Art. 22 RGPD - décisions automatisées et profilage : tout comprendre et anticiper

Qu'est-ce que l'art. 22 RGPD : définition juridique précise

L'art. 22 RGPD consacre le droit pour toute personne concernée de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire. Ce texte, issu du Règlement (UE) 2016/679 du 27 avril 2016, pose un seuil de protection fondamental face à l'automatisation croissante des décisions.

La notion de décision automatisée désigne tout processus visant à prendre une décision par des moyens automatisés sans aucune intervention humaine. Ces décisions peuvent reposer sur des données factuelles, des profils créés numériquement ou des données déduites. Par exemple, un test d'aptitude utilisé pour le recrutement employant des algorithmes et des critères préprogrammés relève de cette catégorie.

Le profilage, défini à l'article 4 du RGPD, consiste en tout traitement automatisé reposant sur des données personnelles dans le but d'évaluer des aspects personnels relatifs à la personne, d'analyser et de prédire des aspects concernant son comportement, ses intérêts ou ses déplacements. L'utilisation de l'apprentissage automatique pour prédire la santé des patients ou la probabilité de réussite d'un traitement médical constitue un exemple typique.

Il convient de distinguer clairement profilage et décision automatisée. Bien que souvent associées, ces notions ne sont pas systématiquement corrélées. Une décision peut être prise sans recourir à un processus de profilage, et inversement, le profilage ne conduit pas nécessairement à une décision automatisée. Cette distinction s'avère cruciale pour déterminer l'applicabilité de l'art. 22 RGPD.

L'article vise spécifiquement les décisions entièrement automatisées produisant un effet juridique ou affectant significativement la personne. Selon la jurisprudence de la CJUE, la production d'un score relève de l'art. 22 RGPD dès lors qu'il exerce une influence déterminante sur la décision finale, qu'il s'agisse de tarification, de refus ou d'exclusions.

Origine et évolution du cadre légal applicable

L'art. 22 RGPD s'inscrit dans une architecture normative européenne et française structurée autour de plusieurs textes complémentaires. Le Règlement (UE) 2016/679 du 27 avril 2016 constitue le socle de référence, complété par les articles 15 et 4 du même règlement qui définissent respectivement le droit d'accès et les notions clés.

En droit français, l'article 95 de la loi du 20 juin 2018 transpose cette protection en posant qu'aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé destiné à évaluer les traits de sa personnalité. Cette disposition constitue une interdiction de principe du profilage comme fondement exclusif du jugement.

La Directive (UE) 2016/680, dite directive « Police-Justice », renforce l'encadrement pour les données sensibles dans le traitement pénal. L'article 47 de la loi française de transposition reprend cette logique protectrice en cohérence avec l'article 95.

Plus récemment, le Règlement européen sur l'Intelligence Artificielle (AI Act) a introduit à son article 5 une interdiction de mise sur le marché ou d'utilisation de systèmes d'IA pour évaluer le risque d'infraction pénale uniquement sur la base du profilage ou de l'évaluation de traits de personnalité. Cette évolution témoigne d'une vigilance accrue face aux risques discriminatoires et déterministes de l'IA.

Les autorités de contrôle nationales jouent un rôle structurant dans l'application de l'art. 22 RGPD. La CNIL a ainsi prononcé la délibération SAN-2023-021 du 27 décembre 2023 et, en janvier 2026, une sanction de 42 millions d'euros à l'encontre de Free pour violation du RGPD. En Belgique, la Chambre Contentieuse a rendu les décisions 06/2026 et 07/2026 du 26 janvier 2026, rappelant les obligations découlant des articles 15 à 22 du RGPD.

Finalité pratique : pourquoi l'art. 22 RGPD protège-t-il les personnes ?

L'art. 22 RGPD répond à une nécessité concrète : préserver l'autonomie décisionnelle et la dignité des personnes face à l'automatisation. Le profilage est souvent invisible pour les individus, qui peuvent ne pas s'attendre à ce que leurs données soient traitées de cette manière et ne pas saisir le fonctionnement du processus.

