Article 22 du RGPD et décisions automatisées par intelligence artificielle

Le texte établit une interdiction de principe. La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques la concernant ou l'affecte de manière significative de façon similaire [1].

L'interdiction connaît trois exceptions : la décision est nécessaire à la conclusion ou à l'exécution d'un contrat ; elle est autorisée par le droit de l'UE ou d'un État membre ; elle repose sur le consentement explicite de la personne. Dans les deux premiers cas, des garanties spécifiques doivent être mises en place : intervention humaine, droit d'exprimer son point de vue, droit de contester la décision.

La qualification dépend du niveau d'intervention humaine effective. Une décision préparée par un algorithme et validée par un opérateur qui se contente de cliquer sans examen reste exclusivement automatisée au sens de l'article 22, comme l'a confirmé le Comité européen de la protection des données dans ses lignes directrices [2].

La supervision humaine effective exige que l'opérateur dispose des informations pertinentes (sources, score de confiance, raisonnement), du temps nécessaire et de l'autorité pour passer outre. Sans ces trois conditions, la qualification d'automatique reste, et l'article 22 s'applique avec ses obligations.

Cas typiquement couverts par l'article 22 : décision de crédit ou de refus de crédit fondée sur un score, décision de tarification d'assurance fondée sur un profil, décision d'embauche ou de présélection automatique de CV, décision de résiliation de contrat fondée sur un signal automatique, décision de couverture santé fondée sur un algorithme.

Cas généralement non couverts : recommandation de contenu personnalisée, segmentation marketing sans décision contractuelle, suggestion de produit dans un parcours d'achat. La frontière dépend de l'effet sur la personne. La CNIL a publié plusieurs sanctions en 2024 et 2025 qui précisent la lecture pratique de cette frontière [3].

Les deux textes se complètent. L'article 22 vise la décision automatisée du point de vue de la personne. Le Règlement européen sur l'IA vise le système IA du point de vue du fournisseur et de l'utilisateur [4]. Un système classé risque élevé selon l'annexe III du règlement (recrutement, crédit, services essentiels) se trouve simultanément sous l'article 22 du RGPD.

Les obligations s'additionnent : information préalable, supervision humaine effective, possibilité de contester, évaluation de conformité, documentation technique annexe IV, marquage CE le cas échéant. Aucune des deux obligations ne se substitue à l'autre.

Quatre éléments concrets. Premièrement, une analyse d'impact sur la protection des données (AIPD) qui qualifie la décision et documente les garanties. Deuxièmement, une information préalable de la personne lors de la collecte des données : finalité, logique sous-jacente, conséquences [5].

Troisièmement, une interface de supervision humaine effective avec sources citées et capacité de modification. Quatrièmement, un journal d'audit qui distingue les décisions confirmées, modifiées ou écartées par l'humain et qui peut être présenté à la CNIL en cas de contrôle. Sans ces quatre éléments, le risque de sanction est concret. Les amendes de la CNIL en 2024 sur des cas RGPD ont dépassé 35 millions EUR cumulés [3].