Projet de loi — Article 14


#1

L’article 10 de la même loi est ainsi modifié :

1° Au deuxième alinéa :

a) Les mots : « Outre les cas mentionnés aux a et c sous le 2 de l’article 22 du règlement 2016/679 » sont introduits au début de la première phrase ;

b) Les mots : « définir le profil de l’intéressé » sont remplacés par le mot : « prévoir » ;

c) Les mots : « de sa personnalité » sont remplacés par les mots : « personnels relatifs à la personne concernée, à l’exception des décisions administratives individuelles prises dans le respect de l’article L. 311-3-1 et du chapitre Ier du titre Ier du livre IV du code des relations du public et de l’administration, à condition que le traitement ne porte pas sur des données mentionnées au I de l’article 8, » ;

2° Le troisième alinéa est remplacé par les dispositions suivantes :

« Pour les décisions administratives mentionnées à l’alinéa précédent, le responsable du traitement s’assure de la maîtrise du traitement algorithmique et de ses évolutions ».


Références

Documents faisant référence à cette page :

  • N° 490 - Projet de loi relatif à la protection des données personnelles

Il s'agit d'un sujet en provenance de l'article https://donnees-personnelles.parlement-ouvert.fr/pjl-490/titre-ii/chapitre-v/article-14

#2

Mesdames, messieurs,

Je représente les think tanks ThinkH+ et Galatea, tous deux intéressés par les problématiques liées à l’intelligence artificielle, et le site d’informations juridiques Aeon, spécialisé en droit des nouvelles technologies.

Nous suivons activement le travail actuel de réforme du cadre national en matière de protection des données à caractère personnel, dans la mesure notamment où il touche aux questions liées à la prise de décision automatisée ou assistée par algorithme, en particulier dans le contexte judiciaire (“justice prédictive”).

Nous constatons, à cet égard, que le projet de loi actuel n’exploite pas autant que possible les marges de manœuvre laissées par le règlement européen (UE) 2016/679 (“GDPR”) et la directive (UE) 2016/680, et ne reflète pas les défis posés par l’évolution récente des pratiques.

Dans le contexte économique et technique qui est le nôtre, il nous paraît en effet nécessaire d’accompagner l’innovation tout en l’encadrant au moyen de garanties aptes à protéger les droits et libertés des citoyens ; tel est le sens de l’amendement que nous vous proposons ci-dessous.

Pour ThinkH+, Galatea et Aeon,
Hugo Ruggieri


#3

1. OBJET DE L’AMENDEMENT

L’amendement présenté vise à adapter et préciser l’actuel projet de loi aux enjeux soulevés par l’intelligence artificielle en matière de prises de décision automatisées dans les secteurs public et privé, en particulier en matière juridictionnelle (“justice prédictive”). L’amendement porte ainsi sur l’article 14 du Projet de loi relatif à la protection des données personnelles tel que déjà modifié par les amendements 235 et 237, et donc sur l’article 10 de la Loi Informatique et libertés.

Il tient compte et se fonde sur les marges de manœuvre autorisées par le règlement (UE) 2016/679 (“GDPR”) ainsi que par la directive (UE) 2016/680. Son objectif est de permettre une adaptation harmonieuse du cadre légal actuel aux nouvelles opportunités ouvertes par le traitement algorithmique, tout en encadrant précisément ces dernières dans le souci de protéger les droits et libertés des personnes concernées (citoyens, consommateurs, usagers du service public).

2. AMENDEMENT

L’article 14 est ainsi réécrit :

“L’article 10 de la même loi est ainsi modifié:

  1. Le premier alinéa de l’article 10 est ainsi modifié :

    a. Le mot « seul » est introduit entre les mots « avoir pour » et « fondement » ;
    b. Les mots « à l’exception, en matière civile et commerciale, de décisions de première instance statuant sur des demandes inférieures à un certain montant fixé par décret pris en Conseil d’État » sont introduits à la fin de l’alinéa.

  2. Il est inséré un nouvel alinéa après le premier alinéa de l’article 10 ainsi rédigé :

« Une décision de justice impliquant une appréciation sur le comportement ou la personnalité d’une personne peut avoir pour fondement non exclusif un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité́, en matière civile et commerciale, pour les jugements de première instance ».