Les décisions prises peuvent entraîner des conséquences négatives importantes pour certaines personnes. En effet, les résultats émis ne constituent que des hypothèses sur le comportement, avec une marge d'erreur systématique. Un refus de couverture assurantielle sans intervention humaine, un scoring automatisé en recrutement ou une tarification personnalisée par algorithme peuvent affecter durablement la situation professionnelle, financière ou sociale d'une personne.

D'un point de vue cognitif, les recherches en psychologie démontrent que même lorsque les décideurs affirment conserver leur libre arbitre, un score algorithmique agit comme un puissant biais d'ancrage. L'affaire COMPAS aux États-Unis a illustré ce phénomène : un code couleur rouge ou un score de 10/10 crée une présomption difficile à combattre, même pour un juge expérimenté.

L'IA reproduit et exacerbe les biais cognitifs et raciaux existants dans les données d'entraînement. Les algorithmes d'évaluation du risque, censés aider, n'améliorent pas nécessairement l'exactitude du jugement humain et peuvent aggraver les inégalités. La recherche effrénée de prévention du risque via l'IA fait craindre l'émergence de pensées déterministes qui, en figeant l'individu dans une probabilité statistique, tendent à nier le libre arbitre.

En outre, ce déterminisme entre en conflit direct avec le principe constitutionnel d'individualisation de la peine en matière pénale. Le juge doit fonder sa décision sur des éléments objectifs et actuels tels que les efforts de réinsertion, la situation professionnelle ou le contexte familial, et non sur une prédiction statistique.

L'art. 22 RGPD vise donc à garantir qu'une intervention humaine significative demeure possible, que la personne puisse exprimer son point de vue et contester la décision, préservant ainsi sa capacité d'agir et sa dignité.

SWIM LEGAL accompagne les entreprises dans la mise en conformité de leurs traitements automatisés avec l'art. 22 RGPD. Nos avocats spécialisés en protection des données analysent vos processus décisionnels, identifient les risques juridiques et déploient les garanties appropriées pour sécuriser vos dispositifs.

Champ d'application et effets juridiques de l'art. 22 RGPD

L'art. 22 RGPD s'applique matériellement à toute décision entièrement automatisée produisant un effet juridique ou significatif pour la personne. Cette notion d'effet juridique ou significatif constitue le seuil d'applicabilité du texte.

Un effet juridique se caractérise par une incidence sur les droits, obligations ou statut juridique de la personne. Par exemple, un refus de couverture assurantielle, une résiliation de contrat ou une exclusion d'un service essentiel relèvent de cette catégorie.

Un effet significatif, sans nécessairement produire de conséquence juridique formelle, affecte sensiblement la personne de manière similaire. Une surprime, une exclusion de garantie, une réduction de couverture ou une tarification personnalisée reposant sur un scoring automatisé constituent des effets significatifs au sens de l'art. 22 RGPD.

Le seuil critique réside dans le caractère exclusivement automatisé de la décision. Un bris de glace traité automatiquement avec possibilité de recours humain reste acceptable. En revanche, un refus de couverture entièrement automatisé sans intervention humaine possible est problématique.

Les domaines particulièrement sensibles incluent le recrutement, le crédit, l'assurance, les services essentiels, ainsi que le domaine judiciaire et pénal. Dans ces secteurs, l'art. 22 RGPD impose une vigilance accrue en raison de l'impact potentiel sur la vie des personnes.

En pratique, l'article produit plusieurs effets juridiques majeurs. D'une part, il crée un droit opposable pour la personne concernée de ne pas être soumise à une telle décision. D'autre part, il impose au responsable de traitement des obligations positives d'information, de transparence et de mise en place de garanties appropriées.

Les conséquences d'une violation de l'art. 22 RGPD peuvent être lourdes. Les sanctions administratives prévues par le RGPD peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial. Pour les systèmes d'IA classés « haut risque » par l'AI Act, les sanctions peuvent aller jusqu'à 30 millions d'euros ou 6% du chiffre d'affaires mondial.

Quelles sont les exceptions à l'interdiction de principe ?

L'art. 22 RGPD pose une interdiction de principe assortie de trois exceptions strictement encadrées. Ces dérogations ne dispensent toutefois pas le responsable de traitement de mettre en place des garanties appropriées.

