Ce n’est pas tous les jours que le Conseil constitutionnel débat sur le traitement des données à caractère personnel et des algorithme utilisés dans ce cadre. Il précise les modalités d’usage des algorithmes lors de décisions administratives individuelles.
Suite à la saisine de plus de 60 sénateurs concernant la loi relative à la protection des données personnelles, les Sages ont rendu leur décision 2018-765 DC dont on peut retrouver le texte ici. La loi est jugée globalement conforme (à quelques détails près, Cf. article 13) et intelligible
Mais, à cette occasion, le Conseil apporte une précision intéressante sur le recours par l'administration à des algorithmes pour l'édiction de ses décisions. On en retiendra surtout que « ne peuvent être utilisés, comme fondement exclusif d'une décision administrative individuelle, des algorithmes susceptibles de réviser eux-mêmes les règles qu'ils appliquent, sans le contrôle et la validation du responsable du traitement (algorithme « auto-apprenant »). »
Respecter plusieurs conditions
Mais les Sages de la rue Montpensier écrivent aussi que le seul recours à un algorithme pour fonder une décision administrative individuelle est subordonné au respect de plusieurs conditions :
- La décision administrative individuelle doit mentionner explicitement qu'elle a été adoptée sur le fondement d'un algorithme et les principales caractéristiques de mise en œuvre de ce dernier doivent être communiquées à la personne intéressée, à sa demande.
- La décision administrative individuelle doit pouvoir faire l'objet de recours administratifs. L'administration sollicitée à l'occasion de ces recours est alors tenue de se prononcer en ne se fondant plus exclusivement sur l'algorithme. La décision administrative est en outre placée, en cas de recours contentieux, sous le contrôle du juge, qui est susceptible d'exiger de l'administration la communication de l'algorithme.
- Le recours exclusif à un algorithme est prohibé si ce traitement porte sur l'une des données sensibles mentionnées au paragraphe I de l'article 8 de la loi du 6 janvier 1978, c'est-à-dire des données à caractère personnel « qui révèlent la prétendue origine raciale ou l'origine ethnique », les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique, des données génétiques, des données biométriques, des données de santé ou des données relatives à la vie sexuelle ou l'orientation sexuelle d'une personne physique.
- Le responsable du traitement doit s'assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard.
L’application de ces conditions risque donc de n’être pas de tout repos pour les administrations. On pense en premier lieu au calcul de l’impôt sur le revenu ou à Parcoursup…
Au moins c'est clair : pour le @Conseil_constit, pas question d'avoir du machine learning dans les algorithmes des administrations ?? qui prennent des décisions individuelles. #RGPDhttps://t.co/ml51zgXUxF pic.twitter.com/zxq4dU4R4y
— Frédéric Bardolle (@seiteta) June 14, 2018