CHAPITRE V - DISPOSITIONS PARTICULIÈRES RELATIVES AUX DROITS DES PERSONNES CONCERNÉES
Article 14 AA (Art. 7 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Rappel des conditions de recueil du consentement au traitement des données personnelles
Introduit en séance à l'Assemblée nationale à l'initiative de la rapporteure de la commission des lois, l'article 14 AA insère dans la loi Informatique et libertés un renvoi explicite aux conditions de recueil du consentement figurant désormais de façon explicite dans le RGPD.
En l'état du droit, l'article 7 de la loi du 6 janvier 1978 prévoit que, sous réserve de certaines exceptions, un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée pour être licite. Si la directive de 1995 définit le consentement comme étant « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement » 79 ( * ) , la loi Informatique et libertés, qui la transpose, autorise les traitements fondés sur le consentement de la personne concernée sans apporter de définition au consentement ni préciser les conditions de son recueil.
Le nouveau règlement européen apporte désormais une définition très précise du consentement (« toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement » 80 ( * ) ) et détaille en outre, au sein d'un article spécifique, les conditions applicables à la validité de son recueil (démonstrabilité, intelligibilité, revocabilité, nécessité) 81 ( * ) .
Malgré l'importance de la notion de consentement, « clé de voûte » de la protection des données à caractère personnel, votre rapporteur nourrit des doutes sur la portée juridique d'un tel renvoi dans la loi Informatique et libertés : le règlement étant d'application directe, les définitions et notions qui s'y trouvent comme les conditions qu'il établit s'appliquent de plein droit le 25 mai 2018 sans qu'une référence y change quoi que ce soit...
Reconnaissant cependant le caractère symbolique d'une telle mention et la lisibilité accrue de la loi grâce à ce renvoi, votre commission a adopté l'article 14 AA sans modification.
Article 14 A (supprimé) (art. 7-1 [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Âge du consentement autonome des mineurs au traitement de leurs données par certains services en ligne
Introduit par l'assemblée nationale à l'initiative de la rapporteure de sa commission des lois, l'article 14 A du projet de loi abaisse de 16 à 15 ans l'âge à partir duquel un mineur peut consentir seul au traitement de ses données concernant l'offre directe de services de la société de l'information . Il prévoit également un double consentement (des parents et du mineur) en-dessous de cet âge et soumet les responsables de traitement à une obligation d' information des mineurs dans des termes adaptés à leur âge.
1. L'état du droit : une prise en compte récente et limitée des problématiques propres aux données personnelles des enfants
Ni l'ancienne directive de 1995 ni la loi Informatique et libertés ne contiennent, en l'état du droit, de disposition encadrant spécifiquement les traitements de données concernant les mineurs, et en particulier les conditions de recueil de leur consentement.
Certaines dispositions de la loi pour une République numérique ont cependant introduit de nouveaux droits visant à protéger spécifiquement la vie privée des mineurs et leurs données personnelles :
- un « droit à l'oubli » a été reconnu spécifiquement aux mineurs , assorti d'une procédure accélérée pour l'exercice de ce droit à l'effacement de données problématiques auprès des plateformes en ligne ;
- et un droit d'opposition spécial, dans le domaine des données de santé , autorise les mineurs âgés de 15 ans ou plus à refuser que les titulaires de l'exercice de l'autorité parentale aient accès à certaines données les concernant (information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur s'est expressément opposé à la consultation des titulaires de l'autorité parentale).
2. Le RGPD : une protection spécifique des données à caractère personnel relatives aux enfants
Le RGPD promeut l'idée que les données à caractère personnel relatives aux enfants nécessitent une protection spécifique « parce qu'ils peuvent être moins conscients des risques, des conséquences[, des garanties] et de leurs droits ». Est en particulier visée l'utilisation abusive des données « à des fins de marketing ou de création de profils de personnalité [et] lors de l'utilisation de services proposés directement à un enfant » (considérant 38).
L'article 8 du règlement prévoit que le traitement de données relatives à un enfant, lorsqu'il est fondé sur le consentement et lorsqu'il est effectué dans le cadre de l' offre directe de services de la société de l'information , est licite lorsque le mineur est âgé d'au moins 16 ans.
Entre dans le champ de cette disposition « tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire » 82 ( * ) , soit par exemple : les réseaux sociaux ( Facebook , Twitter , Snapchat ...), les plateformes d'échanges, de services ou de commerce en ligne ( E-bay, Amazon... ), les moteurs de recherche ( Google , Yahoo , Qwant ...).
Il en résulte que, pour ce type de traitement, le mineur âgé de plus de 16 ans peut donner seul son consentement au traitement de ses données. En revanche, en dessous de 16 ans, le responsable du traitement doit obtenir le consentement du titulaire de l'autorité parentale .
Votre rapporteur tient ici à insister sur la portée limitée de l' obligation de moyens qui repose concrètement sur le responsable de traitement : aux termes mêmes du règlement, il lui incombe seulement en effet de « s'efforce[r] raisonnablement de vérifier , en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles ».
3. Le texte transmis : un abaissement à 15 ans à l'initiative des députés
Le RGPD fixe un seuil par défaut à 16 ans et laisse la possibilité aux États de l'abaisser jusqu'à un plancher de 13 ans, par une disposition expresse de leur droit national. Comme la secrétaire générale du SGAE l'a confirmé à votre rapporteur en audition, cette flexibilité a été incluse à la demande pressante de plusieurs États membres, dont la France ne faisait pas partie.
Lors de l'élaboration du projet de loi, le Gouvernement, suivant l'avis de la CNIL, a fait le choix de ne pas utiliser, pour la France, cette marge de manoeuvre, position conforme à celle défendue par la France lors des négociations européennes. C'est donc bien l'âge de 16 ans qui avait vocation à s'appliquer.
L'Assemblée nationale a décidé d'abaisser ce seuil à 15 ans en utilisant cette marge de manoeuvre. Selon l'exposé des motifs de l'amendement de la rapporteure de la commission des lois à l'initiative de cet abaissement, « [fixer l'âge à 16 ans] traite de manière homogène et indiscriminée un enfant pré-adolescent et un adolescent . » Il conviendrait également de prendre en compte les seuils établis dans d'autres domaines « comme en matière d'opposition à l'accès des parents aux données de santé (15 ans) ou dans le domaine encore plus sensible de la « majorité sexuelle » (fixée, en droit français, à 15 ans) ».
4. La position de votre commission : maintenir à 16 ans l'âge du « consentement autonome » pour les services en ligne
Bien consciente du caractère extrêmement délicat du choix à opérer ici, votre rapporteur a proposé à votre commission, qui l'a suivie, de maintenir à 16 ans l'âge à partir duquel le responsable d'un traitement de données peut se fonder sur le consentement autonome d'un mineur dans le cadre d'une offre directe de services de la société de l'information.
Lors des nombreux entretiens qu'elle a menés, votre rapporteur a pu recueillir en audition des positions très contrastées sur ce sujet particulièrement sensible.
Certains, surtout parmi les grands opérateurs économiques, ont incité le législateur à faire preuve de plus de pragmatisme, insistant sur la nécessité que le droit « colle » au plus près à la réalité des pratiques numériques des mineurs et que les normes juridiques ne soient pas dépassées par les pratiques sociales (voire les devancent).
Votre rapporteur n'a pas été convaincue, en définitive, par ces arguments, estimant que la loi peut utilement fixer des termes symboliques, des âges charnières, nécessairement imparfaits, mais qui contribuent à guider la société en lui donnant des points de repères et dont les familles et les institutions éducatives peuvent utilement se saisir dans leur oeuvre pédagogique.
