Article 22 RGPD : décision automatisée et profilage

L’Art. 22 du RGPD est devenu, depuis l’arrêt SCHUFA de la CJUE (C-634/21, 7 décembre 2023), la disposition centrale pour qualifier juridiquement les décisions algorithmiques. Mal lu, il passe pour un texte rare, presque théorique. Bien lu, il s’applique à la grande majorité des cas d’usage de l’IA en entreprise — scoring crédit, tri de CV, détection de fraude, modération de contenu, pricing dynamique. Et son non-respect engage les sanctions du plafond haut, jusqu’à 20 M€ ou 4 % du chiffre d’affaires mondial (Art. 83(5)(b)).

Ce que dit l’article 22 du RGPD

L’Art. 22 s’intitule « Décision individuelle automatisée, y compris le profilage ». Il est composé de quatre paragraphes qui se lisent ensemble. Sa structure :

• l’Art. 22(1) pose un droit pour la personne concernée de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou similaires significatifs ;
• l’Art. 22(2) liste les trois exceptions qui permettent de déroger à ce droit : nécessité contractuelle, autorisation légale, consentement explicite ;
• l’Art. 22(3) impose des garanties minimales (intervention humaine, expression du point de vue, contestation) dans deux des trois cas d’exception ;
• l’Art. 22(4) interdit en principe l’usage de données sensibles (Art. 9) dans une décision automatisée, sauf base spécifique.

La lecture de l’Art. 22 ne se conçoit pas isolément. Elle suppose celle de l’Art. 4 (définition du profilage), de l’Art. 13 et l’Art. 15 (information sur la logique sous-jacente), de l’Art. 9 (données sensibles) et de l’Art. 35 (AIPD obligatoire pour les décisions automatisées à effets significatifs).

Art. 22(1) : le droit de ne pas faire l’objet d’une décision automatisée

Le premier paragraphe pose la règle de principe : « La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. »

Un droit ou une interdiction ?

La rédaction du texte parle d’un « droit » — ce qui pourrait laisser penser qu’il s’agit d’une faculté à activer par la personne. La CJUE a tranché clairement la question dans l’arrêt SCHUFA (C-634/21) : l’Art. 22(1) pose une interdiction de principe que le responsable de traitement doit respecter d’office, sans attendre une réclamation. C’est l’interprétation que les CG29 puis le CEPD avaient déjà retenue dans les Lignes directrices WP251rev.01 (octobre 2017, endossées par le CEPD le 25 mai 2018).

Conséquence pratique : un responsable de traitement qui déploie un système de décision automatisée doit par défaut justifier qu’il relève d’une des exceptions de l’Art. 22(2). Sinon, le système est illicite, peu importe que personne ne se soit plaint.

Trois conditions cumulatives à remplir

Pour que l’Art. 22(1) s’applique, trois éléments doivent être réunis. Si l’un manque, la disposition n’est pas applicable — mais d’autres règles du RGPD restent pertinentes (Art. 5, 6, 13).

Première condition : une décision. Le texte vise une « décision » au sens d’un acte juridique ou d’un effet matériel concret affectant la personne. Un simple traitement statistique ou un calcul intermédiaire n’est pas une décision. En revanche, un score qui conditionne mécaniquement l’octroi d’un crédit, l’embauche, ou l’accès à un service en est une.

Deuxième condition : exclusivement automatisée. C’est ici que la pratique se complique. La présence d’un être humain dans la boucle ne suffit pas : encore faut-il qu’il dispose d’un véritable pouvoir d’appréciation. Le CEPD précise dans WP251 que l’intervention humaine doit être « significative » — un opérateur qui appose mécaniquement sa signature sur la décision algorithmique sans pouvoir réellement la modifier ne « sort » pas le traitement de l’Art. 22. La CJUE l’a confirmé dans l’arrêt CK v. Magistrat der Stadt Wien (C-203/22, 27 février 2025) en exigeant que l’humain « contribue de manière effective » à la décision finale.

Troisième condition : effets juridiques ou effets significatifs similaires. Les effets juridiques englobent par exemple le refus d’un contrat, la résiliation, la sanction, l’attribution d’un droit social. Les « effets similaires significatifs » sont une catégorie ouverte que le CEPD interprète largement : tarification différenciée, ciblage publicitaire intrusif, refus d’accès à un service en ligne, modération automatique de contenu avec suspension de compte. La SCHUFA a ainsi qualifié le calcul d’un score de solvabilité, avant même la décision d’octroi du crédit, comme tombant sous l’Art. 22(1) dès lors que ce score « joue un rôle déterminant » dans la décision finale du tiers.

