DUAA 2025 : prise de décision individuelle automatisée au UK

Cet article est le deuxième d’une série d’articles[1] examinant les changements apportés par le « Data (Use and Access) Act 2025 » ou Loi DUA par comparaison au RGPD.  

L’un des changements notables réside dans l’assouplissement des règles relatives aux décisions individuelles fondées sur un traitement automatisé, tout en maintenant des protections fondamentales.

Ancien régime

Sur le modèle de l’article 22 du RGPD, l’ancien régime du RGPD britannique, interdisait de prendre une décision fondée exclusivement sur un traitement automatisé (y compris le profilage) produisant des effets juridiques sur la personne concernée ou ayant sur elle des effets significatifs similaires (telles les décisions affectant son statut juridique ou ses droits, ou ayant un impact équivalent sur son comportement, sa situation ou ses choix).  

A titre d’exception, une telle décision est possible lorsque le traitement (a) est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ; (b) est autorisée par le droit de l’UE ou le droit national (qui prévoit également des mesures appropriées de sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée), ou (c) est fondée sur le consentement explicite de la personne concernée. Dans les cas a) et c) la personne doit au moins avoir le droit d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision.

Lorsque la décision automatisée est fondée sur des catégories particulières de données (couvertes par l’article 9 RGPD), elle ne peut être fondée que sur le consentement explicite ou sur des motifs d’intérêt public important et sous réserve que des mesures de sauvegarde soient en place. La partie 2 de l’annexe 1 de la loi Data Protection Act 2018 (loi de 2018 sur la protection des données) énonçait 23 motifs d’intérêt public important.

Nouveau régime

Nouvelle définition

Dans le cadre du régime révisé, la loi offre une définition du « traitement uniquement automatisé » comme étant un traitement « sans intervention humaine significative ». 

• En l’absence de catégories particulière de données

Il n’y aura plus de prohibition de principe lorsqu’une décision individuelle automatisée n’implique pas de catégories particulières de données, et il sera possible de fonder la décision sur l’une quelconque des bases juridiques prévues par le RGPD britannique (équivalent de l’article 6 RGPD) et, surtout, sur la base de l’intérêt légitime du responsable de traitement ou d’un tiers (à l’exclusion cependant de la nouvelle base de l’« intérêt légitime reconnu » sur lequel nous reviendrons plus en détail dans un prochain article).

Toutefois, les organisations restent tenues d’appliquer des mesures appropriées de sauvegarde des droits et libertés des personnes. Il s’agit notamment de donner aux personnes le droit de contester la décision, de présenter leur point de vue et de demander une revue humaine « significative ». Le Secretary of State aura également le pouvoir de compléter ces garanties ou d’exiger la mise en place de mesures supplémentaires spécifiques.

• En présence de catégories particulières de données

La prohibition de principe s’applique lorsque la décision individuelle automatisée est fondée en tout ou partie sur des catégories particulières de données (équivalent de l’article 9 RGPD, sous réserve des modifications permises par la Loi DUA – voir notre article sur ce point).  

Elle ne sera autorisée que si elle est fondée sur (a) le consentement explicite de la personne, ou (b) lorsque le traitement est nécessaire à la conclusion ou à l’exécution d’un contrat avec la personne concernée ou (c) requises ou autorisées par la loi et, dans les cas b) ou c), lorsque le traitement est nécessaire pour des raisons d’intérêt public important (comme indiqué ci-dessus).

Ces modifications visent à donner aux entreprises une plus grande flexibilité dans le déploiement de l’IA et des outils algorithmiques, tout en préservant les droits procéduraux essentiels des personnes. L’ICO a annoncé qu’elle allait revoir ses lignes directrices existantes sur les décisions individuelles automatisées, une consultation publique étant prévue dans le courant de l’année et la publication des lignes directrices définitives étant prévue pour fin 2025 ou début 2026.

Voir aussi notre article en anglais
The Data (Use and Access) Act 2025: A New Chapter in the UK’s Data Protection

[1] Lire aussi :

1- Le Data (Use and Access) Act 2025 réforme le droit de la protection des données au UK

2 – DUAA 2025 : prise de décision individuelle automatisée au UK

3 – DUAA 2025 : introduction de « l’intérêt légitime reconnu » au UK

4 – DUAA 2025 : droits des personnes concernées et mécanismes de réclamation au UK

5 – DUAA 2025 : vie privée et communications électroniques au UK

6 – DUAA 2025 : transferts internationaux de données – refonte de l’évaluation des risques au UK

7 – DUAA 2025 : catégories particulières de données et protection des enfants au UK

8 – DUAA 2025 : principe de limitation des finalités et présomption de compatibilité au UK

9 – DUAA 2025 : utilisation des données à des fins de recherche scientifique au UK