Votre rapporteur se rallie ainsi à l'avis mesuré et prudent de la CNIL pour qui « le recueil du consentement parental prévu par le Règlement, s'agissant des enfants de moins de 16 ans, peut être considéré, en dépit des limites rencontrées dans la pratique, comme un moyen d'instaurer une occasion de dialoguer entre les parents et leurs enfants sur la façon dont ces derniers entendent protéger leurs données personnelles sur internet et sur les précautions à faire valoir auprès d'eux ». Elle rappelle aussi les observations 83 ( * ) de la commission des affaires européennes du Sénat , qui « considère qu'il convient d'avoir une approche mesurée en la matière, qui tienne compte de la forte appétence des adolescents pour les échanges sur internet et de la nécessité qu'ils aient une conscience suffisante des risques associés à la communication et au traitement incontrôlés de leurs données personnelles ».
Elle estime que ces interrogations révèlent avant tout un problème de société qui doit être réglé par le développement d'une véritable éducation au numérique dotée de moyens à la hauteur des enjeux, alliant modules pédagogiques et programmes adaptés, mais aussi formations des enseignants.
Enfin, elle souligne qu'elle a trouvé particulièrement intéressante la proposition de certaines associations de protection de l'enfance d'abaisser ce seuil de consentement autonome à 13 ans, mais uniquement à la condition que soit instauré sur les plate-formes un régime spécifique et protecteur à destination de tous les utilisateurs mineurs de la tranche d'âge 13-17 ans . Elle partage l'idée que ces mineurs ne doivent pas être considérés par les entreprises comme des consommateurs comme les autres, mais bénéficier de services adaptés (paramétrage spécifique empêchant d'avoir accès à certains contenus, interdisant d'être la cible de techniques de marketing ou de profilage par les annonceurs, autorisant des signalements de contenus ou de comportements préjudiciables plus rapides et plus efficaces).
Votre commission a par conséquent adopté les amendements identiques de suppression COM-59 de votre rapporteur et COM-11 présenté par M. Henri Leroy, et elle a supprimé l'article 14 A .
Article 14 (Art. 10 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, art. L. 311-3-1 du code des relations entre le public et l'administration, art. L. 612-3 du code de l'éducation) - Décisions prises sur le fondement d'algorithmes
L'article 14 du projet de loi traite des décisions prises sur le fondement d'algorithmes par des personnes publiques ou privées, produisant des effets juridiques sur d'autres personnes ou les affectant de manière significative. Il vise à adapter le droit interne à l'article 22 du règlement (UE) 2016/679 du 27 avril 2016 - qui prohibe par principe de telles décisions - tout en tirant parti d'une marge de manoeuvre laissée aux États membres, afin d'autoriser sous certaines conditions les décisions administratives individuelles automatisées.
1. Définitions
On entend par « algorithme » une suite finie d'étapes ou d'instructions produisant un résultat à partir d'éléments fournis en entrée. Une recette de cuisine est, par exemple, un algorithme, de même que les règles de fonctionnement d'un moteur de recherche sur Internet. Peuvent également être formulés sous forme d'algorithmes le barème de l'impôt sur le revenu (avec comme entrée les revenus déclarés d'un contribuable), ou encore l'ensemble des règles qui, le cas échéant, déterminent nécessairement l'acceptation ou le refus d'une demande par l'administration.
Pour qu'un algorithme puisse être mis en oeuvre par un ordinateur, il faut qu'il soit transcrit en un programme informatique (également appelé « code source » ), dans un certain langage de programmation. Ce programme est ensuite exécuté dans un logiciel .
L'expression « traitement algorithmique » , en droit français, est synonyme d'« algorithme ». Par ce choix lexical, il est fait référence à la notion de « traitement de données », employée dans la législation applicable aux données personnelles et dont la portée est beaucoup plus vaste (un traitement peut être automatisé ou non, et la simple collecte de données ou leur enregistrement constituent des traitements).
Par « système algorithmique » , on désigne quelquefois l'ensemble constitué d'un algorithme, du programme informatique dans lequel il est transcrit, des données dont il est alimenté, et de l'interface avec l'utilisateur (application, éventuellement sous forme de service en ligne).
Le « profilage » consiste, à partir de faits passés relatifs à une personne, à évaluer la probabilité de faits passés, présents ou futurs la concernant : qu'elle ait commis telle infraction, qu'elle soit porteuse de telle pathologie, qu'elle rembourse un emprunt... Le règlement (UE) 2016/679 du 27 avril 2016 le définit comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique 84 ( * ) ». Le profilage peut ou non être automatisé ; il est grandement facilité par les technologies actuelles de machine learning (voir ci-dessous).
Algorithmes « déterministes » et « auto-apprenants » Il existe deux grandes familles d'algorithmes, correspondant à deux étapes successives du développement de l'intelligence artificielle : - avec un algorithme classique ou « déterministe » , toutes les opérations à effectuer sur les données sont programmées par le concepteur de l'algorithme, si bien qu'une même entrée produira toujours le même résultat. La programmation implique donc de décomposer et d'abstraire l'ensemble des opérations constitutives de la tâche que l'on veut automatiser (par exemple une suite d'opérations logico-mathématiques) ; - un algorithme « auto-apprenant » ou « probabiliste » , au contraire, est capable de réviser ses propres règles de fonctionnement pour atteindre l'objectif souhaité par l'utilisateur. La technique de l'apprentissage automatique ou machine learning consiste, en effet, à alimenter une machine avec une grande quantité de données entre lesquelles elle est capable de déceler elle-même des corrélations statistiques et, par conséquent, d'élaborer ses propres catégories et ses propres règles pour parvenir à un certain résultat. Prenons le cas d'un établissement de crédit qui souhaite confier à un automate le soin d'évaluer la solvabilité d'emprunteurs potentiels. Avec un algorithme classique, le banquier doit établir explicitement des critères d'évaluation (revenus, patrimoine, âge, état de santé, incidents de remboursement passés, etc. ) et les transcrire dans le système informatique. Avec un algorithme auto-apprenant, il lui suffit d'assigner à la machine un objectif (sélectionner les emprunteurs dont la probabilité de défaut est inférieure à un certain seuil) et de lui fournir une très grande quantité de données sur les emprunteurs passés de cette banque ou d'autres (sans opérer de tri entre les données apparemment pertinentes et non), ainsi que sur chaque dossier à traiter. Si l'algorithme décèle que les personnes âgées de moins de 35 ans qui s'habillent en rouge ont moins de chances de faire défaut que celles qui s'habillent en bleu, il en tiendra compte dans l'évaluation du dossier de chaque demandeur... et révisera ce critère s'il s'avère erroné. Les algorithmes auto-apprenants, dont le développement est contemporain de celui des big data , sont extrêmement prometteurs en ce qu'ils permettent d'automatiser des tâches qui n'avaient pu l'être auparavant en raison de leur complexité, mais aussi de surpasser les capacités humaines de traitement de l'information (catégorisation, établissement de relations de causalité) et d'atteindre ainsi certains objectifs beaucoup plus efficacement 85 ( * ) . Ils posent en revanche des problèmes éthiques et politiques nouveaux : leurs résultats dépendent des données dont ils ont été alimentés, qui peuvent comporter des biais (d'où un risque de discrimination), et qui reflètent en tout cas une réalité passée (d'où le risque que ces algorithmes favorisent la reproduction des inégalités sociales). En outre, il n'est pas toujours possible pour un humain de reconstituer les opérations effectuées par un tel algorithme, qui fonctionne alors comme une « boîte noire ». Pour en évaluer la fiabilité, il faut alors procéder à partir de ses résultats, suivant les méthodes de la « rétro-ingénierie ». |
2. Le droit en vigueur, non exempt d'ambiguïtés
Les décisions prises par des personnes publiques ou privées sur le fondement d'algorithmes sont, en l'état du droit, soumises à des conditions de fond et de forme fixées par la loi n° 78-17 du 6 janvier 1978 précitée et par le code des relations entre le public et l'administration. Dans l'ensemble, cet encadrement juridique n'est pas exempt de toute ambiguïté .
