la Recommandation. Ces décisions sont donc susceptibles d’être révisées, le cas échéant.

Lien

Retour au sommaire

Sommaire

Union Européenne

France

Union Européenne

Jurisprudence de la CJUE

C-634/21,  OQ contre Land Hessen (7 décembre 2023)

L’article 22, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

l’établissement automatisé, par une société fournissant des informations commerciales, d’une valeur de probabilité fondée sur des données à caractère personnel relatives à une personne et concernant la capacité de celle-ci à honorer des engagements de paiement à l’avenir constitue une « décision individuelle automatisée », au sens de cette disposition, lorsque dépend de manière déterminante de cette valeur de probabilité le fait qu’une tierce partie, à laquelle ladite valeur de probabilité est communiquée, établisse, exécute ou mette fin à une relation contractuelle avec cette personne.

Arrêt rendu

Conclusions de l'avocat général

Retour au sommaire Retour au sommaire

France

Jurisprudence française

CE Fr., n°41962 (17 juin 2019)

Si les dispositions de l'arrêté attaqué prévoient la prise en charge de la prestation de pression positive continue sur la base de forfaits différant selon l'observance du traitement, appréciée sur la base du traitement des données à caractère personnel relatives aux modalités d'utilisation du dispositif médical mis à disposition de l'assuré social, un tel traitement ne peut être regardé comme destiné à définir son profil ou à évaluer certains aspects de sa personnalité au sens du deuxième alinéa de l'article 10 de la loi n° 78-17 du 6 janvier 1978 prévoyant qu'aucune décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité.

Arrêt rendu

Retour au sommaire
Règlement
1e 2e

Art. 22

1. La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.

2. Le paragraphe 1 ne s'applique pas lorsque la décision:

a) est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement;

b) est autorisée par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou

c) est fondée sur le consentement explicite de la personne concernée.

3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en oeuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision.

4. Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l'article 9, paragraphe 1, à moins que l'article 9, paragraphe 2, point a) ou g), ne s'applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place.

Proposition 1 close

 1. Toute personne physique a le droit de ne pas être soumise à une mesure produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé destiné à évaluer certains aspects personnels propres à cette personne physique ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement.

2. Sous réserve des autres dispositions du présent règlement, une personne ne peut être soumise à une mesure telle que celle visée au paragraphe 1 que si le traitement:

a) est effectué dans le cadre de la conclusion ou de l'exécution d'un contrat, lorsque la demande de conclusion ou d’exécution du contrat, introduite par la personne concernée, a été satisfaite ou qu'ont été invoquées des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée, tels que le droit d’obtenir une intervention humaine;

ou b) est expressément autorisé par une législation de l'Union ou d'un État membre qui prévoit également des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée;

ou c) est fondé sur le consentement de la personne concernée, sous réserve des conditions énoncées à l’article 7 et de garanties appropriées.

3. Le traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à une personne physique ne saurait être exclusivement fondé sur les catégories particulières de données à caractère personnel mentionnées à l’article 9.

4. Dans les cas prévus au paragraphe 2, les informations que le responsable du traitement doit fournir en vertu de l'article 14 comportent notamment des informations relatives à l’existence du traitement pour une mesure telle que celle visée au paragraphe 1 et aux effets escomptés de ce traitement sur la personne concernée.

5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et conditions applicables aux mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée conformément au paragraphe 2.

Proposition 2 close

Aux fins du présent règlement, on entend par:

(…)

12 bis) "profilage": toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels liés à une personne physique, notamment pour analyser et prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles ou les intérêts, la fiabilité ou le comportement, ou la localisation et les déplacements;

Art. 20 Décision individuelle automatisée

1. La personne concernée a le droit de ne pas être soumise à une décision (…) résultant exclusivement d'un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière sensible .

1 bis. Le paragraphe 1 ne s'applique pas lorsque la décision: (...)

a) est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement (...);

 ou b) est (…) autorisée par la législation de l'Union ou d'un État membre à laquelle le responsable du traitement est soumis et qui prévoit également des mesures appropriées garantissant la sauvegarde des droits et des libertés ainsi que des intérêts légitimes de la personne concernée; ou c) est fondé sur le consentement explicite de la personne concernée (…).

