Exercez vos droits - Article 22 - soyez protégé contre la prise de décision automatisée !

Saviez-vous que le GDPR protège également vos données personnelles contre une décision automatisée abusive ? Si vous pensez que cela pourrait être pertinent pour une décision qui a été prise à votre sujet (par exemple, une banque refusant un prêt hypothécaire ou votre abonnement à un club de gym), ou si vous souhaitez en savoir plus, lisez ce qui suit pour savoir comment exercer votre droit à être protégé contre la prise de décision automatisée..

Cette page est uniquement disponible en tant que traduction automatique en français. Vous pouvez toujours basculer vers la version anglaise originale.

Votre droit d'être protégé contre la prise de décision automatisée !

Qu'est-ce que la prise de décision automatisée ?

La prise de décision automatisée (ou ADM) est la prise de décision par des moyens technologiques, tels qu'un algorithme ou un ordinateur. La GDPR interdit de soumettre les individus à des décisions "fondées uniquement sur un traitement automatisé". Cela signifie que dans certaines circonstances, les entreprises, les autorités et d'autres entités ne peuvent pas prendre de décisions concernant des personnes en utilisant uniquement la technologie et sans intervention humaine

Les données utilisées dans le GDPR peuvent être collectées de différentes manières : les données peuvent être fournies directement par les personnes, par exemple via un questionnaire, en observant les personnes, en collectant des données de localisation à partir d'une application sur votre téléphone, ou en dérivant des données d'un profil que vous avez déjà créé ou qui a été créé à votre sujet

Quelques exemples de cas où vous pourriez être soumis à l'ADM : votre banque refuse un prêt sur la base d'un algorithme dans un programme informatique, un fournisseur de télécommunications ne vous accepte pas comme client parce qu'une agence de solvabilité vous a renvoyé un résultat négatif, ou l'opérateur d'une plate-forme est sanctionné par un algorithme parce qu'il a refusé plusieurs demandes.

ADM ne doit pas être confondu avec le profilage. Le profilage implique le traitement de données à caractère personnel afin d'évaluer des aspects personnels, par exemple les caractéristiques ou les schémas comportementaux des individus. Cela est souvent fait pour placer les individus dans des catégories particulières afin d'analyser ou de prédire leur comportement de manière plus approfondie. Le profilage ne mène pas toujours à l'ADM, et l'ADM n'est pas toujours prise sur la base du profilage

Étape 1 : Identifier le droit que vous souhaitez exercer

Étape 2 : Coordonnées du contrôleur

Étape 3 : Rédiger votre demande

Étape 4 : Réponse du contrôleur

Étape 5 : que se passe-t-il si le responsable du traitement refuse ma demande ?

Dans quels cas est-il interdit d'utiliser ADM pour prendre des décisions me concernant ?

Le droit d'être protégé contre ADM est légèrement différent des autres droits des personnes concernées dans le GDPR, car il implique une protection qui existera qu'une personne fasse ou non une demande au responsable du traitement ou engage une action en justice. Ce droit interdit l'utilisation d'ADM.

L'utilisation d'ADM est interdite lorsque :

La décision est uniquement basée sur une décision automatiséeIl s'agit généralement de situations dans lesquelles la décision est prise sans intervention humaine. L'intervention humaine doit provenir d'une personne ayant l'autorité et la compétence pour modifier la décision si nécessaire. Un contrôleur ne peut pas essayer d'éviter l'interdiction en fabriquant une intervention humaine minimale ou très lâche
La décision produit des effets juridiques ou des effets significatifs similaires
- Pareffets juridiques, on entend les résultats qui affectent les droits ou le statut juridique d'une personne. Il peut s'agir de l'annulation d'un contrat, du refus d'avantages ou de certains droits, comme le fait d'intenter une action en justice ou de voter, ou encore du refus de modifier sa citoyenneté ou son état civil
- Par effetssignificatifs similaires, on entend des effets d'une gravité comparable aux effets juridiques ci-dessus. Il peut s'agir du refus d'une demande de crédit en ligne, d'un processus de recrutement en ligne sans intervention humaine, de l'impossibilité d'accéder aux services de santé ou à l'éducation, du refus d'offres d'emploi ou d'une discrimination dans l'un de ces processus

Existe-t-il des exceptions à cette interdiction ?