L'article 10 de la loi n° 78-17 du 6 janvier 1978, dont la rédaction en vigueur est issue de la loi n° 2004-801 du 6 août 2004 86 ( * ) , prohibe certaines catégories de décisions automatisées dont il n'est pas aisé de définir exactement les contours. Les travaux préparatoires montrent qu'il s'agissait pour le législateur d'encadrer l'usage des techniques de profilage :
- les décisions de justice prises sur un tel fondement sont prohibées ;
- sont également interdites les décisions « produisant des effets juridiques à l'égard d'une personne » prises sur ce seul fondement.
Ne sont pas soumises à cette interdiction les décisions prises dans le cadre de la conclusion ou de l'exécution d'un contrat « et pour lesquelles la personne concernée a été mise à même de présenter ses observations », non plus que les décisions « satisfaisant les demandes de la personne concernée ».
Article 10 de la loi n° 78-17 du 6 janvier 1978 « Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité . « Aucune autre décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité . « Ne sont pas regardées comme prises sur le seul fondement d'un traitement automatisé les décisions prises dans le cadre de la conclusion ou de l'exécution d'un contrat et pour lesquelles la personne concernée a été mise à même de présenter ses observations, ni celles satisfaisant les demandes de la personne concernée. » |
Toutefois, la rédaction de cet article 10 soulève plusieurs difficultés .
Tout d'abord, le législateur semble avoir en partie manqué sa cible . Il entendait notamment encadrer, sans les interdire, les décisions d'embauche, d'octroi de crédit ou de conclusion de contrats d'assurance au moyen de méthodes automatisées d'évaluation ou scoring de cocontractants potentiels. Cependant, un refus de contracter ne peut pas être considéré comme une décision « produisant des effets juridiques » à l'égard de quelqu'un. La directive 95/46/CE du 24 octobre 1995 mentionnait, plus largement, les décisions « produisant des effets juridiques » à l'égard d'une personne « ou l'affectant de manière significative » 87 ( * ) .
Ensuite, la distinction entre les décisions prises sur le fondement ou sur le seul fondement d'un traitement automatisé n'est pas parfaitement claire. Faut-il, pour qu'une décision produisant des effets juridiques à l'égard de quelqu'un soit permise, bien qu'il ait été fait usage d'une technique automatisée de profilage, qu'une personne physique reprenne intégralement l'instruction du dossier ? Dans quelle mesure peut-elle tenir compte des résultats fournis par la machine ?
Enfin et surtout, la relative imprécision des termes employés et leur variation d'un alinéa à l'autre ont donné lieu à une interprétation extensive des règles instituées à cet article. La CNIL semble en effet considérer que l'article 10 interdit toute décision prise sur le fondement d'un traitement automatisé de données et produisant des effets juridiques à l'égard d'une personne 88 ( * ) . Autrement dit, faute de pouvoir donner un sens précis aux mots : « destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité », le régulateur - et quelquefois le juge - font comme s'ils n'existaient pas...
Le droit en vigueur offre, par ailleurs, certaines garanties de transparence sur les traitements algorithmes qui servent de fondement à des décisions produisant des effets juridiques à l'égard d'une personne.
L'article 39 de la loi n° 78-17 du 6 janvier 1978 prévoit, en effet, que toute personne physique peut obtenir du responsable de traitement « les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques » à son égard.
La loi n° 2016-1321 du 7 octobre 2016 pour une République numérique a, en outre, introduit plusieurs garanties au bénéfice des administrés dans leurs relations avec l'administration :
- il a été confirmé que les codes sources des algorithmes utilisés par l'administration font partie des documents communicables au sens du code des relations entre le public et l'administration (article L. 300-2 dudit code) ;
- une décision individuelle prise sur le fondement d'un traitement algorithmique doit désormais comporter une mention explicite en ce sens, et les règles définissant ce traitement ainsi que les principales caractéristiques de sa mise en oeuvre sont communiquées à l'intéressé à sa demande (article L. 311-3-1 du même code) ;
- les administrations employant plus de cinquante agents doivent publier en ligne les règles définissant les principaux traitements algorithmiques qu'elles utilisent, lorsque ces traitements fondent des décisions individuelles (article L. 312-1-3 du même code).
3. Le règlement (UE) 2016/679 du 27 avril 2016 et les marges de manoeuvre laissées aux États
L'article 22 du règlement (UE) 2016/679 du 27 avril 2016 reprend, pour une large part, les dispositions de l'article 15 de la directive 95/46/CE du 24 octobre 1995 précitée, en les rendant directement applicables.
Il prévoit qu' une personne physique « a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire » , tout en prévoyant des dérogations lorsque la décision :
a) est nécessaire à la conclusion ou l'exécution d'un contrat entre la personne concernée et un responsable de traitement ;
b) est autorisée par le droit de l'Union ou le droit d'un État membre ;
c) est fondée sur le consentement explicite de la personne concernée.
Dans tous les cas, doivent être prises « des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ». Dans les cas mentionnés aux a et c , ces mesures doivent garantir « le droit de la personne concernée d'obtenir une intervention humaine de la part du responsable de traitement, d'exprimer son point de vue et de contester la décision ».
Aucune décision ne peut être prise sur le fondement d'un traitement automatisé de données « sensibles », au sens du paragraphe 1 de l'article 9 du règlement 89 ( * ) , sauf si la personne concernée a donné son consentement explicite (à moins que le droit de l'Union ou le droit d'un État membre ne prévoie que cette interdiction ne puisse être levée par la personne concernée) ou si le traitement est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un État membre (auquel cas des mesures appropriées doivent être prises pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée).
Cet article 22 du règlement (UE) 2016/679 du 27 avril 2016 laisse donc une grande latitude aux États membres pour autoriser certaines décisions fondées sur un traitement algorithmique et produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative, sous réserve d'apporter des garanties appropriées.
4. Le projet de loi initial : une adaptation partielle de la loi française et l'autorisation sous conditions des décisions administratives individuelles automatisées
L'article 14 du projet de loi tend à apporter à l'article 10 de la loi n° 78-17 du 6 janvier 1978 plusieurs modifications d'inégale importance.
Il prévoit, en premier lieu, quelques modifications rédactionnelles dont la pertinence échappe à votre rapporteur. Le mot « profil » disparaîtrait, et le deuxième alinéa, relatif aux décisions produisant des effets juridiques autres que les décisions de justice, serait ainsi rédigé : « Aucune autre décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à prévoir ou à évaluer certains aspects personnels relatifs à la personne concernée. » Votre rapporteur relève, d'une part, que le règlement (UE) 2016/679 du 27 avril 2016 offre du profilage une définition beaucoup plus claire et précise, d'autre part, que l'interdiction de principe énoncée à l'article 15 du même règlement est plus large et concerne les décisions prises sur le fondement de tout traitement automatisé (même sans profilage), qu'elles produisent des effets juridiques ou qu'elles « affectent » seulement une personne « de manière significative ».
En deuxième lieu, l'article 14 du projet de loi mentionne les dérogations prévues aux a et c de l'article 22 du règlement (UE) 2016/679 du 27 avril 2016, en faveur des décisions nécessaires à la conclusion ou à l'exécution d'un contrat, ou fondées sur le consentement explicite de la personne concernée.
En troisième lieu, et c'est là le plus important, l'article 14 du projet de loi fait usage des marges de manoeuvre laissées par le règlement aux États membres pour instituer une troisième dérogation à l'interdiction de principe des décisions prises sur le seul fondement d'un traitement automatisé, en faveur des décisions administratives individuelles, à condition que le traitement ne porte pas sur des données « sensibles ». Répondant au souhait exprimé par le Conseil d'État, le Gouvernement a ajouté une disposition selon laquelle le responsable de traitement devra alors s'assurer de la maîtrise du traitement algorithmique et de ses évolutions : il s'agit d'éviter qu'un algorithme « auto-apprenant » ne se transforme en « boîte noire » dont personne, pas même l'administration qui l'utilise, ne comprendrait les règles de fonctionnement.
