On parle de prise de décision automatisée (ADM, automated decision-making) lorsque des ordinateurs ou des algorithmes prennent des décisions sans intervention humaine. Par exemple, votre banque peut utiliser un programme informatique pour refuser un prêt, une entreprise peut vous rejeter sur la base d'un rapport de solvabilité négatif ou un algorithme peut évaluer vos compétences professionnelles.
L'ADM utilise des informations provenant de différentes sources, telles que des réponses à des enquêtes, des observations, des données de localisation téléphonique ou des profils en ligne que vous avez créés.
Dans certains cas, la prise de décision automatisée implique le profilage, c'est-à-dire la création d'un profil numérique vous concernant sur la base de données. L'ADM et le profilage font aujourd'hui partie de nos réalités (en ligne), avec des avantages et des risques.
Lorsque des décisions importantes sont en jeu, il est essentiel de savoir que vous avez le droit d'éviter la prise de décision automatisée. Cela vous permet de vous assurer que les décisions vous concernant ne sont pas uniquement prises par des ordinateurs, l'Intelligence Artificielle (IA) ou des algorithmes.
Conformément à l'article 22 du RGPD, vous avez le droit de ne pas être soumis à des décisions fondées exclusivement sur un traitement automatisé si ces décisions vous affectent de manière significative. L'expression "traitement automatisé" signifie qu'il s'effectue sans intervention humaine, et l'expression "effet significatif" fait référence à des conséquences juridiques ou à des influences majeures sur votre vie, comme l'impact sur votre droit de vote ou le refus d'une demande de crédit en ligne, par exemple.
Le profilage et la prise de décision automatisée sont courants dans divers secteurs, comme la banque et la finance, mais s'ils peuvent être plus efficaces, ils peuvent être moins transparents et limiter vos choix et votre liberté.
En règle générale, vous ne pouvez pas faire l'objet d'une décision fondée uniquement sur un traitement automatisé, à moins que la loi ne l'autorise avec des garanties appropriées. Les exceptions comprennent les cas où la décision est nécessaire à l'exécution d'un contrat ou lorsque vous avez donné votre consentement explicite. Dans les deux cas, vos droits et libertés doivent être protégés et vous devez être informé de votre droit à une intervention humaine, vous permettant d'exprimer votre point de vue et de contester la décision.
Exemple
Jean fait appel à une banque en ligne pour obtenir un prêt. Il remplit ses données et l'algorithme de la banque lui indique si la banque lui accordera ou non le prêt et lui donne le taux d'intérêt suggéré. Jean doit être informé qu'il peut exprimer son opinion, contester la décision et exiger que la décision prise par l'algorithme soit réexaminée par une personne.
La prise de décision automatisée et le profilage sont deux concepts différents. Le profilage implique l'analyse de données personnelles pour comprendre des caractéristiques ou des modèles de comportement, tels que les performances au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité et les réactions. Il permet de classer les individus en vue d'une analyse plus approfondie ou de prédire leurs actions.
Exemple de profilage
Vous faites souvent des achats en ligne et le site de e-commerce suit vos achats, votre historique de navigation et les produits que vous consultez. La plateforme utilise ces données pour créer un profil de vos habitudes d'achat. Sur la base de ce profil, la plateforme peut vous classer dans la catégorie des "acheteurs fréquents d'appareils et de gadgets technologiques". Dans ce cas, le profilage consiste à analyser vos données personnelles pour comprendre vos intérêts et vos comportements en matière d'achat.
Le profilage ne conduit pas toujours à des décisions automatisées significatives vous concernant. Dans ce cas, l'ADM signifie qu'un algorithme recommandera automatiquement de nouveaux appareils adaptés à vos préférences.
Lorsqu'elle est utilisée correctement, la prise de décision automatisée présente des avantages. Elle aide les entreprises à interpréter correctement les données et à proposer des décisions et des solutions équitables et cohérentes. Par exemple, dans le domaine médical, l'apprentissage automatique peut être appliqué pour prédire l'état de santé des patients ou l'efficacité d'un traitement en fonction des caractéristiques d'un groupe spécifique.
Bien que ces techniques puissent être utiles, elles comportent des risques potentiels :
Bitdefender Digital Identity Protection vous aide à comprendre comment les entreprises utilisent vos données, en vous aidant à exercer vos droits. Cet outil vous aide à découvrir où et comment vos informations sont utilisées, vous donnant ainsi plus de contrôle sur la façon dont vos données sont traitées.
Si vous pensez faire l'objet d'une prise de décision automatisée et que vous êtes préoccupé par l'impact potentiel sur vos droits et intérêts, voici quelques mesures que vous pouvez prendre :
Étape 1 : Vérifiez si vos données ont été utilisées pour des décisions automatisées
Si vous pensez avoir fait l'objet d'une prise de décision automatisée illégale, vous pouvez demander au responsable du traitement de cesser d'utiliser l'ADM. Vous pouvez également déposer une plainte auprès d'une autorité de protection des données.
Étape 2 : Exercez votre droit à des garanties dans le cadre d'une utilisation légitime de l'ADM
Si l'ADM est utilisée légalement, vous avez le droit de demander la restriction du traitement des données et des garanties dans votre cas.
Le Centre européen pour les droits numériques (NOYB) vous recommande de demander la confirmation que vos données sont utilisées à des fins d'ADM et de demander des garanties spécifiques.
Un exemple de demande pourrait être le suivant : "En vertu de l'article 22 du règlement UE 2016/679, je demande une intervention humaine en rapport avec la décision, le droit d'exprimer mon point de vue, la possibilité de contester la décision et ses motifs, ainsi qu'une explication concernant la décision."
Envoyez votre demande par courrier électronique et indiquez votre nom ou un autre identifiant utilisé par le responsable du traitement (par exemple, le nom d'utilisateur du compte). Incluez également des informations permettant d'identifier votre compte. N'oubliez pas d'indiquer la date afin de clarifier le délai d'information du responsable du traitement.
Une fois que le responsable du traitement a reçu votre demande, il dispose d'un mois pour y répondre. En cas de complexité ou de demandes multiples, ce délai peut être prolongé une fois, mais seulement de deux mois supplémentaires au maximum.
Le responsable du traitement peut demander des informations supplémentaires pour confirmer votre identité en cas de doute. Toutefois, ces demandes doivent se limiter aux informations nécessaires à la vérification.
Si le responsable du traitement rejette votre demande sans explication satisfaisante, s'il vous facture votre demande ou s'il ne répond pas dans le délai imparti (un mois ou le délai prolongé, soit un maximum de trois mois au total), vous avez le droit de déposer une plainte auprès de l'autorité chargée de la protection des données dans votre pays.
Sources : Commission européenne, noyb.eu
tags
The meaning of Bitdefender’s mascot, the Dacian Draco, a symbol that depicts a mythical animal with a wolf’s head and a dragon’s body, is “to watch” and to “guard with a sharp eye.”
Voir toutes les publicationsJuillet 01, 2024
Juin 10, 2024
Juin 03, 2024
Mai 16, 2024