Le profilage, mentionné expressément

Le texte précise « y compris le profilage ». La définition du profilage figure à l’Art. 4(4) : « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique ». Tout profilage n’est pas concerné — seul l’est celui qui débouche sur une décision aux effets significatifs. Mais l’éventail des cas est large : score de solvabilité, score de risque assurance, score de churn, score d’employabilité, score de risque de fraude, ranking de candidat.

Art. 22(2) : les trois exceptions

Le second paragraphe ouvre trois portes — et trois seulement. Hors ces cas, le système de décision automatisée ne peut pas être déployé.

Exception (a) : nécessaire à un contrat

L’Art. 22(2)(a) autorise la décision automatisée si elle « est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ». L’exigence de nécessité est lourde : il ne suffit pas que l’automatisation soit utile ou efficace, il faut qu’elle soit indispensable.

Le CEPD invite à un test strict : existe-t-il une alternative humaine raisonnable permettant le même résultat ? Si oui, l’automatisation n’est pas « nécessaire ». Concrètement, cela disqualifie souvent les arguments d’efficience opérationnelle. Un éditeur de SaaS ne peut pas justifier un refus automatique d’inscription par la simple commodité.

L’exception (a) est typiquement utilisable pour le scoring crédit en temps réel pour les achats e-commerce de faible montant, le calcul automatique de prime d’assurance, l’évaluation initiale d’une candidature dans un processus de recrutement à très haut volume — toujours sous réserve que les garanties de l’Art. 22(3) soient mises en place.

Exception (b) : autorisée par le droit

L’Art. 22(2)(b) permet la décision automatisée lorsqu’elle est « autorisée par le droit de l’Union ou le droit de l’État membre » et que ce droit prévoit « également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ».

En droit français, cette base couvre notamment :

• les décisions administratives individuelles automatisées prévues par l’article L. 311-3-1 du Code des relations entre le public et l’administration (CRPA), encadrées par la loi pour une République numérique de 2016 ;
• certains traitements de lutte contre la fraude fiscale (datamining DGFIP) ;
• le profilage prédictif autorisé par certains textes sectoriels (LCB-FT, KYC).

Hors ces hypothèses, l’exception (b) n’est pas disponible. L’invoquer pour un traitement qui ne relève pas d’un texte précis l’autorisant est une faute de qualification que la CNIL relève fréquemment en contrôle.

Exception © : consentement explicite

L’Art. 22(2)© autorise enfin la décision automatisée si elle « est fondée sur le consentement explicite de la personne concernée ». Le mot « explicite » est crucial : il ne s’agit pas d’un consentement implicite ou présumé. Les conditions cumulatives sont celles de l’Art. 7 RGPD, renforcées par l’exigence d’expression formelle (case à cocher dédiée, déclaration écrite, action positive non équivoque).

En pratique, le consentement reste la base la moins fragile pour les décisions automatisées dans les services digitaux à haute valeur (services financiers, santé numérique, recrutement assisté). Mais il doit être séparable : la personne doit pouvoir refuser la décision automatisée et bénéficier d’un parcours alternatif sans préjudice. Sans cette alternative, le consentement n’est pas libre, et l’exception © tombe.

Art. 22(3) : les garanties minimales

L’Art. 22(3) précise que dans les cas (a) et © — contrat et consentement — le responsable de traitement « met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision ».

Trois droits opérationnels donc, à organiser :

1. Le droit à l’intervention humaine. Sur demande, la décision automatisée doit pouvoir être réexaminée par un agent humain qui dispose d’un véritable pouvoir de remise en cause. C’est la conséquence directe de la jurisprudence CK v. Wien : un humain « marionnette » ne suffit pas. Il faut documenter la qualification, la formation et le pouvoir d’appréciation de l’agent.

2. Le droit d’exprimer son point de vue. La personne doit pouvoir apporter des éléments contextuels (situation particulière, contestation des données utilisées, erreur factuelle) que l’algorithme n’a pas pu prendre en compte. Cela suppose un canal de communication clair et accessible.

3. Le droit de contester la décision. La contestation doit pouvoir aboutir à une révision substantielle, motivée, écrite. Une réponse standardisée « le système a tranché » ne satisfait pas le texte. L’absence de motivation est une faute autonome que la CNIL sanctionne — voir la délibération SAN-2023-013 (Doctissimo) où la difficulté à contester le traitement a pesé dans la sanction.