Malgré ces quelques garanties, l'autorisation des décisions administratives individuelles automatisées, y compris fondées sur le profilage, constitue une innovation juridique considérable , dont la portée n'a peut-être pas été pleinement mesurée. Un tel sujet, dont le lien avec la protection des données personnelles est ténu, aurait mérité une réflexion beaucoup plus approfondie , comme l'a souligné la CNIL dans son avis :
- sur le plan des principes , d'abord : dans quelle mesure sommes-nous prêts à déléguer à des automates le soin de prendre des décisions ayant une incidence significative sur nos vies ? Si ce débat n'a pas lieu publiquement et de manière éclairée, il est illusoire de penser que l'automatisation de la décision publique puisse être acceptée de nos concitoyens ;
- sur la nature des décisions administratives individuelles dont nous pourrions admettre l'automatisation : faut-il mettre sur le même plan la liquidation d'une taxe, l'admission d'un étudiant à l'université et l'expulsion d'un étranger ?
- sur la nature des algorithmes auxquels nous pouvons nous fier pour prendre seuls des décisions : une feuille de calcul qui détermine l'impôt sur le revenu dû par un contribuable, à partir de ses revenus déclarés et du barème de l'impôt, ne soulève pas les mêmes problèmes qu'un algorithme « auto-apprenant » auquel on demande d'évaluer la solvabilité d'un demandeur de logement social en fonction de paramètres qu'il détermine lui-même, sans qu'un humain puisse toujours les reconstituer intégralement ;
- sur les garanties à apporter aux administrés.
Le Conseil d'État a, lui aussi, appelé à la définition d'un régime plus complet du contrôle des algorithmes, y compris au-delà du champ des décisions administratives individuelles.
5. Les améliorations apportées par l'Assemblée nationale
Nos collègues députés, sans remettre en cause les dispositions proposées par le Gouvernement, y ont apporté plusieurs améliorations.
À l'initiative de sa rapporteure, la commission des lois de l'Assemblée nationale a tout d'abord revu l'architecture globale de l'article 10 de la loi n° 78-17 du 6 janvier 1978, dans la rédaction qui sera issue de ce projet de loi, afin de mieux distinguer l'interdiction de principe des décisions prises sur le seul fondement d'un traitement automatisé et les dérogations prévues par le règlement (UE) 2016/679 du 27 avril 2016 ou par la loi française.
S'agissant des décisions administratives individuelles automatisées, la commission des lois a également précisé que le responsable de traitement devra être en mesure d'« expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en oeuvre à son égard ».
Enfin, nos collègues députés ont ajouté - par un amendement de la rapporteure en commission, complété à son initiative en séance publique - que les dérogations prévues par le règlement en faveur des décisions nécessaires à la conclusion ou à l'exécution d'un contrat, ou fondées sur le consentement explicite de la personne concernée, ne s'appliqueront que « sous les réserves » mentionnées à l'article 22 du règlement (c'est-à-dire moyennant les « mesures appropriées » mentionnées ci-dessus), et « à condition que les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en oeuvre soient communiquées, à l'exception des secrets protégés par la loi, par le responsable de traitement à l'intéressé s'il en fait la demande ». Il s'agit donc d'étendre à ces décisions, susceptibles d'émaner de personnes publiques ou privées, l'une des garanties de transparence prévues par le droit en vigueur en ce qui concerne les décisions administratives individuelles.
6. La position de votre commission : clarifier le droit, soumettre les décisions produisant des effets juridiques sur autrui à des garanties de transparence, et n'admettre qu'avec précaution l'automatisation de la décision publique
Clarifier l'articulation entre droit européen et droit national
Votre rapporteur a déjà attiré l'attention sur les nombreux problèmes d'articulation entre le règlement européen et le droit national modifié par le projet de loi, qui inquiètent tous les praticiens. Cette articulation est particulièrement confuse en ce qui concerne les décisions automatisées, comme il ressort du tableau ci-après.
Article 22 du règlement (UE) 2016/679 du 27 avril 2016 |
Article 10 (modifié par le projet de loi) de la loi n° 78-17 du 6 janvier 1978 |
||
Personnes protégées |
Personnes physiques |
Personnes physiques ou morales 90 ( * ) |
|
Nature des décisions dont l'automatisation est interdite par principe |
Décisions produisant des effets juridiques concernant une personne ou l'affectant « de manière significative de façon similaire » |
Décisions de justice « impliquant une appréciation sur le comportement d'une personne » et autres décisions produisant des effets juridiques |
|
Nature des traitements automatisés qui, par principe, ne peuvent fonder une décision |
Tout traitement automatisé, y compris le profilage |
Profilage (- En ce qui concerne les décisions de justice : tout « traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité » ; - En ce qui concerne les autres décisions : tout « traitement automatisé de données destiné à prévoir ou à évaluer certains aspects personnels relatifs à la personne concernée ») |
|
Lien prohibé par principe entre un traitement automatisé et une décision |
Décisions « fondées exclusivement » sur un traitement automatisé |
- En ce qui concerne les décisions de justice : décisions ayant « pour fondement » un traitement automatisé ; - En ce qui concerne les autres décisions : décisions prises « sur le seul fondement » d'un traitement automatisé |
Source : commission des lois du Sénat
Compte tenu du fait que le règlement européen est d'application directe, il eût été envisageable d'abroger purement et simplement l'article 10 de la loi n° 78-17 du 6 janvier 1978. Votre commission ne l'a pas jugé souhaitable, néanmoins, car cet article peut apporter certaines garanties supplémentaires par rapport au droit européen, notamment en ce qui concerne les décisions de justice. En revanche, elle s'est attachée à harmoniser la rédaction de la loi nationale et du règlement, tant en ce qui concerne la nature des décisions dont l'automatisation est interdite par principe qu'au sujet des traitements automatisés ainsi prohibés, et cela afin d'éviter toute difficulté d'interprétation.
Soumettre les décisions produisant des effets juridiques sur autrui à des garanties de transparence
En ce qui concerne les décisions nécessaires à la conclusion ou à l'exécution d'un contrat ou fondées sur le consentement explicite de la personne concernée, votre rapporteur a noté que l'Assemblée nationale avait imposé aux responsables de traitement une obligation de transparence non prévue par le règlement, qui - en dehors de certaines garanties minimales - s'en remet à ces responsables pour définir et mettre en oeuvre les « mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée », sous le contrôle du juge. Les États membres disposent-ils ici d'une marge de manoeuvre pour préciser en droit interne quelles doivent être ces « mesures appropriées » ? Ce n'est pas assuré.
La portée pratique de cette disposition a d'ailleurs paru assez incertaine à votre commission. Nos collègues députés, rappelons-le, ont prévu que les personnes faisant l'objet de telles décisions, y compris dans la sphère privée, pourraient se voir communiquer les règles définissant le traitement et les principales caractéristiques de sa mise en oeuvre, en exceptant les « secrets protégés par la loi ». Or les responsables de traitement pourront facilement se retrancher derrière le secret industriel et commercial pour refuser de transmettre ces informations 91 ( * ) . En outre, il n'existe pas dans la sphère privée d'instance équivalente à la Commission d'accès aux documents administratifs : en cas de refus injustifié de la part du responsable de traitement, le demandeur n'aurait d'autre choix que d'engager un recours juridictionnel long et coûteux. Par ailleurs, sauf à ce que ce nouveau droit à communication demeure lettre morte, il aurait fallu prévoir que l'intéressé soit systématiquement informé de ce qu'une décision prise à son égard, pour la conclusion ou l'exécution d'un contrat ou avec son consentement préalable, a été fondée sur un traitement automatisé.
