Le 25 mai 2018 est la date d’entrée en application du Règlement RGPD sur la protection des données à caractère personnel. Afin d’anticiper la bonne application du Règlement et permettre aux acteurs traitant des données à caractère personnel d’être conformes à cette nouvelle réglementation, le groupe de l’article 29 (G29), regroupant les autorités de contrôle européennes, met au point des Guidelines sur quelques points encore nébuleux du Règlement.
C’est donc par le biais des Guidelines du 3 octobre 2017 que le G29 est venu clarifier le régime des prises de décisions entièrement automatisées, sous l’angle du RGPD.
Il s’agira par exemple des prises de décisions concernant la tarification, l’octroi d’un crédit bancaire ou encore du renouvellement d’un contrat, basées uniquement sur un algorithme recoupant les données de la personne concernée, sans aucune intervention humaine.
A titre liminaire, il est à noter que le RGPD ne définit par la prise de décision automatisée mais l’envisage à l’article 22 qui dispose que « la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».
Si le G29 précise que de telles décisions sont par principe prohibées (I), le RGPD pose des exceptions permettant dans certains cas bien précis de pouvoir recourir à ces décisions (II). Afin de garantir au maximum les droits fondamentaux des personnes concernées, le RGPD a renforcé les obligations des entreprises ayant recours à ces décisions 100% automatisées.
1. L’interdiction de principe des prises de décisions entièrement automatisées
Le RGPD donne une définition large des décisions automatisées puisqu’il vise les décisions « produisant des effets juridiques pour la personne concernée ou l’affectant de manière significative de façon similaire ».
Le G29 est venu préciser ce que l’on devait entendre par « produisant des effets juridiques » ou « l’affectant de manière significative de façon similaire ».
Concernant les effets juridiques, il s’agira de toute décision ayant un impact sur les droits légalement dévolus à une personne (droit de vote par exemple) ou ayant des effets juridiques en général. Cela peut également recouvrir les droits qu’une personne peut acquérir contractuellement.
Concernant « l’affectation de manière significative de façon similaire », le G29 précise que même si la décision n’impacte pas les droits légalement dévolus à une personne, il n’en demeure pas moins qu’elle sera visée par l’article 22 si son effet à un impact similairement significatif ou équivalent. En d’autres termes, la décision en cause doit avoir une influence sur le comportement ou les choix des individus concernés. Tombent également sous le coup de l’article 22, les décisions qui peuvent conduire à l’exclusion ou à la discrimination des personnes.
Le G29 pose le principe d’une interdiction de ces traitements 100% automatisés tandis que le RGPD prévoit que les personnes concernées doivent pouvoir s’opposer à ce qu’une décision soit prise à leur encontre sur le fondement d’un traitement entièrement automatisé.
2. Les exceptions prévues par le RGPD
Trois exceptions sont prévues par l’article 22 du RGPD permettant d’autoriser, dans certains cas, la prise de décisions entièrement automatisées, ces exceptions étant reprises par le G29 :
- Le traitement est autorisé par le droit de l’Union ou par le droit de l’Etat membre auquel le responsable de traitement est soumis (1) ;
- La décision est fondée sur le consentement explicite de la personne concernée (2) ;
- La décision est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et le responsable de traitement (3).
1) La prise de décision automatisée est autorisée par le droit de l’Union ou de l’Etat du responsable de traitementCette exception vise les cas où un texte européen ou un texte du droit national du responsable de traitement envisagerait la prise de décision automatisée. Par exemple, le considérant 71 du RGPD vise les hypothèses de décisions automatisées « visant à contrôler et prévenir les fraudes et l’évasion fiscale ».
2) La décision est nécessaire à la conclusion ou à l’exécution d’un contrat
Le G29 donne des exemples de prise de décisions automatisées nécessaires à la conclusion ou à l’exécution du contrat :
- Traitement nécessaire pour réduire les risques de défaut de paiement ;
- Traitement nécessaire pour rendre des décisions plus rapidement ;
- Traitement nécessaire pour réduire les erreurs nées du facteur humain.
Le G29 précise que le responsable de traitement devra être en mesure de démontrer le caractère nécessaire de l’opération pour l’exécution ou la formation du contrat (principe d’accountability).
Par exemple, dans le cas d’un devis en ligne réalisé automatiquement sur la base d’un formulaire à remplir, le responsable de traitement peut arguer du caractère nécessairement instantané de la réponse, qui ne serait pas envisageable s’il devait recourir à une intervention humaine.
Cela amènera le responsable de traitement à mener des analyses d’impact sur de telles opérations puisque le G29 précise bien que la méthode utilisée doit être la seule possible pour arriver à la finalité envisagée. Si une autre méthode existe (à savoir avec l’intervention d’une personne humaine) et permet d’arriver à la même finalité, alors le traitement entièrement automatisée ne doit pas être mis en oeuvre.
3) Le consentement explicite
Il s’agit du cas où la personne concernée par le traitement donne son consentement explicite à la prise de décision entièrement automatisée.
Il est en effet tout à fait possible de demander aux internautes par exemple, s’ils acceptent que leur devis soit calculé de manière complètement automatisée.
Le G29 précise que le « consentement explicite » correspond à un consentement éclairé et « donné de manière expresse ».
Pour pouvoir remplir cette condition, le responsable de traitement devra recueillir le consentement de la personne concernée de manière expresse, par exemple en proposant une case à cocher lors de la collecte ou avant restitution du tarif afin de matérialiser le consentement.
- Les droits des personnes concernées
Avec le RGPD, les droits des personnes sont renforcés. Ainsi, si le responsable de traitement met en place des traitements de décisions entièrement automatisées, il lui sera nécessaire de respecter les droits des personnes faisant l’objet de ces décisions, à savoir :
- Le droit d’être informé(article 13 et 14 du RDPD) : cette information ne doit pas seulement être facilement accessible « sur demande » mais doit être directement fournie, au moment de la collecte. Ainsi le responsable de traitement doit :
- Informer la personne concernée qu’elle fait l’objet d’une décision automatisée ;
- Lui donner les informations utiles concernant la logique sous-jacente du procédé automatisé ;
- Lui expliquer l’importance et les conséquences du traitement. Le G29 précise qu’il s’agira ici d’expliquer à la personne concernée comment la décision automatisée l’impactera en lui donnant des exemples concrets des effets de la décision : par exemple il s’agira d’expliquer en toute transparence que les modalités d’un crédit sont déterminées par un score réalisé en fonction du profil de la personne.
- Lui expliquer, dès lors que le traitement n’est pas fondé sur le consentement, qu’elle a le droit de s’opposer à une décision entièrement automatisée et de demander une intervention humaine.
- Le droit d’accès (article 15 du RDPD) : personne concernée aura le droit d’avoir accès aux données personnelles traitées ainsi qu’au score qu’elle aura obtenu.
- Le droit de retirer son consentement (article 17 1. b)
- Le droit de ne pas faire l’objet d’une décision automatisée (article 22) : le responsable de traitement doit :
- Permettre à la personne d’obtenir une intervention humaine si elle le demande ;
- Permettre à la personne concernée de pouvoir contester la décision ou d’exprimer son point de vue sur cette décision.
Ainsi, pour pouvoir mettre en œuvre des traitements basés sur des décisions entièrement automatisées, il sera nécessaire de bien avoir à l’esprit les conditions de légalité d’un tel traitement, de réaliser une étude d’impact et de définir un processus conforme au RGPD pour garantir les droits des personnes concernées.
Charlotte GALICHET