  1. Il est inséré un nouvel alinéa après le deuxième alinéa de l’article 10 ainsi rédigé :

« Une décision de justice en matière pénale impliquant une appréciation sur le comportement d’une personne peut avoir pour seul fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité́ pour la répression des contraventions déterminées par décret pris en Conseil d’État. »

  1. Il est inséré un nouvel alinéa après le troisième alinéa de l’article 10 ainsi rédigé :

« Une décision de justice en matière pénale en première instance impliquant une appréciation sur le comportement d’une personne peut avoir pour fondement non exclusif un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité́ pour la répression d’une contravention ou d’un délit. »

  1. Il est inséré un nouvel alinéa après le quatrième alinéa de l’article 10 ainsi rédigé :

« Les décisions prises sur le seul fondement d’un traitement automatisé de données à caractère personnel au sens des alinéas 1 et 3 du présent article, ou sur le fondement non exclusif d’un traitement automatisé de données à caractère personnel au sens des alinéas 2 et 4, ne sont autorisées que sous réserve de garanties appropriées pour les droits et libertés de la personne concernée. Ces garanties peuvent notamment consister dans le droit d’obtenir une intervention humaine et la mention dans les motifs du jugement de la nature et des moyens du traitement automatisé mis en œuvre et de ses critères de décision. Un décret pris en Conseil d’État précise les garanties minimales devant être prises au sens du présent alinéa. »

  1. Il est inséré un nouvel alinéa après le cinquième alinéa de l’article 10 ainsi rédigé :

« Les systèmes de traitement automatisé utilisés par les juridictions, au sens de cet article, font l’objet d’une notice explicative publique dans des conditions fixées par décret pris en Conseil d’État. »

  1. Le septième alinéa de l’article 10 est ainsi modifié :

a. À l’alinéa premier, les mots « ou l’affectant de manière signification de façon similaire » sont introduits entre les mots « à l’égard d’une personne » et « ne peut être prise ».
b. Au 1° de l’alinéa premier, les mots « aux a et c du » sont remplacés par le mot « au ».

  1. Le huitième alinéa de l’article 10 est remplacé par les dispositions suivantes :

« Pour les décisions administratives individuelles mentionnées à l’alinéa précédent, le responsable du traitement s’assure de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détails et sous une forme intelligible, à la personne concernée, la manière dont le traitement a été mis en œuvre à son égard. »

  1. Il est inséré un neuvième alinéa à l’article 10 :

« Les décisions produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative de façon similaire prise sur le fondement non exclusif d’un traitement automatisé de données destiné à prévoir ou à̀ évaluer certains aspects personnels relatifs à̀ la personne concernée sont autorisées sous réserve de garanties appropriées du responsable de traitement. »

3. VERSION CONSOLIDÉE DE L’ARTICLE 10 DE LA LOI INFORMATIQUE ET LIBERTÉS TEL QUE MODIFIÉ PAR L’ARTICLE 14 DU PROJET DE LOI INTÉGRANT CET AMENDEMENT (MODIFICATIONS EN GRAS)

Article 10

Aucune décision de justice impliquant une appréciation sur le comportement ou la personnalité d’une personne ne peut avoir pour seul fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité́, à l’exception, en matière civile et commerciale, de décisions de première instance statuant sur des demandes inférieures à un certain montant fixé par décret pris en Conseil d’État.

Une décision de justice impliquant une appréciation sur le comportement ou la personnalité d’une personne peut avoir pour fondement non exclusif un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité́, en matière civile et commerciale, pour les jugements de première instance.

Une décision de justice en matière pénale impliquant une appréciation sur le comportement d’une personne peut avoir pour seul fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité́ pour la répression des contraventions déterminées par décret pris en Conseil d’État.

Une décision de justice en matière pénale en première instance impliquant une appréciation sur le comportement d’une personne peut avoir pour fondement non exclusif un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité́ pour la répression d’une contravention ou d’un délit.

Les décisions prises sur le seul fondement d’un traitement automatisé de données à caractère personnel au sens des alinéas 1 et 3 du présent article, ou sur le fondement non exclusif d’un traitement automatisé de données à caractère personnel au sens des alinéas 2 et 4, ne sont autorisées que sous réserve de garanties appropriées pour les droits et libertés de la personne concernée. Ces garanties peuvent notamment consister dans le droit d’obtenir une intervention humaine et la mention dans les motifs du jugement de la nature et des moyens du traitement automatisé mis en œuvre et de ses critères de décision. Un décret pris en Conseil d’État précise les garanties minimales devant être prises au sens du présent alinéa.

Les systèmes de traitement automatisé utilisés par les juridictions, au sens de cet article, font l’objet d’une notice explicative publique dans des conditions fixées par décret pris en Conseil d’État.

Aucune autre décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative de façon similaire ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à prévoir ou à̀ évaluer certains aspects personnels relatifs à̀ la personne concernée, à l’exception :

  1. des cas mentionnés au 2 de l’article 22 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et sous les réserves mentionnées au 3 du même article ;

  2. des décisions administratives individuelles prises dans le respect de l’article L. 311‑3‑1 et du chapitre Ier du titre Ier du livre IV du code des relations entre le public et l’administration, à condition que le traitement ne porte pas sur des données mentionnées au I de l’article 8 de la présente loi.