Première exception : la décision est autorisée par un texte légal de l'Union européenne ou d'un État membre. Cette hypothèse suppose l'existence d'une base légale explicite prévoyant le recours à une décision automatisée dans un domaine déterminé.

Deuxième exception : la décision est nécessaire dans le cadre d'un contrat entre la personne concernée et le responsable de traitement. Par exemple, une décision automatisée d'octroi de crédit peut être considérée comme nécessaire à la conclusion ou à l'exécution d'un contrat de prêt. Toutefois, des mesures appropriées doivent être mises en place pour que les droits, libertés et intérêts légitimes de la personne soient respectés.

Troisième exception : la personne a consenti explicitement à ce traitement. Même dans cette hypothèse, le responsable de traitement doit garantir des mesures appropriées protégeant les droits de la personne.

Dans les deux derniers cas, la personne doit impérativement disposer du droit d'obtenir une intervention humaine du responsable de traitement et de contester la décision. Cette garantie constitue un socle minimal non négociable.

En outre, les catégories particulières de données au sens de l'article 9 du RGPD (origine ethnique, opinions politiques, données biométriques, données de santé, etc.) ne peuvent être utilisées pour élaborer de telles décisions, sauf dans deux hypothèses : le consentement explicite de la personne ou des motifs d'intérêt public important prévus par le droit de l'Union ou d'un État membre.

Ces exceptions ne doivent pas être interprétées de manière extensive. La CNIL et les autorités européennes de protection des données rappellent régulièrement que le recours à une décision entièrement automatisée doit demeurer exceptionnel et proportionné.

Obligations du responsable de traitement au titre de l'art. 22 RGPD

Le responsable de traitement qui met en œuvre une décision automatisée ou un profilage relevant de l'art. 22 RGPD supporte plusieurs obligations cumulatives.

Première obligation : l'information de la personne concernée. Conformément aux articles 13 et 14 du RGPD, le responsable doit transmettre à la personne des informations utiles concernant l'existence d'une prise de décision automatisée ou d'un profilage, la logique sous-jacente, l'importance d'un tel traitement et les conséquences prévues pour la personne. Cette information doit être fournie de manière concise, transparente, compréhensible et aisément accessible.

Deuxième obligation : la transparence sur la logique du traitement. Lors d'une demande d'accès fondée sur l'article 15 du RGPD, le responsable doit fournir des informations utiles concernant la logique sous-jacente, l'importance et les conséquences prévues du traitement. Cette exigence impose une documentation précise des algorithmes et des critères décisionnels.

Troisième obligation : la mise en place d'une intervention humaine significative. Le responsable doit garantir que la personne concernée puisse obtenir une intervention humaine du responsable de traitement, exprimer son point de vue et contester la décision. Cette intervention ne peut être purement formelle : elle doit être réelle, qualifiée et susceptible de modifier la décision initiale.

Quatrième obligation : le respect du principe de minimisation des données. Conformément à l'article 5.1.c) du RGPD, les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire. Il est illégal de traiter des données personnelles si les finalités peuvent être atteintes sans y avoir recours.

Cinquième obligation : pour les systèmes classés « haut risque » par l'AI Act, le responsable doit assurer une transparence totale sur le fonctionnement, une traçabilité de chaque décision et une analyse d'impact sur les droits fondamentaux.

Les outils d'analyse automatisée ou algorithmique appellent une vigilance accrue. Par exemple, une enquête interne anticorruption ne saurait reposer exclusivement sur un traitement automatisé sans intervention humaine significative.

SWIM LEGAL accompagne les entreprises dans l'audit de leurs dispositifs automatisés et la mise en conformité avec l'art. 22 RGPD. Nos avocats spécialisés en protection des données conçoivent des procédures d'intervention humaine, rédigent les mentions d'information et sécurisent vos processus décisionnels.

Droits de la personne concernée face aux décisions automatisées

L'art. 22 RGPD confère à la personne concernée un ensemble de droits opposables au responsable de traitement.

Droit fondamental de non-soumission : toute personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques significatifs. Ce droit constitue le cœur de la protection offerte par l'art. 22 RGPD.

