Logo du cabinet Mathias avocat : image cliquable pour retourner à la page d'accueil
Décision individuelle automatisée et RGPD
13 août 2019
Données personnelles

Grâce à l’intelligence artificielle, les algorithmes sont capables de produire des résultats de manière automatisée à partir de l’analyse de données en masse. Ils peuvent ainsi traiter des données, dont des données à caractère personnel et arriver à un résultat sans intervention humaine. Ils peuvent également conduire à la prise d’une décision individuelle automatisée.

A ce jour, l’intelligence artificielle ne fait pas l’objet d’une réglementation propre. Toutefois, la Commission européenne a rappelé à plusieurs reprises que des réflexions sont en cours afin d’élaborer un consensus international en la matière. Pour ce qui concerne la protection des données à caractère personnel, le texte de référence est le Règlement général sur la protection des données (RGPD).

Qu’est-ce qu’une décision individuelle automatisée ?

La Commission nationale de l’informatique et des libertés définit cette notion comme « une décision prise à l’égard d’une personne, par le biais d’algorithmes appliqués à ses données personnelles, sans qu’aucun être humain n’intervienne dans le processus ».

Rappelons que cette notion est distincte du profilage. L’article 4, paragraphe 4 du RGPD définit ce dernier comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

Ainsi, comme le Groupe de travail « Article 29 » (G29) l’a rappelé dans ses lignes directrices relatives à la prise de décision individuelle automatisée et au profilage, une décision individuelle automatisée peut être fondée sur le profilage, mais tout profilage n’implique pas nécessairement une prise de décision individuelle automatisée.

Quels sont les enjeux juridiques ?

Les résultats algorithmiques manquent le plus souvent de transparence, notamment lorsqu’ils sont fondés sur le « machine learning ». De ce fait, l’on considère qu’ils présentent un risque élevé pour les droits et libertés des personnes.

Par exemple, un établissement financier peut recourir à un algorithme pour évaluer la solvabilité des demandeurs de prêt. Une décision sur la solvabilité sera ainsi prise par l’algorithme seul en traitant des données à caractère personnel. Il est aisé d’imaginer que l’algorithme décide que le demandeur de prêt est solvable alors qu’il ne l’est pas, à raison par exemple d’un problème technique ou de la non-pertinence des données fournies.

De même, en matière d’emploi ou de location de biens, l’algorithme pourrait conduire à des résultats discriminatoires, que ce soit volontaire ou involontaire. Ainsi, un rapport explique qu’aux Etats-Unis, les hommes reçoivent plus de publicités automatisées en ligne que les femmes sur des offres d’emploi dans certains domaines comme l’ingénierie ou les sciences.

Face à ces risques, la prise de décision individuelle automatisée est soumise à des règles plus contraignantes pour garantir une plus grande transparence et permettre aux personnes concernées d’avoir la maîtrise sur leurs données.

Comment le RGPD encadre t-il la prise de décisions individuelles automatisées ?

En principe, l’article 22-1 du RGPD établit une interdiction générale de prendre des décisions individuelles automatisées, y compris le profilage, dans deux cas spécifiques :

  • Lorsque la décision individuelle automatisée « produit des effets juridiques» pour la personne concernée : dès lors que la décision a un impact sur les droits et libertés d’une personne, elle produit des effets juridiques. Par exemple, une décision qui prive une personne du bénéfice d’un avantage social ou qui conduit à l’annulation de son contrat produit des effets juridiques à son égard.
  • Lorsque la décision individuelle automatisée affecte « de manière significative de façon similaire » la personne concernée : cela est le cas lorsque la décision affecte de manière significative la situation, le comportement ou les choix d’une personne. Par exemple, une décision sur la solvabilité d’une personne peut affecter sa situation financière d’une manière significative si elle conditionne l’obtention ou non d’un prêt.

Dès lors, si la décision individuelle automatisée ne produit pas d’effets juridiques ou n’affecte pas de manière significative de façon similaire la personne concernée, elle ne sera pas concernée par cette interdiction.