L'intention de nos collègues députés est néanmoins louable. Votre rapporteur a cru nécessaire, sur ce point, d'opérer une distinction entre :
- d'une part, les décisions produisant des effets juridiques sur autrui, rares dans la sphère privée - puisque les relations entre les particuliers sont avant tout régies par le contrat - mais qui, lorsqu'elles existent, sont généralement soumises à des règles procédurales visant à garantir l'information des personnes à qui la décision s'impose (préavis, notification, signification par exploit d'huissier) ainsi qu'à une exigence de motivation 92 ( * ) ; dans ce cas, il est effectivement opportun que les personnes concernées soient informées que la décision prise à leur égard a été prise sur le fondement d'un traitement automatisé (ce que votre commission a explicitement prévu) et qu'elles puissent en connaître les règles et les principales caractéristiques de mise en oeuvre ;
- d'autre part, les décisions « affectant » une personne sans produire à son égard aucun effet juridique, pour lesquelles de telles obligations sont à la fois peu praticables (puisque ces décisions ne sont pas systématiquement portées à la connaissance de l'intéressé) et peu pertinentes (puisque de telles décisions relèvent de la liberté des personnes, qui peuvent recourir à toute procédure, automatisée ou non, pour y parvenir).
Mieux encadrer l'automatisation des décisions administratives individuelles
Le recours par l'administration à des
procédés automatisés, y compris pour prendre sur leur
seul fondement des décisions produisant des effets juridiques, peut se
justifier dans certains cas. Il n'est effectivement pas indispensable qu'un
agent vérifie le montant de l'impôt dû par un contribuable,
tel qu'il a été calculé par un tableur informatique, en
fonction de ses revenus déclarés et du barème. De
même, dans le cas où la réglementation d'un concours
interdit de s'y présenter à plus de trois reprises,
l'autorité organisatrice du concours ayant compétence liée
pour rejeter une demande d'admission à concourir formulée par une
personne déjà trois fois candidate
93
(
*
)
, cette décision peut
être automatisée sans inconvénient. Plus
généralement, on peut mentionner tous les cas où
l'administration a compétence liée, c'est-à-dire
où, les faits et leur qualification juridique étant
donnés, le sens de la décision est déterminé
par
les règles de droit
94
(
*
)
. L'automatisation est susceptible de libérer
des ressources humaines qui seraient mieux employées à traiter
les dossiers complexes ou appelant l'exercice d'un pouvoir
d'appréciation.
L'usage d'algorithmes apporte également la garantie d'une application uniforme de la loi, et prémunit ainsi les administrés contre les erreurs des agents, contre leurs divergences d'interprétation, voire contre l'arbitraire. Le professeur Roger-François Gauthier, spécialiste des politiques éducatives, affirme ainsi que la plateforme Admission post-bac a eu le mérite de mettre fin à un système « mafieux » où le passe-droit avait sa place 95 ( * ) .
Toutefois, aux yeux de votre rapporteur, il convient de se prémunir contre trois risques.
En premier lieu, une décision automatisée risque d'être aveugle à des circonstances de l'espèce qui mériteraient d'être prises en compte, parce que l'algorithme n'a pas été programmé pour le faire - et, à un certain niveau de spécificité, ne peut pas l'être. Le recours aux algorithmes doit donc être réservé à des cas qui n'appellent aucun pouvoir d'appréciation.
Le deuxième risque, lié à l'essor de l'intelligence artificielle et des algorithmes « auto-apprenants », est que des décisions administratives individuelles soient prises sans que personne ne sache suivant quels critères, l'algorithme ayant déterminé lui-même les critères à appliquer et leur pondération, sur le fondement de corrélations statistiques observées dans la masse des données qui lui auront été fournies et en fonction de l'objectif qui lui aura été assigné. Ce risque, lié à l'usage d'algorithmes « boîtes noires », a été bien identifié par le Conseil d'État et par nos collègues députés.
Le troisième risque est que la programmation des algorithmes destinés à prendre des décisions individuelles n'aboutisse à contourner les règles de fond et de forme qui encadrent l'exercice du pouvoir réglementaire. Il en va ainsi lorsque les opérations effectuées par un algorithme (tel que programmé par les services informatiques d'une administration) ne correspondent qu'approximativement, voire pas du tout, aux règles édictées par l'autorité compétente, dans les formes requises, dans le respect de la hiérarchie des normes et sous le contrôle du juge. L'exemple qui vient immédiatement en tête est celui de la procédure d'« Admission post-bac », où les candidatures des lycéens dans les licences universitaires étaient classées suivant des critères reposant sur une base légale fragile, qui n'avaient jamais été explicités dans un texte réglementaire et qui n'étaient même pas rendus publics 96 ( * ) . On ne saurait admettre que l'administration se défausse ainsi de ses responsabilités sur la machine, en jouant de la complexité technique et de la réputation d'infaillibilité des automates pour masquer ses propres choix.
Le cas des décisions administratives individuelles fondées sur des probabilités Les différents risques liés à l'usage des algorithmes par l'administration sont particulièrement aigus dans le cas des décisions administratives individuelles fondées une évaluation de la probabilité d'un événement futur. De telles décisions se rencontrent : - dans le champ de la police administrative : selon le cas, les textes déterminent plus ou moins strictement les critères d'évaluation des risques d'atteinte à l'ordre public qui justifient l'exercice d'un tel pouvoir de police, laissant ainsi à l'autorité administrative une plus ou moins grande latitude d'appréciation 97 ( * ) ; - en matière de service public, dans un cadre juridique généralement plus étroit : ainsi, le code de la construction et de l'habitation n'autorise les organismes HLM à évaluer la solvabilité des candidats à l'attribution d'un logement social que sur la base de leur taux d'effort, défini comme la proportion entre le loyer demandé et leurs revenus 98 ( * ) . En déléguant de telles décisions à un automate, l'administration renoncerait à exercer tout pouvoir d'appréciation, puisqu'un algorithme applique aux situations individuelles des règles générales déterminées à l'avance (par le programmeur ou par lui-même dans le cas d'un algorithme « auto-apprenant »). Ce n'est certainement pas souhaitable dans le cas de mesures de police restreignant l'exercice des droits et libertés. Si l'on considère à l'inverse que certaines décisions fondées sur des probabilités (par exemple le risque de défaut) n'appellent pas de pouvoir d'appréciation, alors il convient d'en fixer exhaustivement les critères dans la loi ou le règlement avant de les déléguer à un algorithme. Admettre le contraire, ce serait confier aux programmateurs ou aux algorithmes eux-mêmes un pouvoir normatif qui n'appartient qu'au législateur et aux titulaires du pouvoir réglementaire. Enfin, il serait difficilement acceptable que, demain, de telles décisions soient prises au moyen d'algorithmes « auto-apprenants », qui détermineraient eux-mêmes les critères permettant d'évaluer, par exemple, la probabilité qu'une personne porte atteinte à l'ordre public ou ne paie pas son loyer, sans aucune base légale ou réglementaire et sans qu'aucun humain puisse comprendre les règles qu'il applique. |
Pour parer à ces différents risques, les garde-fous prévus par le droit en vigueur et par le projet de loi n'ont pas paru suffisants à votre rapporteur. À son initiative, votre commission a choisi de n'autoriser les décisions administratives individuelles prises sur le seul fondement de traitements automatisés que lorsque ces traitements ont pour seul objet d'appliquer strictement des dispositions légales ou réglementaires à des situations individuelles caractérisées par des faits dont la matérialité et la qualification juridique sont établies sur un autre fondement. Ainsi :
- les opérations effectuées par les algorithmes servant à des décisions administratives individuelles devront reposer sur une base juridique explicite et exhaustive ;
- par là-même, il sera interdit de prendre une décision sur le seul fondement d'un algorithme « boîte noire » ;
- à l'inverse, dans tous les cas où il apparaît nécessaire de laisser à l'autorité administrative une latitude d'appréciation, en ne déterminant pas précisément dans la loi ou le règlement les critères de sa décision, l'autorité administrative devra exercer réellement ce pouvoir d'appréciation et ne disposera d'aucune base légale pour déléguer sa décision à un automate.
Votre commission a fait une exception pour les actes pris par l'administration dans l'exercice de ses pouvoirs de contrôle ou d'enquête, parce qu'il lui paraît légitime, par exemple, que l'administration fiscale décide d'engager un contrôle sur le fondement d'un algorithme (déterministe ou « auto-apprenant ») faisant apparaître une probabilité de fraude de la part d'un contribuable - elle le fait d'ailleurs déjà 99 ( * ) . Plus généralement, un contrôle ou une enquête peut être l'occasion de vérifier, par une intervention humaine, des faits dont un traitement automatisé aurait seulement établi la probabilité.
