L’autorité allemande de protection des données précise les obligations du responsable d’une décision individuelle automatisée
Par un arrêt du 31 mai 2023, l’autorité allemande de protection des données personnelles a condamné une banque ayant refusé d’indiquer à une personne ayant fait l’objet d’une décision individuelle automatisée des explications pertinentes.
L’article 22 du RGPD prévoit le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé conduisant à des effets juridiques la concernant ou l’affectant de manière significative.
En l’espèce, le client d’une banque allemande a fait l’objet d’un refus automatisé d’une demande de carte de crédit, sans justification particulière, après que la banque lui ai demandé de fournir divers informations relatives à son revenu et sa profession. Pour prendre la décision, l’algorithme s’est fondé sur des critères et des règles définies préalablement par la banque.
L’autorité berlinoise de protection des données personnelles, saisie de l’affaire, définit une « décision automatisée » comme une décision prise par un système informatique uniquement sur la base d’algorithmes et sans interventions humaine. Elle précise que lorsqu’une personne fait l’objet d’une telle décision, le responsable de traitement est soumis à des obligations de transparence. A ce titre, la personne concernée a le droit d’obtenir des explications pertinentes sur la logique impliquée derrière la décision automatisée.
L’avocate Meike Kamp, commissaire à la protection des données personnelles de Berlin a précisé que « lorsque des entreprises prennent des décisions automatisées, elles sont tenues de les justifier de manière pertinente et compréhensible ».
En l’occurrence, la banque n’a pas respecté cette obligation en n’accédant pas à la demande du client d’obtenir des informations sur la raison du refus automatisé de sa demande de carte de crédit. Elle a refusé de lui indiquer pourquoi elle estimait que sa solvabilité était mauvaise dans son cas. L’autorité berlinoise en a conclu que la banque avait violé l’article 22 alinéa 3 du RGPD.
A ce titre, par une décision du 31 mai ’autorité a condamné la banque au paiement d’une amende de 300 000 euros.
Pour en savoir plus :