Toutefois, cette interdiction peut être levée dans trois cas :

  • Lorsque la prise de décision individuelle automatisée est nécessaire pour la conclusion ou l’exécution d’un contrat : l’adjectif « nécessaire » implique que ce processus doit être le seul moyen pour pouvoir conclure ou exécuter le contrat.
  • Lorsque la prise de décision individuelle automatisée est expressément autorisée par le droit de l’Union ou d’un Etat membre : cette hypothèse peut concerner les dispositions légales spécifiques sur le contrôle et la prévention des fraudes et sur l’évasion fiscale (considérant 71 du RGPD).
  • Lorsque la prise de décision individuelle automatisée est fondée sur le consentement explicite de la personne concernée : le G29 indique dans ses lignes directrices sur le consentement, le mot « explicite » fait référence à la manière dont le consentement est exprimé. En pratique, pour recueillir un consentement explicite, le responsable de traitement peut demander à la personne concernée de remplir un formulaire en ligne ou de lui adresser un courrier électronique dans lequel elle donne expressément son consentement.

Quelles sont les obligations qui accompagnent la prise de décisions individuelles automatisées ?

Lorsque l’une des exceptions précitées s’applique et que la personne concernée peut faire l’objet d’une décision individuelle automatisée, une attention particulière doit être portée sur certains points.

Tout d’abord, il convient de réaliser une analyse d’impact relative à la protection des données (AIPD) avant la mise en œuvre de tout traitement conduisant à une prise de décision individuelle automatisée. Pour cela, il faut décrire de manière détaillée le traitement et les données concernées, évaluer sa nécessité et sa proportionnalité et enfin, étudier tout risque sur la sécurité des données traitées.

Par ailleurs, il convient d’anticiper l’information à fournir à la personne concernée ainsi que les droits dont elle bénéficie. En effet, la personne concernée dispose d’un droit à l’information (articles 13, 2. f) et 14, 2. g) du RGPD) et d’un droit d’accès (article 15, 1. h) du RGDP) spécifiques à ce type de traitement. Elle doit être informée de l’existence de la prise de décision entièrement automatisé, de la logique sous-jacente, de l’importance et des conséquences prévues du traitement. Elle a également le droit de demander à tout moment au responsable du traitement la communication de ces éléments.

Comme les lignes directrices du G29 l’indiquent, il ne s’agit pas de fournir une explication complexe des algorithmes, ni d’une divulgation de ceux-ci. Ces informations doivent être communiquées d’une manière simple, lisible et compréhensible, par exemple à l’aide de techniques visuelles.

Enfin, la personne concernée bénéficie d’un droit à une intervention humaine (article 22, 3 du RGPD). Elle peut ainsi demander qu’une personne physique intervienne afin d’obtenir une explication sur la décision ou tout simplement de la contester. Sur ce point, le G29 suggère d’informer la personne concernée d’une procédure de recours au moment où la décision individuelle automatisée lui est communiquée. La personne concernée devra également être informée de l’identité d’un interlocuteur auquel elle devra soumettre sa demande ainsi que des délais dans lesquels cette dernière sera examinée.

Dans ce contexte, Mathias Avocats vous propose une check-list de quelques points à prendre en compte dans vos projets :

  • Vérifiez l’existence d’un fondement permettant la mise en œuvre de ce type de traitement : l’exécution ou la conclusion d’un contrat, l’existence d’une disposition légale ou le consentement explicite des personnes concernées ;
  • Réalisez une AIPD avant la mise en œuvre d’un tel traitement, avec une description détaillée du traitement concerné, une évaluation de la nécessité et de la proportionnalité du traitement et une étude sur les risques ;
  • Informez les personnes concernées et expliquez le traitement de manière claire, lisible, compréhensible et accessible ;
  • Mettez en place un mécanisme d’intervention humaine ;
  • Effectuez des tests de vos algorithmes afin de s’assurer qu’ils ne conduisent pas à des résultats discriminatoires ou erronés (lien avec le principe d’exactitude des données) ;
  • Déterminez des mesures de sécurité et les durées de conservation (cycle de vie des données).