Il a paru indispensable à votre commission de préciser qu'aucune décision prise dans le cadre d'un recours administratif gracieux ou hiérarchique - éventuellement à l'encontre d'une décision automatisée - ne pourra être prise sur le seul fondement d'un traitement automatisé de données. L'intéressé aura ainsi, par le biais du droit au recours gracieux ou hiérarchique, la faculté d'obtenir une intervention humaine dans l'examen de son dossier. C'est assurément une garantie nécessaire pour les droits et libertés de la personne concernée, telle qu'exigée par le règlement.
Afin de renforcer les garanties de transparence offertes aux administrés, votre commission a prévu de frapper de nullité toute décision individuelle fondée sur un traitement algorithmique et qui ne comporterait pas la mention en ce sens prévue à l'article L. 311-3-1 du code des relations entre le public et l'administration. Selon les informations recueillies par votre rapporteur, il semble en effet que de nombreuses administrations rechignent à appliquer cette disposition légale. Compte tenu de la jurisprudence Danthony du Conseil d'État 100 ( * ) , il est vraisemblable que l'omission de cette formalité, en ce qu'elle prive les intéressés d'une garantie, serait jugée entacher l'acte d'illégalité ; toutefois, votre commission a estimé préférable de lever le doute sur ce point.
Revenir sur l'exception aux règles de publicité des algorithmes prévue dans le cadre de la nouvelle procédure d'accès à l'enseignement supérieur
À l'initiative de votre rapporteur, votre commission a également souhaité corriger une première entorse qui vient d'être faite aux règles de publicité des algorithmes employés par l'administration pour fonder des décisions individuelles, introduites par la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique . Il semble, en effet, que toutes les leçons des dysfonctionnements d'« Admission post-bac » n'aient pas été tirées par le Gouvernement.
Le cas d'Admission post-bac La procédure Admission post-bac (APB) a servi entre 2009 et 2017 à gérer l'affectation des étudiants en première année dans les établissements d'enseignement supérieur. La grande majorité des formations y étaient affiliées. Cette procédure reposait d'abord sur un algorithme d'appariement de type Gale-Shapley (du nom des deux prix Nobel d'économie qui en ont mis au point le modèle), servant à affecter chaque étudiant dans une formation. Le fonctionnement d'un tel algorithme supposait que, d'un côté, chaque candidat classe ses voeux d'affectation, et que, de l'autre côté, chaque formation classe l'ensemble des candidats qui y avaient postulé. Une fois ces deux types de classement établis, il suffisait de quelques secondes à l'algorithme pour déterminer, pour chaque candidat, la formation correspondant à son voeu le plus élevé parmi celles où il avait été d'emblée classé au sein du contingent admissible ou parmi celles où une place devenait vacante par le jeu des préférences des autres candidats. Le système fonctionnait à la satisfaction générale en ce qui concerne les filières sélectives, où les établissements étaient habilités à classer les candidats (sur dossier ou sur concours). En revanche, la loi interdisait un tel classement dans les licences universitaires. Or certaines licences, dites « en tension », voyaient affluer plus de candidats qu'elles n'en pouvaient recevoir. Le ministère de l'éducation nationale a donc intégré au système un algorithme de classement, qui procédait lui-même au classement des candidats en licence sans l'intervention des équipes pédagogiques, sur le fondement de l'article L. 612-3 du code de l'éducation, qui dispose que « lorsque l'effectif des candidatures excède les capacités d'accueil d'un établissement (...) les inscriptions sont prononcées, après avis du président de cet établissement, par le recteur chancelier, selon la réglementation établie par le ministre chargé de l'enseignement supérieur, en fonction du domicile, de la situation de famille du candidat et des préférences exprimées par celui-ci. » Les critères légaux, on le voit, demandaient à être interprétés. Fallait-il par exemple classer les candidats selon la distance entre leur domicile et l'université, ou préférer ceux qui résidaient dans l'académie, même loin de l'établissement ? En faisant référence à la situation de famille, la loi avait-elle entendu privilégier les candidats mariés ou ayant des enfants, ou encore issus de familles monoparentales ? Comment pondérer ces différents critères ? Or la réglementation prévue par la loi n'est jamais parue, et il a fallu attendre la circulaire du 24 avril 2017 pour que le public sache quelles étaient les règles appliquées par l'algorithme. Celui-ci accordait d'ailleurs, sans aucune base légale, une priorité aux bacheliers des lycées français de l'étranger sur tous les autres, et aux bacheliers de l'année sur les étudiants en réorientation. Pis encore, en se fondant sur une interprétation contestable de la loi, l'algorithme de classement tenait compte de l'ordre des voeux des candidats, ce qui privilégiait certes les plus motivés, mais ce qui ruinait le bon fonctionnement de l'algorithme d'appariement. L'un des objectifs de ce dernier, en effet, était que les candidats établissent leurs voeux en fonction de leurs préférences réelles, sans autocensure ni autre comportement stratégique. Or, vu le paramétrage de l'algorithme de classement, un candidat ayant été refusé par une formation sélective qui constituait son premier voeu courait le risque d'être également refusé dans une licence universitaire où il aurait été reçu s'il l'avait mieux classée. Comme l'a relevé la Cour des comptes, cette règle du jeu était source d'inégalité entre les candidats qui l'avaient comprise et les autres, d'autant que la communication du ministère était délibérément trompeuse sur ce point 101 ( * ) . |
Dans le cadre de la nouvelle procédure d'affectation des bacheliers dans l'enseignement supérieur, dite « Parcoursup », il ne sera plus fait usage d'un algorithme d'appariement du même type que dans « Admission post-bac », puisque les candidats ne seront plus appelés à classer leurs voeux. Ces derniers devront faire un choix au fur et à mesure que leur parviendront les réponses des établissements auxquels ils auront postulé - ce qui est regrettable, car cela ralentira considérablement la procédure. En revanche, tous les établissements devront désormais classer l'ensemble des candidatures qu'ils auront reçues, dont le nombre pourrait s'élever dans certaines filières attractives à plusieurs centaines, voire plusieurs milliers 102 ( * ) . Dans ces conditions, il est vraisemblable et presque inévitable que les équipes pédagogiques fassent appel à des algorithmes pour accepter ou écarter automatiquement une partie des demandes 103 ( * ) , sur la base de critères qu'il faudra élaborer à partir des principes fixés par la nouvelle législation 104 ( * ) .
Au cours de l'examen du projet de loi relatif à l'orientation et à la réussite des étudiants , en décembre et janvier derniers, l'Assemblée nationale a d'abord adopté, à l'initiative de notre collègue député Cédric Villani, un amendement renforçant les exigences de transparence de la procédure, puisqu'il prévoyait que « la communication, en application des dispositions du code des relations entre le public et l'administration, du code source des traitements automatisés utilisés pour le fonctionnement de la plateforme (...) s'accompagne de la communication du cahier des charges présenté de manière synthétique et de l'algorithme du traitement » Mais ces garanties ont été vidées de leur substance par un amendement de dernière minute du Gouvernement, présenté en séance publique au Sénat, sans que notre commission de la culture ait pu l'examiner. Il a ainsi été inséré au I de l'article L. 612-3 du code de l'éducation une disposition selon laquelle, « afin de garantir la nécessaire protection du secret des délibérations des équipes pédagogiques chargées de l'examen des candidatures présentées dans le cadre de la procédure nationale de préinscription prévue au même deuxième alinéa, les obligations résultant des articles L. 311-3-1 et L. 312-1-3 du code des relations entre le public et l'administration sont réputées satisfaites dès lors que les candidats sont informés de la possibilité d'obtenir, s'ils en font la demande, la communication des informations relatives aux critères et modalités d'examen de leurs candidatures ainsi que des motifs pédagogiques qui justifient la décision prise ». Autrement dit, seuls les algorithmes parfaitement anodins utilisés pour le fonctionnement de la plateforme en ligne seront communiqués, sur demande, avec leur cahier des charges. En revanche, si des décisions d'acceptation ou de refus de candidats sont prises par les établissements sur le fondement de traitements automatisés, ces établissements ne seront ni dans l'obligation de faire figurer une mention explicite en ce sens sur le texte de la décision et de communiquer à l'intéressé, à sa demande, les règles définissant ce traitement ainsi que les principales caractéristiques de sa mise en oeuvre (article L. 311-3-1 du code des relations entre le public et l'administration), ni contraints de publier en ligne ces règles définissant les traitements, s'ils emploient plus de cinquante agents (article L. 312-1-3 du même code) 105 ( * ) .
