- Die Artikel‑29‑Arbeitsgruppe interpretiert Art. 22 DSGVO streng: AEFE mit rechtlichen oder vergleichbaren Auswirkungen grundsätzlich verboten, Ausnahmen eng.
- Erlaubte Ausnahmen nach Art. 22 Abs. 2 nur bei Vertragsnotwendigkeit, gesetzlicher Ermächtigung oder ausdrücklicher Einwilligung.
- Verantwortliche müssen Betroffene informieren und ein Eskalationsrecht auf menschliche Entscheidung gewähren.
- Schweizer E‑DSG ist liberaler: AEFE nicht verboten; lediglich Informationspflicht und Eskalationsrecht erforderlich.
Le site Groupe de travail Article 29 a émis un avis daté du 3 octobre 2017 Publication d’un projet de guide sur les décisions individuelles automatisées (AEFE). Les parties intéressées peuvent donner leur avis sur le projet jusqu’au 27 novembre 2017.
Exigences de l’AEFE
Le guide contient – outre des explications sur les termes utilisés, par exemple le profilage – des explications sur l’article 22 du RGPD. Le groupe de travail interprète l’article 22, paragraphe 1, du RGPD comme une interdiction des AEFE dans la mesure où ils ont des effets juridiques ou d’autres effets comparables sur la personne concernée. Une justification de ces AEFE n’est possible que dans le cadre de l’article 22, paragraphe 2, du RGPD, c’est-à-dire dans l’interprétation stricte du groupe de travail,
- en cas de stricte nécessité pour la conclusion ou l’exécution d’un contrat de travail Contrat avec la personne concernée (ex. : évaluation de la solvabilité) ;
- chez légal Autorisation ou obligation (sachant que seul le droit de l’UE ou d’un État membre devrait entrer en ligne de compte) ;
- avec explicite Consentement.
Les autres motifs de justification sont exclus dans cette lecture, notamment les intérêts légitimes du responsable du traitement.
Même si l’AEFE est licite, le responsable est tenu d’informer la personne concernée de l’AEFE et de lui accorder un droit d’escalade. En d’autres termes, la personne concernée a le droit de faire en sorte que l’AEFE redevienne une décision humaine.
En raison de ces exigences strictes, la question de savoir quand une AEFE a des conséquences juridiques ou comparables devient centrale. Là encore, le groupe de travail adopte une position stricte. En tant que Exemples de conséquences juridiques les appelle
- Restrictions des droits fondamentaux, par exemple la liberté d’association ;
- un changement dans une situation juridique ou dans des droits contractuels ;
- la décision concernant les droits légaux, par exemple les allocations de logement (l’octroi de ces droits étant également mentionné) ;
- le refus d’entrée sur le territoire ;
- la décision de mesures d’enquête ou de surveillance par les autorités ;
- l’interruption des services de télécommunications en raison d’un retard de paiement.
Comparable d’autres effets (positifs ou négatifs) sont considérés comme tels s’ils sont susceptibles d’avoir un impact négatif sur la santé publique. circonstances, le comportement ou les choix d’une personne de manière significative. Il est cependant difficile d’appliquer ce seuil. Par exemple, tout refus d’une prestation n’a pas des conséquences “importantes”. Par exemple, le refus de louer un vélo pendant les vacances n’a pas de conséquences importantes.
Un autre exemple est intéressant et potentiellement d’une grande portée : dans certaines circonstances, il est possible que la personne concernée ne soit pas en mesure d’obtenir une autorisation de travail. la publicité ciblée (“targeted advertising”) a des conséquences importantes. Les circonstances du cas d’espèce sont déterminantes à cet égard, par exemple les suivantes :
- la portée du profilage ;
- les attentes et les souhaits de la personne concernée ;
- la manière de faire de la publicité ;
- une éventuelle vulnérabilité particulière des personnes concernées.
Le groupe de travail cite comme exemple de publicité ayant un impact important la publicité pour des jeux en ligne qui est montrée de manière répétée à une personne endettée.
L’application de prix différenciés peut également avoir des conséquences potentiellement importantes, à savoir lorsqu’une personne ne peut pas bénéficier de certains services en raison de prix prohibitifs.
Exigences en matière de profilage
Le profilage n’est pas couvert en tant qu’élément de fait autonome. L’article 22 du RGPD ne le mentionne qu’en tant qu’élément possible – mais non obligatoire – de l’AEFE. Le considérant 71 précise toutefois que des exigences doivent également être respectées en cas de profilage en dehors de l’AEFE, conformément aux principes généraux :
[…] le responsable du traitement devrait des méthodes mathématiques ou statistiques appropriées pour le profilage, prendre des mesures techniques et organisationnelles appropriées pour garantir, en particulier, que les facteurs qui conduisent à des données à caractère personnel inexactes sont corrigés et que le risque d’erreur est réduit au minimum, et […] empêcher que des personnes physiques ne soient victimes de discrimination fondée sur la race, l’origine ethnique, les opinions politiques, la religion ou les convictions, l’appartenance syndicale, le patrimoine génétique, l’état de santé ou l’orientation sexuelle. les effets discriminatoires […] vient […].
Réglementation en Suisse (E‑DSG)
Le site règlement proposé en Suisse est essentiel libéral. Les AEFE ayant des conséquences juridiques ou comparables ne sont pas interdites ; la personne concernée doit simplement être informée – avant ou après l’AEFE – et a le droit d’escalader l’AEFE vers une personne. Le lien avec un contrat ou le consentement explicite ne sont donc pas non plus considérés comme des justifications ; ils ne font que supprimer les exigences particulières (information et escalade), contrairement à ce que prévoit le RGPD.