Oui. Si certaines bases juridiques sont utilisées pour le traitement, il n'est pas interdit de prendre des décisions en utilisant uniquement ADM.

Les responsables du traitement ne peuvent utiliser ADM sans intervention humaine que lorsque :

La décision est nécessaire à l'exécution d'un contrat;
La décision est autorisée en vertu de la législation européenne ou nationale, par exemple en cas de fraude ou d'évasion fiscale ;
Vous avez expressément accepté d'être soumis à une telle décision ;

ADM ne doit pas concerner des catégories spécifiques de données ("données sensibles"), sauf dans certaines circonstances et sous réserve de garanties

Si vous n'êtes pas sûr de la base juridique utilisée pour le traitement de vos données à caractère personnel, ou des données traitées pour un ADM, vous pouvez faire une demande d'accès au responsable du traitement. Ce dernier a l'obligation légale de vous fournir ces informations

Le GDPR me donne-t-il des droits que je peux exercer en relation avec ADM ?

Oui ! En raison de la protection automatique de la GDPR contre ADM, vous avez le droit de recevoir certaines informations et vous bénéficiez de plusieurs garanties.

Information. Dans les cas où un ADM est en place, vous avez le droit de connaître les informations suivantes

uneexplication valable sur la manière dont la décision a été prise, comme la logique en jeu et les données utilisées pour parvenir à la décision
la signification du traitement : le responsable du traitement doit expliquer pourquoi la décision a été adoptée et le raisonnement qui sous-tend la conclusion ;
les conséquences envisagées pour vous à la suite du traitement, c'est-à-dire ce que le responsable du traitement a l'intention de faire des résultats de l'ADM.

Garanties Si un responsable du traitement traite vos données à caractère personnel pour ADM dans le cadre d'une des exceptions ci-dessus, il est tenu de mettre en œuvre certaines garanties et de vous accorder certains droits :

Le droit d'obtenir une intervention humaine (par exemple, une personne ayant le pouvoir réel de modifier la décision doit intervenir) ;
Le droit d'exprimer votre point de vue (par exemple, une personne doit écouter les arguments contre la décision) ;
Le droit d'obtenir une explication (par exemple, une personne doit expliquer comment la décision a été prise) ;
Le droit de contester la décision (l'intervenant humain doit entendre votre point de vue et confirmer la décision ou la modifier sur la base de vos arguments).

Comment puis-je exercer ces droits ?

Étape 1 : Identifiez le droit que vous souhaitez exercer

Si vous n'êtes pas sûr du droit à exercer, le fait de faire une demande d'accès en premier peut vous donner une meilleure idée de ce que le responsable du traitement fait de vos données à caractère personnel et confirmer si vos données à caractère personnel ont été utilisées pour ADM. Cela peut vous aider à décider ce que vous voulez faire ensuite. Dans ce cas, informez le responsable du traitement que vous cherchez des informations qui confirment la base juridique du traitement et l'existence d'ADM, ainsi que la logique, la signification et les conséquences de ce traitement
Si vous pensez que vous avez été soumis à un ADM malgré l'interdiction de le faire, vous pouvez demander au responsable du traitement de cesser d'utiliser un ADM (suivez l'étape 2 ci-dessous) ou déposer une plainte auprès d'une autorité de protection des données
Pour exercer votre droit aux garanties lorsque l'ADM est utilisé légalement, suivez les étapes ci-dessous

Étape 2 : Coordonnées du responsable du traitement

Votre la demande de limitation du traitement de vos données doit être adressée au responsable du traitement (l'organisation/entité/administration/société qui traite vos données)

Cette demande peut être faite par courrier électronique, lettre, télécopie ou au moyen d'un formulaire, pour autant que vous disposiez d'une trace écrite de la demande

L'adresse électronique pertinente se trouve généralement dans la section "Politique de confidentialité" ou "Contactez-nous" du site web du responsable du traitement. Elle portera généralement un nom tel que privacy@company.com ou legal@publicauthority.eu. Si elle est difficile à trouver, ou s'il n'y a pas d'adresse spécifique à laquelle vous pouvez envoyer votre demande, c'est la faute du contrôleur, pas la vôtre - la GDPR exige que les contrôleurs rendent ces informations facilement accessibles. Lorsqu'il n'y a pas d'adresse électronique spécifique, vous pouvez utiliser les coordonnées générales du contrôleur.