Cette exception n'a pas lieu d'être. On peut certes admettre d'appliquer aux équipes pédagogiques chargées de se prononcer sur l'inscription des candidats le principe de secret des délibérations des jurys d'examen et de concours, reconnu de longue date par la jurisprudence administrative - encore que votre rapporteur appelle à ne pas étendre outre mesure la portée de ce principe, qui va à l'encontre des exigences croissantes de notre société et de notre droit en matière de motivation des décisions administratives, juridictionnelles ou même privées. Mais il n'y a aucune raison de protéger le secret de délibérations inexistantes... Si la décision d'accepter ou non un candidat est prise sur le fondement de règles générales transcrites en un programme informatique, l'intéressé a le droit de savoir lesquelles. À l'initiative de son rapporteur, votre commission a donc décidé de supprimer le dernier alinéa du I de l'article L. 612-3 du code de l'éducation.
Compte tenu de l'ampleur des modifications à apporter à l'article 10 de la loi n° 78-17 du 6 janvier 1978, votre commission a estimé préférable d'en proposer une nouvelle rédaction intégrale, ainsi que de l'article 14 du projet de loi ( amendement COM-60 du rapporteur).
Votre commission a adopté l'article 14 ainsi modifié .
Article 14 bis (art. 32 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Information des mineurs de moins de 15 ans
Introduit en commission à l'initiative du député Philippe Gosselin, article renforce les obligations d'information à la charge des responsables de traitement, leur imposant, lorsque des données à caractère personnel sont collectées auprès d'un mineur de moins de 15 ans, que les éléments transmis dans le cadre du droit à l'information le soient « dans un langage clair et facilement accessible ».
Votre rapporteur approuve l'intention de cette précision, qui répond aux objectifs promus par le RGPD, aux termes duquel : « Les enfants méritant une protection spécifique, toute information et communication, lorsque le traitement les concerne, devraient être rédigées en des termes clairs et simples que l'enfant peut aisément comprendre » (considérant 58).
Son article 12, relatif notamment au principe de transparence, prévoit d'ailleurs déjà explicitement que : « Le responsable du traitement prend des mesures appropriées pour fournir toute information [...] ainsi que pour procéder à toute communication [...] en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant ».
Au bénéfice de l'adoption de deux amendements identiques COM-61 et COM-12 de coordination avec l'article 14 A, relevant à 16 ans l'âge en dessous duquel la clarté de l'information est ainsi renforcée, votre commission a adopté l'article 14 bis ainsi modifié .
Article 15 (art. 40 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Dérogations à l'obligation de divulgation de certaines violations de données personnelles
L'article 15 du projet de loi autorise un décret en Conseil d'État à fixer la liste des traitements et des catégories de traitements autorisés à déroger à l'obligation de notifier certaines violations de leurs données personnelles aux personnes concernées, dans le cas où cette divulgation serait susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.
1. Une obligation de notification des violations de données personnelles actuellement appliquée au seul secteur des communications électroniques et désormais généralisée par le RGPD
Si, dans le cadre général de la protection des
données personnelles, l'ancienne directive de 1995 ne prévoyait
pas d'obligation de notification en cas de violation de données à
caractère personnel («
data breach
»), un
tel mécanisme est prévu par un texte sectoriel, la directive dite
« vie privée et
communications électroniques » 106 ( * ) révisée en 2009 à cet effet. La notification à l'abonné ou au particulier n'est obligatoire que dans certaines circonstances, et le règlement d'application de la Commission européenne ménage certaines exceptions à cette obligation : « Dans certains cas exceptionnels, s'il y a un risque que la notification à l'abonné ou au particulier nuise à l'efficacité de l'enquête sur la violation de données à caractère personnel, le fournisseur est autorisé, après avoir obtenu l'accord de l'autorité nationale compétente, à retarder la notification jusqu'au moment où ladite autorité juge possible de notifier la violation conformément au présent article. » 107 ( * )
Ce mécanisme sectoriel de notification en cas de violation des données personnelles en matière de communication électronique a été transposé en droit français à l'article 34 bis de la loi Informatique et libertés, seules les violations susceptibles de porter atteinte aux données ou à la vie privée d'un abonné devant, en principe, faire l'objet d'une communication à la personne concernée, sous le contrôle de la CNIL (elle doit être systématiquement informée).
Le RGPD étend ce dispositif et instaure désormais, de façon générale et assortie de multiples conditions et dérogations, une double obligation de divulgation en cas de violation de données personnelles :
- la notification à l'autorité de contrôle (art. 33 du RGPD) ;
- et la communication à la personne concernée (art. 34 du RGPD).
2. Une dérogation nationale limitée et encadrée
La possibilité d'apporter des limitations
nationales
L'article 23 du règlement autorise la limitation, par une mesure législative 108 ( * ) du droit national, de certains droits des personnes concernées (droit à l'information droit d'accès, droit de rectification, droit à l'effacement, droit à la portabilité, droit d'opposition et, comme ici, droit à la communication d'une violation de données à caractère personnel) lorsqu'une telle limitation respecte l'essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir certains objectifs (sécurité nationale, défense nationale, sécurité publique, prévention et détection d'infractions pénales, protection de l'indépendance de la justice et des procédures judiciaires, objectifs importants d'intérêt public général de l'Union ou d'un État membre, etc .) |
Utilisant la faculté d'apporter des limitations nationales à certains droits ouverts par le règlement, l'article 15 du projet de loi autorise un décret en Conseil d'État à fixer une liste des traitements et des catégories de traitements autorisés à déroger à l'obligation de notifier certaines violations de leurs données personnelles aux personnes concernées. Le champ de cette dérogation est triplement limité :
- à certains types de violations de données, celles liées à des manoeuvres frauduleuses, à savoir uniquement la divulgation de données et l'accès non autorisé à celles-ci (et non leur destruction, leur perte, ou leur altération, défaillances dont les administrations seraient responsables et qui ne seront pas couvertes par cette exception à l'obligation de divulgation) ;
- à certaines circonstances et pour certains motifs (« lorsque la notification d'une divulgation ou d'un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique ») ;
- et à certains traitements (« traitements ou catégories de traitement nécessaires au respect d'une obligation légale ou à l'exercice d'une mission d'intérêt public »).
Votre rapporteur estime que ces dispositions, largement réécrites par le Conseil d'État, poursuivent un objectif légitime et présentent des garanties appropriées qui justifient cette limitation à la marge apportée au nouveau droit de se voir notifier une violation de données personnelles.
Votre commission a adopté l'article 15 sans modification.
* 79 h de l'article 2 de la directive.
* 80 11 de l'article 4 du RGPD.
* 81 Article 7 du RGPD.
* 82 Dont la définition, propre au droit de l'Union européenne, figure au b du 1 de l'article 1 er de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information.
* 83 Rapport d'information n° 344 (2017-2018), fait par M. Simon Sutour au nom de la commission des affaires européennes, sur le projet de loi, adopté par l'Assemblée nationale après engagement de la procédure accélérée, relatif à la protection des données personnelles. Ce rapport est consultable à l'adresse suivante : http://www.senat.fr/rap/r17-344/r17-344.html.
* 84 Article 4 du règlement (UE) 2016/679 du 27 avril 2016.
