Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-60

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 14


Rédiger ainsi cet article :

I. – L'article 10 de la loi n° 78-17 du 6 janvier 1978 est ainsi rédigé : 

 « Art. 10. – Aucune décision de justice ne peut être fondée sur le profilage, tel que défini au 4) de l’article 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.

«  Aucune décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel, y compris le profilage, à l’exception :

« 1° Des cas mentionnés au a et c du 2 de l’article 22 du même règlement, sous les réserves mentionnées au 3 du même article et à condition, lorsque la décision produit des effets juridiques, que l'intéressé en soit informé par le responsable de traitement et que les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en œuvre lui soient communiquées à sa demande, sous réserve des secrets protégés par la loi ;

« 2° Des décisions administratives individuelles fondées sur un traitement automatisé de données à caractère personnel dont l’objet est d’appliquer strictement des dispositions légales ou réglementaires à des faits dont la matérialité et la qualification juridique sont établies sur un autre fondement, à condition que le traitement ne porte pas sur des données mentionnées au I de l’article 8 de la présente loi ;

« 3° Des actes pris par l’administration dans l’exercice de ses pouvoirs de contrôle ou d’enquête.

« Par dérogation au 2° du présent article, aucune décision par laquelle l’administration se prononce sur un recours administratif mentionné au titre Ier du livre IV du code des relations entre le public et l’administration ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel. »

II. – Au premier alinéa de l’article L. 311-3-1 du code des relations entre le public et l’administration, après le mot : «  comporte », sont insérés les mots : « , à peine de nullité, ».

III. – Le dernier alinéa du I de l'article L. 612-3 du code de l'éducation est supprimé.

Objet

Le présent amendement procède à une réécriture globale de l'article 14 du projet de loi, relatif aux décisions prises sur le fondement d'algorithmes.

1. Il a d'abord pour objet d’harmoniser la rédaction de la loi Informatique et libertés avec celle du RGPD, afin de viser également les décision « affectant une personne de manière significative » sans pour autant produire d'effets juridiques, et de couvrir l’ensemble des traitements automatisés de données personnelles et pas seulement le profilage.

2. S’agissant des décisions automatisées prises dans un cadre contractuel ou avec le consentement de la personne concernée (mentionnées aux a et c du 2 de l’article 22 du RGPD), l’amendement vise à parfaire la rédaction adoptée par l’Assemblée nationale, en distinguant les décisions qui produisent des effets juridiques (et qui seraient soumises à certaines des obligations de transparence actuellement prévues pour les décisions administratives par le code des relations entre le public et l’administration) de celles qui n’en produisent pas.

3. Le projet de loi tend à autoriser les décisions administratives individuelles prises sur le seul fondement d’un traitement automatisé de données, jusqu’ici prohibées.

Sans méconnaître les bénéfices liés à l’usage d’algorithmes par l’administration, il convient de se prémunir contre un triple risque :

- une décision automatisée risque d’être aveugle à des circonstances de l’espèce qui mériteraient d’être prises en compte, parce que l’algorithme n’a pas été programmé pour le faire. Le recours aux algorithmes doit donc être réservé à des cas qui n’appellent aucun pouvoir d’appréciation ;

- le deuxième risque, lié à l’essor de l’intelligence artificielle, est que des décisions administratives individuelles soient prises sans que personne ne sache suivant quels critères, l’algorithme ayant déterminé lui même les critères à appliquer et leur pondération : c’est le phénomène des « boîtes noires » ;

 - le troisième risque est que la programmation des algorithmes destinés à prendre des décisions individuelles n’aboutisse à contourner les règles de fond et de forme qui encadrent l’exercice du pouvoir réglementaire. Ainsi, dans la procédure dite « Admission post-bac », les candidatures des lycéens dans les licences universitaires étaient classées suivant des critères reposant sur une base légale fragile, qui n’avaient jamais été explicités dans un texte réglementaire et qui n’étaient même pas rendus publics. On ne saurait admettre que l’administration se défausse ainsi de ses responsabilités sur la machine, en jouant de la complexité technique et de la réputation d’infaillibilité des automates pour masquer ses propres choix.

Pour parer à ce triple risque, votre rapporteur propose de n’autoriser les décisions administratives individuelles prises sur le seul fondement de traitements automatisés que lorsque ces traitements ont pour objet d’appliquer strictement des dispositions légales ou réglementaires à des faits dont la matérialité et la qualification juridique sont établies sur un autre fondement. Sont exceptés les actes pris par l'administration dans l'exercice de ses pouvoirs de contrôle ou d'enquête.

4. La loi du 7 octobre 2016 pour une République numérique a imposé à l’administration, lorsqu’elle prend une décision individuelle sur le fondement d’un traitement algorithmique, d’en faire mention sur le texte de la décision. Afin d’inciter l’administration à se conformer à la loi, votre rapporteur propose que le non-respect de cette formalité soit une cause de nullité de la décision.

5. Enfin, il est proposé de corriger une première entorse aux règles de publicité des algorithmes employés par l’administration pour fonder des décisions individuelles, issue d’un amendement du Gouvernement au projet de loi relatif à l’orientation et à la réussite des étudiants.

Cet amendement, déposé tardivement en séance publique au Sénat sans que notre commission de la culture ait pu se prononcer, concerne les algorithmes qu’emploieront les établissements d’enseignement supérieur pour classer les candidatures qu’ils auront reçues.

Dans l’éventualité où ces algorithmes de classement conduiraient à accepter ou rejeter certains dossiers sans examen, il n’y a aucune raison pour que les établissements n’en fassent pas mention sur le texte de la décision, pour qu’ils ne communiquent pas à l’intéressé, à sa demande, les règles définissant l’algorithme et les principales caractéristiques de sa mise en œuvre (article L. 311 3-1 du code des relations entre le public et l’administration), ou pour qu’ils ne publient pas ces règles sur Internet s’ils emploient plus de cinquante agents (article L. 312-1-3 du même code). Il n’y a pas lieu de protéger le secret de délibérations inexistantes.