Les décisions automatisées : ce que disent les lois sur les algorithmes qui décident pour vous

décision automatisée

Dans un monde où les algorithmes prennent de plus en plus de décisions à la place des êtres humains, vous êtes-vous déjà demandé si vous pouviez vraiment tout laisser entre les mains d’un programme informatique ? Crédit, embauche, prestations sociales… Ces décisions automatisées prises sans aucune intervention humaine peuvent parfois être biaisées ou erronées. 

Dans cet article, découvrez ce que sont ces décisions automatisées, les risques qu’elles comportent et les garanties mises en place pour éviter les dérives. Vous allez tout savoir pour ne pas laisser votre avenir entre les mains d’un algorithme.

Qu’est-ce-qu’une décision entièrement automatisée ?

Il s’agit d’une décision prise sans aucune intervention humaine, uniquement grâce à une machine ayant analysé des données personnelles.

C’est le cas lorsqu’après avoir rentré vos informations personnelles, un algorithme, une formule mathématique, un programme informatique ou tout autre moyen technologique décide, sans intervention humaine, si vous avez le droit par exemple, à un crédit, une prestation sociale, une prime, une embauche ou un contrat.

En revanche, si un être humain examine et tient compte d’autres facteurs dans la prise de décision finale, alors il ne s’agit pas d’une décision individuelle automatisée puisqu’elle n’est pas fondée exclusivement sur un traitement automatisé. 

Quels sont les risques des décisions entièrement automatisées ?

La prise de décisions complètement automatisée sans intervention humaine peut présenter des erreurs ou des biais dans les données ou dans le processus décisionnel, entraînant des classifications incorrectes, des évaluations imprécises ou des discriminations. 

C’est ainsi que l’article 22 du RGPD vient encadrer cette pratique pour protéger les personnes concernées contre ces risques.

Le droit de ne pas faire l’objet d’une décision individuelle automatisée

L’article 22 du RGPD pose le principe d’une interdiction générale pour une personne d’être l’objet d’une décision fondée exclusivement sur un traitement automatisé.

Le paragraphe 1 de cet article rappelle qu’une personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.

De quelles décisions parle-t-on ?

L’article 22, paragraphe 1 du RGPD précise que les décisions individuelles automatisées sont celles :

a) fondées exclusivement sur un traitement automatisé. Ce qui signifie qu’il n’y a pas d’intervention humaine dans le processus de décision. 

et

b) produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire. 

Il s’agirait donc de décisions de nature à :

  • affecter les droits juridiques d’une personne, comme la liberté de s’associer avec d’autres personnes, de voter, d’intenter une action en justice
  • affecter son statut juridique
  • affecter ses droits en vertu d’un contrat
  • affecter sa situation (financière, accès aux services de santé, à l’éducation, à l’emploi, etc.), son comportement ou ses choix de manière significative
  • avoir un impact prolongé ou permanent sur une personne concernée
  • entraîner l’exclusion ou la discrimination de la personne concernée
décisions automatisées

Des exemples concrets de décisions individuelles automatisées 

Voici quelques illustrations de décisions individuelles entièrement automatisées et pouvant produire des effets juridiques à l’égard d’une personne ou l’impacter de manière significative de façon similaire :

  • le refus de conclusion ou l’annulation automatique d’un contrat
  • le refus de prolongation d’un contrat fondé sur l’évaluation automatique d’un profil de solvabilité (CJUE, 27 février 2025, affaire C-203/22, Dun & Bradstreet Austria, EU:C:2025:117
  • le refus automatique de l’allocation familiale
  • le refus automatique de l’allocation de logement
  • le refus automatique de toute autre prestation sociale
  • le refus automatique de citoyenneté
  • le refus automatique d’admission dans un pays
  • le rejet automatique d’un crédit 
  • le refus d’une demande de prêt fondé sur l’attribution automatique d’un score (CJUE, 7 décembre 2023, affaire C-634/21, SCHUFA Holding e.a. (Scoring), EU:C:2023:957)
  • le refus automatique d’une candidature
  • le refus automatique d’admission à l’université 
  • l’absence automatique d’une prime
  • la hausse automatique du prix d’un service
  • l’application d’une amende pour excès de vitesse sur la seule base des images capturées par un radar
  • etc.

Les cas dans lesquels les décisions automatisées sont autorisées

La prise de décision fondée exclusivement sur un traitement automatisé peut être nécessaire :

  • pour le traitement contractuel ou précontractuel

En effet, dans certains cas, la quantité de données traitées ne permet pas une intervention humaine. Ce peut être le cas notamment lorsqu’un recruteur reçoit un nombre élevé de candidatures pour un poste et que le traitement entièrement automatisé lui permet de faire un tri et de sélectionner les candidats qu’il rencontrera par la suite. 

  • si le droit de l’Union ou de l’Etat membre en autorisait l’utilisation, notamment pour les besoins de contrôle et de prévention des fraudres et de l’évasion fiscale ou de sécurité et de fiabilité des services d’un responsable de traitement

  • dans le cas d’un consentement explicite de la personne concernée

Lorsque cela est autorisé, quelles sont les garanties à respecter ?

Dans les cas où les décisions individuelles automatisées sont autorisées, des garanties appropriées sont mises en place pour sauvegarder les droits et libertés et les intérêts légitimes.

Tout d’abord, la personne concernée a le droit de savoir qu’elle a été l’objet d’une prise de décision complètement automatisée. Le responsable de traitement est tenu de l’informer qu’elle a fait l’objet d’une telle décision.

Ensuite, la personne concernée peut demander des informations utiles afin de comprendre la logique sous-jacente à cette prise de décision automatisée, et d’en mesurer l’importance et les conséquences de ce traitement.

Le responsable de traitement doit alors être en mesure de vous communiquer des informations claires, intelligibles et pertinentes afin que vous puissiez comprendre le raisonnement et les critères utilisés pour cette prise de décision automatisée.

Ces informations devront vous être transmises d’une façon concise, transparente, compréhensible et aisément accessible, et sont à articuler pour le responsable de traitement avec les secrets d’affaires.

Par ailleurs, la personne concernée a également la possibilité d’obtenir une intervention humaine afin de réexaminer sa situation. Tout examen doit être réalisé par une personne qui a l’autorité et la compétence appropriées pour modifier la décision. La situation doit être évaluée de manière approfondie selon toutes les données pertinentes, y compris toute information supplémentaire fournie par la personne concernée.

Enfin, la personne concernée doit être en mesure d’exprimer son point de vue et de contester cette décision automatisée. Le responsable de traitement doit lui fournir un moyen simple d’exercer ces droits.

Les traitements automatisés impliquant des données sensibles (l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, biométriques, de santé, la vie sexuelle ou l’orientation sexuelle) sont strictement encadrés et nécessitent des garanties renforcées.

En cas de manquement, quelles sont les sanctions pour les responsables de traitement ?

Une violation des droits reconnus par l’article 22 du RGPD expose le responsable de traitement à des amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise, le montant le plus élevé étant retenu. 

Le RGPD établit un cadre de garanties afin de limiter les risques associés aux décisions individuelles automatisées et d’en prévenir les dérives. Et, à mesure que l’usage des algorithmes se généralise dans tous les secteurs, il est crucial de maintenir un équilibre entre l’innovation technologique et la protection des droits et libertés des personnes concernées.

Me contacter

D'autres articles à ne pas manquer...