Ces garanties s’articulent avec les obligations d’information de l’Art. 13(2)(f) et d’accès de l’Art. 15(1)(h) : la personne doit être informée dès la collecte de l’existence de la prise de décision automatisée, recevoir « des informations utiles concernant la logique sous-jacente », ainsi que l’importance et les conséquences prévues d’un tel traitement. La CJUE a précisé dans CK v. Wien (C-203/22) que ces « informations utiles » doivent permettre à la personne « de comprendre et de contester » la décision — ce qui exclut le simple renvoi à une politique générique.

Art. 22(4) : la barrière des données sensibles

Le quatrième paragraphe pose une règle d’interdiction : « Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l’article 9, paragraphe 1, à moins que l’article 9, paragraphe 2, point a) ou g), ne s’applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place. »

Concrètement, une décision automatisée qui s’appuie sur des données de santé, des données biométriques d’identification, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l’appartenance syndicale, la vie sexuelle ou l’orientation sexuelle est interdite par principe. Elle ne peut être déployée que si :

• la personne a donné un consentement explicite au sens de l’Art. 9(2)(a) — formel, ciblé, séparable ;
• ou un motif d’intérêt public important au sens de l’Art. 9(2)(g) est prévu par un texte qui prévoit des mesures appropriées.

Les autres bases de l’Art. 9(2) (b à f, h à j) ne suffisent pas pour une décision automatisée portant sur ces catégories. Cette restriction est régulièrement oubliée par les éditeurs de solutions de tri de candidatures qui, dès lors qu’ils incluent des critères de santé (handicap, congé maladie), de données syndicales ou ethniques, sortent du cadre de l’Art. 22 et tombent sous l’Art. 22(4).

Pour mémoire, l’Art. 9(2)© (intérêt vital) ou (h) (médecine préventive) ne sont pas repris par l’Art. 22(4) — ce qui signifie que même des traitements médicaux légitimes ne peuvent fonder une décision automatisée sans consentement explicite ou texte d’intérêt public général.

Articulation avec l’AI Act

Depuis l’entrée en vigueur progressive du règlement IA (UE 2024/1689), l’Art. 22 RGPD ne vit plus seul. Il s’articule en deux niveaux :

• l’AI Act définit les obligations de gouvernance, transparence, gestion des risques applicables aux fournisseurs et déployeurs de systèmes d’IA — en particulier ceux classés à haut risque (annexe III) qui couvrent justement le scoring crédit, le recrutement, les services publics essentiels, l’éducation ;
• le RGPD Art. 22 continue de régir le rapport individuel entre le système d’IA et la personne concernée — droit de ne pas être soumis, garanties, données sensibles.

Les deux régimes se complètent : un système conforme à l’AI Act n’est pas automatiquement conforme à l’Art. 22, et inversement. Les responsables de traitement déployant des systèmes d’IA pour la prise de décision doivent organiser une double conformité. C’est ce double niveau que je détaille dans mes guides conformité IA et RGPD, IA et recrutement et IA et banque-assurance.

L’AIPD : presque toujours obligatoire

L’Art. 35(3)(a) RGPD impose une analyse d’impact (AIPD) pour « l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ».

Autrement dit, dès qu’un traitement relève de l’Art. 22(1), l’AIPD est de droit. La CNIL l’a confirmé dans sa liste des traitements obligatoirement soumis à AIPD (délibération 2018-327, complétée). Cette AIPD doit notamment décrire la logique algorithmique, mesurer le risque pour la personne, documenter les garanties — c’est elle qui sert de socle probatoire en cas de contrôle. Voir mon guide AIPD pratique.

Cas pratiques rapides

Tri automatique de CV. Une plateforme de recrutement utilise un algorithme qui rejette mécaniquement 80 % des candidats avant qu’un recruteur n’examine la pile restante. Art. 22(1) applicable (effet significatif), exception (a) ou © à mobiliser, garanties Art. 22(3) à organiser, AIPD obligatoire. Si l’algorithme intègre des données de santé (ex. inactivité prolongée), Art. 22(4) verrouille l’usage.

Scoring crédit en temps réel. Un acteur du e-commerce refuse l’achat fractionné lorsque le score est insuffisant. Art. 22(1) applicable (CJUE SCHUFA), exception (a) recevable sous réserve de nécessité et de garanties. La CNIL veille à ce que l’information et la possibilité d’intervention humaine soient effectives, pas symboliques.

