Profilage et décisions automatisées: CJUE vs UK — deux lignes opposées
Le UK remplace l’article 22 du UK GDPR par 22A–22D (logique « autorisé sous garanties »), tandis que la CJUE (SCHUFA) confirme en UE une interdiction de principe des décisions entièrement automatisées à effet juridique ou similaire.
Résumé — Le 5 février 2026, le Royaume‑Uni a remplacé l’article 22 du UK GDPR par 22A–22D (Data Use and Access Act), adoptant une logique « autorisé sous garanties ». En Europe, la CJUE (7 déc. 2023, SCHUFA) confirme au contraire une interdiction de principe des décisions entièrement automatisées ayant des effets juridiques ou similaires. Pour le Luxembourg, il faut conserver la ligne RGPD/CJUE/EDPB.
L’affaire
- Royaume‑Uni — réforme : la Data (Use and Access) Act 2025 remplace l’article 22 du UK GDPR par 22A–22D, basculant d’une interdiction de principe vers un régime de garanties et de droit à la contestation. Source officielle : GOV.UK — factsheet.
- CJUE — jurisprudence UE : par deux arrêts du 7 décembre 2023 (C‑26/22 et C‑64/22, « SCHUFA »), la CJUE qualifie le credit scoring, lorsqu’il a un rôle déterminant dans la décision d’octroi/refus, de « décision individuelle automatisée » prohibée en principe par l’article 22 RGPD, sauf exceptions strictes. Communiqué : CJUE, communiqué 186/23.
- ICO — doctrine en cours : l’ICO a ouvert en mars 2026 une consultation sur un guide dédié à l’« automated decision‑making, including profiling » pour intégrer 22A–22D. Voir consultation ICO 2026.
En conséquence, côté UE (et donc Luxembourg), l’article 22 RGPD reste une interdiction de principe des décisions entièrement automatisées à effet juridique ou « similairement significatif », encadrée par les Lignes directrices WP29/EDPB. Côté UK, la réforme autorise plus largement l’ADM sous sauvegardes renforcées.
Le raisonnement juridique
En droit de l’UE (applicable au Luxembourg)
L’article 22 RGPD établit le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou des effets similaires significatifs, sauf (i) nécessité contractuelle, (ii) autorisation légale, (iii) consentement explicite, avec garanties (intervention humaine, expression du point de vue, contestation). Références : CNPD — Chapitre III; Lignes directrices WP29/EDPB — Profilage et ADM.
Dans SCHUFA, la CJUE confirme qu’un score déterminant pour l’octroi/refus d’un crédit relève de l’article 22(1) (interdiction de principe), sauf exceptions strictes et garanties fortes. Voir le communiqué CJUE. Pour le contexte local, voyez le cadre RGPD au Luxembourg.
En droit britannique (post‑Brexit)
Le gouvernement UK explicite que les nouvelles dispositions 22A–22D instaurent une approche « permitted subject to safeguards » et renforcent contestation/explicabilité. Source : GOV.UK — factsheet. L’ICO maintient et met à jour sa doctrine, avec des exemples d’« effet similaire significatif » et la consultation 2026 : ICO — Rights related to ADM et consultation 2026.
Ce que ça change concrètement
- Crédit, assurance, pricing dynamique : au Luxembourg, si l’algorithme décide « seul » avec un effet significatif (acceptation/refus, tarification individuelle), on tombe dans l’article 22(1) RGPD. Évitez l’ADM exclusif (prévoir un contrôle humain réel) ou justifiez une exception avec garanties (information détaillée, recours humain, contestation). Réfs. : CNPD, CJUE SCHUFA, WP29/EDPB. Pour une gouvernance IA conforme, consolidez l’intervention humaine et l’explicabilité.
- Recrutement automatisé : un tri CV/entretien vidéo avec scoring qui détermine l’issue sans intervention humaine effective entre dans l’interdiction de principe côté UE; côté UK, le mécanisme peut être admis sous garanties renforcées. Exemples : ICO — Rights related to ADM.
- Groupes UE/UK et sous‑traitants britanniques : même si le traitement matériel est au UK, un établissement luxembourgeois reste soumis au RGPD et au standard CJUE/EDPB. Évitez de « s’aligner UK » pour les flux UE : gardez la grille RGPD/CJUE et contractualisez un contrôle humain effectif, la traçabilité de la logique et un canal de contestation utile. En appui opérationnel, un DPO Luxembourg peut piloter ces exigences.
Pièges fréquents
- Intervention humaine symbolique : un clic d’approbation sans pouvoir réel de révision ne suffit pas. Le contrôle humain doit être qualifié et documenté. Réf. : WP29/EDPB.
- Mauvaise qualification de l’« effet similaire significatif » : refus de crédit, résiliation, tarification pénalisante, blocage d’un service essentiel, décision RH défavorable… sont typiquement « similaires ». Réf. : ICO — exemples et WP29/EDPB.
- Information lacunaire : les articles 13/14/15 exigent des informations utiles sur la logique et les conséquences. Les notices génériques sont insuffisantes. Réf. : CNPD — Chapitre III.
- Consentement explicite mal compris : il doit être réel, libre et spécifique et n’efface pas les garanties. Réf. : WP29/EDPB ; CJUE — SCHUFA.
- Penser « une zone, une règle » : pour des personnes dans l’UE, c’est l’article 22 RGPD (interprétation CJUE/EDPB) qui s’applique. Réf. : CNPD.
Sources officielles
- CJUE — communiqué 186/23 (SCHUFA)
- CNPD — Chapitre III
- WP29/EDPB — Guidelines on ADM & Profiling
- UK — Data (Use and Access) Act 2025 factsheet
- ICO — Consultation 2026
- ICO — Rights related to ADM
Recommandation
Bases‑vous sur la ligne CJUE/EDPB/CNPD (interdiction de principe de l’ADM à effet juridique ou similaire), conservez une vraie intervention humaine, formalisez l’explicabilité et la contestation, et traitez la doctrine UK comme un régime distinct. Pour cadrer vos projets, voyez notre accompagnement en IA conforme et, si besoin, contactez‑nous.
Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.
Une question sur ce sujet ?
Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.
Configurer mon devis →