Droit à l'information : la personne doit être informée de l'existence du profilage et de ses conséquences avant que la décision ne soit prise. Cette information doit être claire, précise et accessible.

Droit à une intervention humaine : la personne peut exiger qu'une personne physique qualifiée examine la décision automatisée. Cette intervention ne peut être purement formelle : elle doit permettre une réévaluation réelle de la situation.

Droit d'expression : la personne a le droit d'exprimer son point de vue et de faire connaître sa position personnelle au responsable de traitement. Ce droit suppose l'existence d'un canal de communication effectif.

Droit de contestation : la personne peut contester la décision et obtenir une explication sur la raison de celle-ci. Le responsable de traitement doit être en mesure de justifier la logique décisionnelle et les critères appliqués.

Droit d'accès : conformément à l'article 15 du RGPD, la personne peut accéder aux informations relatives à la logique de traitement automatisé, à l'importance de celui-ci et aux conséquences prévues.

En pratique, l'exercice de ces droits suppose que le responsable de traitement ait mis en place des procédures adaptées. Les décisions 06/2026 et 07/2026 de la Chambre Contentieuse belge du 26 janvier 2026 rappellent que le responsable du traitement doit donner suite aux demandes formulées en application des articles 15 à 22 du RGPD dans les délais légaux.

Le non-respect de ces droits expose le responsable de traitement à des sanctions administratives et à des actions en responsabilité civile. La CNIL a ainsi sanctionné plusieurs organismes pour défaut de réponse aux demandes d'accès ou absence de garanties appropriées dans les processus automatisés.

Illustrations concrètes d'application de l'art. 22 RGPD

Cas n°1 : Recrutement automatisé. Une entreprise utilise un logiciel de présélection automatique de candidats reposant sur des algorithmes analysant les CV et attribuant un score de compatibilité. Si ce score détermine de manière exclusive l'admission ou le rejet d'un candidat sans aucune intervention humaine, l'art. 22 RGPD s'applique. L'entreprise doit garantir qu'un recruteur examine les candidatures, que les candidats soient informés de l'existence du traitement automatisé et puissent contester leur rejet.

Cas n°2 : Tarification assurantielle. Un assureur utilise un algorithme pour calculer automatiquement les primes d'assurance automobile en fonction du profil de conduite, de l'âge et de la localisation. Si cette tarification produit une surprime, une exclusion de garantie ou un refus de couverture de manière entièrement automatisée, l'art. 22 RGPD impose une intervention humaine significative et un droit de contestation.

Cas n°3 : Octroi de crédit. Une banque en ligne traite les demandes de crédit à la consommation via un système automatisé analysant la solvabilité du demandeur. Si le refus de crédit est prononcé exclusivement par l'algorithme sans examen humain, l'art. 22 RGPD est violé, sauf si le traitement entre dans l'une des trois exceptions et que des garanties appropriées sont mises en place.

Cas n°4 : Gestion des sinistres. Un assureur automatise le traitement des sinistres de bris de glace. Si le processus permet au client de solliciter à tout moment une intervention humaine et que la décision finale peut être contestée, l'art. 22 RGPD est respecté. En revanche, si le refus d'indemnisation est prononcé automatiquement sans possibilité de recours, le dispositif est non conforme.

Cas n°5 : Évaluation du risque de récidive. L'affaire State v. Loomis aux États-Unis illustre les enjeux de l'art. 22 RGPD en matière pénale. Le logiciel COMPAS évaluait le risque de récidive pour orienter les décisions de libération conditionnelle. Loomis a contesté que l'utilisation d'un outil dont la méthodologie restait un secret commercial violait son droit à une procédure régulière. La Cour Suprême du Wisconsin a jugé que l'utilisation du logiciel ne violait pas les droits constitutionnels, mais a imposé un avertissement écrit sur les limites et biais de l'outil. En Europe, un tel dispositif sans intervention humaine significative violerait l'art. 22 RGPD et l'article 95 de la loi française.

Ces exemples démontrent que l'art. 22 RGPD ne prohibe pas l'automatisation, mais exige que celle-ci demeure sous contrôle humain effectif lorsqu'elle produit des effets juridiques ou significatifs.