Modération automatisée de contenu. Un réseau social suspend un compte sur signal algorithmique. Effet significatif établi. Le DSA (règlement Services numériques) et l’Art. 22 RGPD s’appliquent cumulativement. Le droit à l’examen humain et à la contestation est désormais non négociable.

Détection de fraude bancaire. Un score de risque déclenche un blocage de transaction. Si le blocage est définitif et opéré sans intervention humaine, Art. 22(1) applicable. L’exception (b) (LCB-FT) peut être mobilisée mais doit être documentée par un texte précis.

Ce qu’il faut retenir

• L’Art. 22(1) pose une interdiction de principe des décisions automatisées à effets significatifs — confirmée par la CJUE dans SCHUFA (C-634/21).
• Trois exceptions seulement : nécessité contractuelle, autorisation légale, consentement explicite. Hors ces cas, le système est illicite.
• L’intervention humaine doit être significative : un humain qui valide mécaniquement ne fait pas sortir le traitement de l’Art. 22 (CJUE CK v. Wien C-203/22).
• Les données sensibles (Art. 9) ne peuvent fonder une décision automatisée que sur consentement explicite ou intérêt public important — les autres bases de l’Art. 9(2) ne suffisent pas.
• Toute décision automatisée à effets significatifs déclenche une AIPD obligatoire au titre de l’Art. 35(3)(a) — non négociable.
• Sanction encourue : plafond haut, jusqu’à 20 M€ ou 4 % du chiffre d’affaires mondial (Art. 83(5)(b)).

FAQ

Toute décision prise par un algorithme tombe-t-elle sous l’Art. 22 ?

Non. L’Art. 22(1) n’est applicable que si trois conditions sont réunies : décision (acte juridique ou effet concret), exclusivement automatisée (sans intervention humaine significative), produisant des effets juridiques ou similaires significatifs. Un calcul statistique, une recommandation non décisionnelle, une assistance à la décision humaine effective ne relèvent pas de l’Art. 22 — mais restent soumis aux Art. 5, 6, 13 et 35 du RGPD.

Une intervention humaine purement formelle suffit-elle à éviter l’Art. 22 ?

Non. La CJUE a tranché dans l’arrêt CK v. Magistrat der Stadt Wien (C-203/22, 27 février 2025) : l’humain doit « contribuer de manière effective » à la décision. Un opérateur qui valide mécaniquement la sortie de l’algorithme sans pouvoir réel d’appréciation ne fait pas sortir le traitement du champ de l’Art. 22. Cette qualification est régulièrement vérifiée par la CNIL en contrôle.

Le calcul d’un score de crédit est-il une décision automatisée au sens de l’Art. 22 ?

Oui, depuis l’arrêt SCHUFA de la CJUE (C-634/21, 7 décembre 2023). Dès lors que le score « joue un rôle déterminant » dans la décision finale prise par un tiers (banque, assureur, e-commerçant), le scoring lui-même est qualifié de décision automatisée au sens de l’Art. 22(1). Cette interprétation extensive a élargi considérablement le champ d’application du texte aux acteurs qui produisent des scores prédictifs.

Faut-il toujours faire une AIPD pour un système relevant de l’Art. 22 ?

Oui. L’Art. 35(3)(a) impose explicitement une analyse d’impact pour les traitements fondés sur un traitement automatisé donnant lieu à des décisions produisant des effets juridiques ou similaires significatifs. La CNIL a inscrit ces traitements dans sa liste obligatoire (délibération 2018-327). L’AIPD doit décrire la logique algorithmique, mesurer le risque, documenter les garanties — elle constitue la pièce probatoire centrale en cas de contrôle ou de plainte.

Quelle articulation entre l’Art. 22 RGPD et l’AI Act ?

Les deux régimes se cumulent. L’AI Act (UE 2024/1689) impose des obligations de gouvernance, de transparence et de gestion des risques aux fournisseurs et déployeurs de systèmes d’IA, en particulier les systèmes à haut risque listés à l’annexe III. L’Art. 22 RGPD continue de régir le rapport individuel entre le système et la personne concernée. Une conformité AI Act ne dispense pas de l’Art. 22, et inversement : les responsables de traitement doivent organiser une double conformité.

---

Vous déployez ou auditez un système de décision automatisée et souhaitez sécuriser sa conformité Art. 22 + AI Act ? Inscrivez-vous à ma newsletter : chaque semaine, j’analyse les décisions CNIL, la jurisprudence CJUE et les actualités IA Act qui touchent directement les responsables de traitement et les DPO.