L’article 4 du Règlement général sur la protection des données (RGPD) esquisse les contours du profilage, ce traitement automatisé des données personnelles visant à prédire le comportement individuel. Cependant, l’absence de définition pour une décision entièrement automatisée soulève des questions juridiques et éthiques importantes. À la croisée de ces deux notions, un récent litige allemand a mis en lumière le « credit scoring ». Exploration de cette problématique sous le prisme du RGPD.
1. Le profilage et la décision automatisée : définitions et enjeux Le profilage et la décision automatisée constituent deux piliers de la révolution technologique, notamment grâce à l’intelligence artificielle. Le profilage permet d’analyser et de prédire le comportement d’une personne sur différents aspects (performance professionnelle, situation financière, santé, etc.), tandis qu’une décision automatisée est prise sans aucune intervention humaine.
Si la Commission Nationale de l’Informatique et des Libertés (CNIL) a tenté de clarifier cette dernière notion, le RGPD ne la définit pas, suscitant des interrogations sur son cadre réglementaire. Ces processus sont omniprésents dans divers secteurs et peuvent impacter significativement la vie des individus, comme dans le cas d’un rejet automatique de crédit. L’article 22 du RGPD tente de réguler ces pratiques en imposant des règles strictes sur la prise de décision entièrement automatisée.
2. Le « credit scoring » à l’épreuve du RGPD Le « credit scoring » illustre parfaitement la rencontre entre profilage et décision automatisée. Cette méthode de scoring évalue la probabilité qu’un individu rembourse un crédit en se basant sur diverses données personnelles. Le scoring, couplé à une segmentation de la clientèle, permet une meilleure connaissance du client et une identification plus précise de ses besoins.
Cependant, les limites de ce système sont tangibles : si la CNIL permet aux individus de connaître leur score, les motifs de refus de crédit restent souvent obscurs, sauf si une discrimination interdite par la loi est mise en évidence.
3. L’article 22 du RGPD : un garde-fou pour les décisions automatisées L’article 22 du RGPD offre un droit de contestation et d’information à l’individu face à une décision entièrement automatisée. Il établit un lien entre le profilage et la décision automatisée, impliquant que le juge peut considérer le premier comme relevant du régime du second.
Cependant, l’interdiction de principe des décisions entièrement automatisées, posée par le G29 en octobre 2017, peut être levée dans certains cas, comme l’exécution d’un contrat ou le consentement explicite de la personne concernée. Ainsi, le profilage peut être soumis au régime général du RGPD si l’intérêt légitime est établi.