* 85 Le machine learning est, par exemple, à l'origine des progrès des prévisions météorologiques.
* 86 Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés .
* 87 Article 15 de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données .
* 88 Voir la décision 2017-053 du 30 août 2017 de la présidente de la CNIL mettant en demeure le ministère de l'éducation nationale au sujet de la procédure dite « Admission post-bac », ainsi que l'avis de la CNIL sur le projet de loi. Le Conseil d'État lui-même semble quelquefois se ranger à cette interprétation extensive : voir CE, 7 avril 2010, n° 309547.
* 89 À savoir les données à caractère personnel dont le traitement révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.
* 90 Bien que la notion de données à caractère personnel ne s'applique qu'aux informations relatives à une personne physique (voir l'article 2 de la loi n° 78-17 du 6 janvier 1978), l'interdiction des décisions de justice impliquant une appréciation sur le comportement d'une personne et fondées sur un traitement automatisé de données personnelles s'applique aussi bien à la condamnation d'une personne morale pour des motifs liés au comportement de son organe, personne physique.
* 91 Le secret industriel et commercial s'oppose, par exemple, à la communication d'un document administratif à toute autre personne qu'à l'intéressé : voir l'article L. 311-6 du code des relations entre le public et l'administration.
* 92 C'est le cas néanmoins du licenciement (article L. 1234-1 du code du travail), du congé donné au titulaire d'un bail commercial (article L. 145-9 du code de commerce), mais aussi, depuis la réforme du droit des obligations, de la résolution unilatérale de tout contrat (article 1226 du code civil).
* 93 Voir CE, 16 octobre 1995, n° 146887, à propos des concours d'entrée à l'École nationale d'administration.
* 94 Il a ainsi été jugé que l'autorité administrative avait compétence liée pour prononcer l'admission d'office à la retraite d'un fonctionnaire qui atteint la limite d'âge (CE, 19 novembre 1954, Sieur Greffe , Lebon p. 603), pour prescrire la radiation des cadres d'un agent à l'encontre duquel le juge pénal a prononcé une interdiction de toute fonction ou emploi public (CE, 25 juillet 1980, n° 15363), ou pour rejeter une demande de permis de construire soumis à l'avis conforme de l'administration des monuments historiques, dès lors que cet avis est défavorable (CE, 22 février 1957, Sté coopérative de reconstruction de Rouen et de sa région , Lebon p. 126). La jurisprudence a aussi fait état de la compétence liée de l'administration lorsque celle-ci exerçait un réel pouvoir d'appréciation pour qualifier les faits, dès lors que, cette qualification étant donnée, sa décision était dictée par les règles de droit ; le Conseil d'État semble désormais retenir une acception plus étroite de la notion (voir CE, 3 février 1999, n° 149722, Montaignac , AJDA 1999. 567, chron. F. Raynaud).
* 95 Voir le rapport publié en décembre 2017 par la CNIL, « Comment permettre à l'homme de garder la main ? Les enjeux éthiques des algorithmes et de l'intelligence artificielle », p. 26. Ce document est consultable à l'adresse suivante :
https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_garder_la_main_web.pdf .
* 97 Trois exemples permettent d'observer cette gradation. Il serait dangereux d'octroyer un permis de chasser à des personnes susceptibles de faire un mauvais usage de leurs armes ; mais le code de l'environnement ne laisse pas au directeur général de l'Office national de la chasse et de la faune sauvage une entière liberté d'appréciation sur ce point : il se contente de fixer la liste des personnes qui ne peuvent se voir délivrer un permis : mineurs de seize ans, majeurs en tutelle, personnes privées du droit de port d'armes à la suite d'une condamnation, etc. (article L. 423-11). L'article L. 332-16 du code du sport établit, quant à lui, une liste de critères assez souples pour apprécier si une personne constitue une menace pour l'ordre public justifiant qu'il lui soit interdit d'accéder aux stades. Enfin, l'article L. 521-1 du code de l'entrée et du séjour des étrangers et du droit d'asile autorise l'expulsion d'un étranger dont la présence en France constitue « une menace grave pour l'ordre public », sans plus de précisions.
* 98 Article R. 443-3-1 du code de la construction et de l'habitation.
* 99 La direction générale des finances publiques dispose ainsi d'un outil de lutte contre la fraude fiscale dénommé « ciblage de la fraude et valorisation des requêtes », créé par un arrêté du 21 février 2014 et fondé sur l'exploration de données ou datamining . La jurisprudence administrative considère d'ailleurs que la décision de soumettre un contribuable à un contrôle fiscal n'est pas détachable de la procédure d'imposition et qu'elle n'est donc pas en elle-même susceptible de recours pour excès de pouvoir : voir par exemple CAA Lyon, 22 septembre 1993, n° 93-161.
* 100 CE Ass., 23 décembre 2011, n° 335477 et CE, 23 décembre 2011, n° 335033.
* 101 Voir le rapport public thématique publié en octobre 2017 par la Cour des comptes, « Admission post-bac et accès à l'enseignement supérieur : un dispositif contesté à réformer », pp. 57-59. Ce document est consultable à l'adresse suivante : https://www.ccomptes.fr/sites/default/files/2017-10/20171019-rapport-admission-post-bac_0.pdf , ainsi que le rapport n° 305 (2017-2018) de nos collègues Cédric Villani, député et Gérard Longuet, sénateur, fait au nom de l'Office parlementaire des choix scientifiques et techniques, « Les algorithmes au service de l'action publique : le cas du portail admission post-bac », consultable à l'adresse suivante : https://www.senat.fr/rap/r17-305/r17-3051.pdf .
* 102 Voir le rapport n° 193 (2017-2018) de notre collègue Jacques Grosperrin, fait au nom de la commission de la culture, sur le projet de loi relatif à l'orientation et à la réussite des étudiants, consultable à l'adresse suivante : http://www.senat.fr/rap/l17-241/l17-2411.pdf .
* 103 L'algorithme pourrait consister, soit à pré-ordonner l'ensemble des dossiers (pour n'examiner que ceux se situant de part et d'autre de la barre d'admission), soit à les répartir en deux ensembles constitués respectivement des dossiers automatiquement écartés et des dossiers à examiner.
* 104 Le III de l'article L. 612-3 du code de l'éducation, dans sa rédaction issue de la loi n° 2018-166 du 8 mars 2018 relative à l'orientation et à la réussite des étudiants , dispose que pour l'accès aux formations non sélectives, « lorsque le nombre de candidatures excède les capacités d'accueil d'une formation, les inscriptions sont prononcées par le président ou le directeur de l'établissement dans la limite des capacités d'accueil, au regard de la cohérence entre, d'une part, le projet de formation du candidat, les acquis de sa formation antérieure et ses compétences et, d'autre part, les caractéristiques de la formation ». Le IV du même article prévoit un pourcentage minimal de bacheliers boursiers et un pourcentage maximal de bacheliers résidant dans une autre académie.
* 105 Notre commission de la culture proposait au contraire, par l'amendement n° 194, d'imposer la publication des règles définissant ces algorithmes et des principales caractéristiques de leur mise en oeuvre.
* 106 Article 4 (« sécurité du traitement »), § 3, aux termes duquel, dans la rédaction résultant de la révision de 2009 :
« En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit sans retard indu l'autorité nationale compétente de la violation.
« Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d'un abonné ou d'un particulier, le fournisseur avertit également sans retard indu l'abonné ou le particulier concerné de la violation » (Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques).
* 107 Règlement (UE) no 611/2013 de la Commission du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques, art. 3, § 5.
* 108 Le considérant 41 du règlement précise à cet égard que « Lorsque le présent règlement fait référence à une base juridique ou à une mesure législative, cela ne signifie pas nécessairement que l'adoption d'un acte législatif par un parlement est exigée, sans préjudice des obligations prévues en vertu de l'ordre constitutionnel de l'État membre concerné. Cependant, cette base juridique ou cette mesure législative devrait être claire et précise et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice de l'Union européenne (...) et de la Cour européenne des droits de l'homme. »