Étape 3 : Rédiger votre demande

Précisez que vous souhaitez obtenir la confirmation que vos données personnelles sont utilisées à des fins d'ADM et quelles garanties vous souhaitez exercer en relation avec l'ADM Un exemple de phrase en précisant les garanties pourraient se lire comme suit : "conformément aux droits que me confère l'article 22 du règlement 2016/679 de l'UE, je cherche à obtenir une intervention humaine en relation avec la décision/exprimer votre point de vue/ contester la décision et pour quels motifs/obtenir une explication concernant la décision" Vous pouvez inclure plusieurs ou un seul de ces droits.
Précisez votrele nom ou tout autre identifiant utilisé par le responsable du traitement(par exemple, un nom d'utilisateur de compte)Pour aider le responsable du traitement à traiter votre demande de manière plus efficace, incluez certainesinformations qui permettraient d'identifier votre compte, comme votre numéro de téléphone (si vous l'avez donné lors de votre inscription), votre nom d'utilisateur ou votre nom de compte, ou votre adresse IP. Cela sera particulièrement utile si vous avez un prénom et un nom de famille communs.
Indiquez la datedans le texte, si vous faites votre demande dans une pièce jointe au courriel ou dans une lettre. Cela clarifie le délai dans lequel le responsable du traitement doit fournir les informations.

Étape 4 : Réponse du responsable du traitement

Une fois que le responsable du traitement a reçu votre demande, il dispose d'unmois pour y répondre. Ce délai ne peut être prolongé qu'une seule fois de deux mois supplémentaires au maximum, en cas de demandes complexes ou multiples

En cas de doute, le responsable du traitement peut vous demander des informations complémentaires pour confirmer votre identité. Toutefois, une telle demande doit se limiter aux informations supplémentaires nécessaires pour confirmer votre identité. Les informations supplémentaires ne peuvent pas être disproportionnées, compte tenu du contexte du traitement de vos données (par exemple, un magasin vous demandant une copie de votre passeport pour modifier l'adresse d'une carte de fidélité serait disproportionné)

En général, ces informations doivent vous être fournies par écrit, mais elles peuvent vous être communiquées par des moyens électroniques tels que le courrier électronique, ou être fournies oralement si vous le demandez.

Étape 5 : que se passe-t-il si le responsable du traitement refuse ma demande ?

Si le responsable du traitement :

rejette votre demande sans explication satisfaisante,
tente de vous faire payer votre demande de façon injustifiée,
ne répond pas après un mois ou après le délai prolongé (maximum 3 mois au total),

vous avez le droit de déposer une plainte auprès d'une autorité de protection des données (par exemple la DPA de votre lieu de résidence ou de travail), et le responsable du traitement doit vous en informer

Si vous avez besoin d'aide pour évaluer les éléments juridiques de la réponse d'un responsable du traitement, vous pouvez nous contacter à l'adresse suivanteinfo@noyb.eupour discuter des étapes suivantes.

Retour à l'exercice de vos droits

Soutenez nous!

Financement: notre objectif

74.26 %

Je contribue!

Suivez nous!

Media Coverage

U.S. tech giant Meta has been hit with a record €1.2 billion fine for not complying with the EU’s privacy rulebook.

Apple hits back at European activist complaints against tracking tool

An Austrian privacy advocacy group drew a strongly critical response from Apple on Monday after it said an online tracking tool used in its devices breached European law.

101 Unternehmen leiten noch immer Daten an die USA weiter

Der Datenschutz-Verein noyb brachte 101 Beschwerden gegen den Datentransfer in die USA ein.

ZDF Magazin Royale vom 10. Dezember 2021

Expertentalk mit Datenschützer und Facebookbezwinger Max Schrems

Irish regulator proposes 36 mln euro Facebook privacy fine - document

The complaint, lodged by Austrian privacy activist Max Schrems, concerned the lawfulness of Facebook's processing of personal data, specifically around its terms of service.