Confusions fréquentes et limites de l'art. 22 RGPD

Confusion n°1 : Profilage et décision automatisée sont synonymes. Cette confusion est fréquente. Or, le profilage consiste à analyser ou prédire des aspects personnels, tandis que la décision automatisée consiste à prendre une décision sans intervention humaine. Un profilage peut exister sans décision automatisée (par exemple, pour personnaliser une publicité), et une décision automatisée peut intervenir sans profilage (par exemple, un refus basé uniquement sur des critères factuels).

Confusion n°2 : Toute automatisation est interdite. L'art. 22 RGPD n'interdit pas l'automatisation en soi, mais uniquement les décisions exclusivement automatisées produisant des effets juridiques ou significatifs. Une décision assistée par algorithme mais validée par un humain ne relève pas de l'article 22.

Confusion n°3 : L'intervention humaine peut être purement formelle. Certains responsables de traitement considèrent qu'une simple validation humaine sans examen réel suffit. Or, la jurisprudence et les lignes directrices des autorités de contrôle exigent une intervention significative, c'est-à-dire susceptible de modifier la décision initiale.

Confusion n°4 : Le consentement suffit à légitimer toute décision automatisée. Le consentement constitue l'une des trois exceptions, mais ne dispense pas le responsable de traitement de mettre en place des garanties appropriées, notamment le droit à une intervention humaine et à la contestation.

Limite n°1 : Champ d'application restreint. L'art. 22 RGPD ne s'applique qu'aux décisions exclusivement automatisées. Dès lors qu'une intervention humaine significative existe, l'article 22 ne s'applique pas, même si d'autres obligations du RGPD demeurent (licéité, transparence, minimisation).

Limite n°2 : Difficultés probatoires. Prouver qu'une décision est exclusivement automatisée peut s'avérer complexe pour la personne concernée, notamment lorsque le responsable de traitement affirme qu'une intervention humaine a eu lieu sans en apporter la preuve.

Limite n°3 : Absence de définition précise de l'intervention humaine significative. Le RGPD et les lignes directrices ne définissent pas précisément ce qui constitue une intervention humaine significative, laissant une marge d'appréciation qui peut conduire à des pratiques hétérogènes.

Limite n°4 : Articulation avec l'AI Act. L'entrée en vigueur progressive de l'AI Act crée une superposition de régimes juridiques. Les systèmes d'IA à haut risque sont soumis à des obligations spécifiques qui complètent, sans se substituer, à celles de l'art. 22 RGPD.

Ces confusions et limites soulignent la nécessité d'une analyse juridique rigoureuse pour déterminer l'applicabilité de l'art. 22 RGPD et les garanties appropriées à mettre en œuvre.

FAQ

L'art. 22 RGPD interdit-il toute automatisation des décisions ?
Non. L'art. 22 RGPD interdit uniquement les décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs. Une décision assistée par algorithme mais validée par un humain ne relève pas de cet article.

Quelles sont les trois exceptions à l'interdiction de l'art. 22 RGPD ?
Les trois exceptions sont : la décision est autorisée par un texte légal de l'UE, elle est nécessaire dans le cadre d'un contrat, ou la personne a consenti explicitement. Dans les deux derniers cas, des garanties appropriées doivent être mises en place.

Qu'est-ce qu'une intervention humaine significative au sens de l'art. 22 RGPD ?
Une intervention humaine significative suppose qu'une personne physique qualifiée examine réellement la décision automatisée et soit en mesure de la modifier. Une validation purement formelle ne suffit pas.

Quels sont les droits de la personne concernée au titre de l'art. 22 RGPD ?
La personne dispose du droit de ne pas être soumise à une décision exclusivement automatisée, d'être informée de l'existence du traitement, d'obtenir une intervention humaine, d'exprimer son point de vue et de contester la décision.

Quelles sanctions en cas de violation de l'art. 22 RGPD ?
Les sanctions administratives peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial. Pour les systèmes d'IA à haut risque, les sanctions peuvent aller jusqu'à 30 millions d'euros ou 6% du chiffre d'affaires mondial.