1 ter. Dans les cas visés au paragraphe 1 bis, points a) et c), le responsable du traitement met en œuvre des mesures appropriées garantissant la sauvegarde des droits et des libertés ainsi que des intérêts légitimes de la personne concernée, et en tout état de cause du droit de la personne concernée d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision. 2. (...)

3. Les décisions visées au paragraphe 1 bis ne sauraient être (…) fondées sur les catégories particulières de données à caractère personnel mentionnées à l'article 9, paragraphe 1, à moins que l'article 9, paragraphe 2, points a) ou g), ne s'applique et que des mesures appropriées garantissant la sauvegarde des droits et des libertés ainsi que des intérêts légitimes de la personne concernée ne soient en place.

4. (...)

5. (...)

Directive close

Art. 15

1. Les États membres reconnaissent à toute personne le droit de ne pas être soumise à une décision produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité, tels que son rendement professionnel, son crédit, sa fiabilité, son comportement, etc.

2. Les États membres prévoient, sous réserve des autres dispositions de la présente directive, qu'une personne peut être soumise à une décision telle que celle visée au paragraphe 1 si une telle décision:

a) est prise dans le cadre de la conclusion ou de l'exécution d'un contrat, à condition que la demande de conclusion ou d'exécution du contrat, introduite par la personne concernée, ait été satisfaite ou que des mesures appropriées, telles que la possibilité de faire valoir son point de vue, garantissent la sauvegarde de son intérêt légitime

ou

b) est autorisée par une loi qui précise les mesures garantissant la sauvegarde de l'intérêt légitime de la personne concernée.

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 47

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.

Aucune décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel, y compris le profilage, à l'exception :

1° Des cas mentionnés aux a et c du 2 de l'article 22 du règlement (UE) 2016/679 du 27 avril 2016, sous les réserves mentionnées au 3 du même article 22 et à condition que les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en œuvre soient communiquées, à l'exception des secrets protégés par la loi, par le responsable de traitement à l'intéressé s'il en fait la demande ;

2° Des décisions administratives individuelles prises dans le respect de l'article L. 311-3-1 et du chapitre Ier du titre Ier du livre IV du code des relations entre le public et l'administration, à condition que le traitement ne porte pas sur des données mentionnées au I de l'article 6 de la présente loi. Ces décisions comportent, à peine de nullité, la mention explicite prévue à l'article L. 311-3-1 du code des relations entre le public et l'administration. Pour ces décisions, le responsable de traitement s'assure de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard.

Par dérogation au 2° du présent article, aucune décision par laquelle l'administration se prononce sur un recours administratif mentionné au titre Ier du livre IV du code des relations entre le public et l'administration ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel.

Ancienne loi close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 10

Version initiale

Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.

Aucune autre décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité.

Ne sont pas regardées comme prises sur le seul fondement d'un traitement automatisé les décisions prises dans le cadre de la conclusion ou de l'exécution d'un contrat et pour lesquelles la personne concernée a été mise à même de présenter ses observations, ni celles satisfaisant les demandes de la personne concernée.

Art. 10

Modifié par la loi n°2018-493 du 20 juin 2018

Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.

Aucune décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel, y compris le profilage, à l'exception :

1° Des cas mentionnés aux a et c du 2 de l'article 22 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, sous les réserves mentionnées au 3 du même article 22 et à condition que les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en œuvre soient communiquées, à l'exception des secrets protégés par la loi, par le responsable de traitement à l'intéressé s'il en fait la demande ;

2° Des décisions administratives individuelles prises dans le respect de l'article L. 311-3-1 et du chapitre Ier du titre Ier du livre IV du code des relations entre le public et l'administration, à condition que le traitement ne porte pas sur des données mentionnées au I de l'article 8 de la présente loi. Ces décisions comportent, à peine de nullité, la mention explicite prévue à l'article L. 311-3-1 du code des relations entre le public et l'administration. Pour ces décisions, le responsable de traitement s'assure de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard.

Par dérogation au 2° du présent article, aucune décision par laquelle l'administration se prononce sur un recours administratif mentionné au titre Ier du livre IV du code des relations entre le public et l'administration ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel.

NOTA :

Conformément à l'article 37 de la loi n° 2018-493 du 20 juin 2018, la seconde phrase du 2° de l'article 10 de la loi n° 78-17 du 6 janvier 1978 dans sa rédaction résultant de l'article 21 de ladite loi, entre en vigueur le 1er juillet 2020.

close