**Pour les décisions administratives individuelles mentionnées à l’alinéa précédent, le responsable du traitement s’assure de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détails et sous une forme intelligible, à la personne concernée, la manière dont le traitement a été mis en œuvre à son égard. **

Les décisions produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative de façon similaire prise sur le fondement non exclusif d’un traitement automatisé de données destiné à prévoir ou à̀ évaluer certains aspects personnels relatifs à̀ la personne concernée sont autorisées sous réserve de garanties appropriées du responsable de traitement.

4. BASES LÉGALES DE L’AMENDEMENT

4.1 Sur les décisions ayant des effets juridiques ou équivalents prises sur le fondement de traitements automatisés

4.1.1 Sur les décisions fondées exclusivement sur un traitement automatisé destiné à évaluer certains aspects personnels relatifs à la personne concernée

L’article 22.1 du règlement 2016/679 interdit les décisions fondées exclusivement sur un traitement automatisé, destiné notamment à prévoir et évaluer des aspect personnels relatifs à la personne concernée, produisant des effets juridique la concernant ou l’affectant de manière significative de manière similaire.

4.1.2 Sur les décisions fondées non exclusivement sur un traitement automatisé destiné à évaluer certains aspects personnels relatifs à la personne concernée

L’article 22.2.b du règlement 2016/679 donne aux États membres une marge de manœuvre pour autoriser la prise de décisions fondées exclusivement sur un traitement automatisé, destiné notamment à prévoir et évaluer des aspect personnels relatifs à la personne concernée, produisant des effets juridique la concernant ou l’affectant de manière significative de manière similaire, sous réserve de mesures appropriées pour la sauvegarde des droits et libertés et intérêts légitimes de la personne concernée.

A fortiori, cette marge de manœuvre permet aux États membres d’autoriser la prise de décisions fondées non exclusivement sur un traitement automatisé, destiné notamment à prévoir et évaluer des aspects personnels relatifs à la personne concernée, produisant des effets juridique la concernant ou l’affectant de manière significative de manière similaire.

4.2 Sur les décisions de justices fondées sur des traitements individuelles automatisées

Comme dit ci-dessus, l’article 22.2.b du règlement 2016/679 autorise les États membres à prévoir des exceptions au principe d’interdiction des décisions ayant des effets juridiques, prises sur le seul fondement d’un traitement automatisées de données à caractère personnel.

Par ailleurs, le considérant 20 du règlement 2016/679 donne le droit aux États membres de préciser les opérations et procédures de traitement en ce qui concerne le traitement de données à caractère personnel par les juridictions et autres autorités judiciaires.

La combinaison de ces deux dispositions donne à la France une marge de manœuvre sur les décisions de justice prises sur fondement exclusif ou non exclusif de traitements automatisés destinés à évaluer certains aspects de la personnalité de la personne concernée.

Concernant, les décisions de justice en matière pénale, celles-ci entrent dans le champ d’application de la directive 2016/680. L’article 11 de la directive donne la possibilité aux États membres de prévoir des exceptions au principe d’interdiction des décisions de justice en matière pénale, fondées exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques défavorables, sous réserve de garantie appropriée pour les droits et libertés de la personne concernée.

5. EXPOSÉ DES MOTIFS

Les décisions individuelles totalement ou partiellement automatisées sont utilisées dans de nombreux secteurs économiques. Elles sont notamment utilisées dans le secteur bancaire pour effectuer des analyses de risque-client (pratique du credit scoring) ou bien dans le secteur des assurances pour des calculs de premium d’assurances. Dans le secteur public de la justice, ces décisions constituent le fondement de ce qu’il est coutume d’appeler la “justice prédictive” (quand bien même tous les outils employés ne contiendraient pas nécessairement un élément prédictif).

L’article 10 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa version actuelle, modifiée par l’actuel projet de loi, prévoit une interdiction de principe de ces prises de décision automatisées (totalement ou même partiellement). Cet état de fait ne correspond plus aux enjeux et aux techniques actuelles, largement révolutionnées par l’assistance algorithmique.

Il convient à cet égard de passer d’un régime d’interdiction à un régime plus souple d’encadrement, à travers l’exigence de garanties appropriées pour la protection des droits et libertés des personnes concernées (citoyens, consommateurs, usagers du service public…).

Dans cette perspective, l’amendement proposé vise à protéger les droits des individus concernés par ces décisions:

  • L’article 22.1 du règlement 2016/679 souffre d’ambiguïté quant à son interprétation. A l’instar du G29 , nous pensons que l’article 22 du règlement 2016/679 interdit par principe la prise de décisions fondées exclusivement sur un traitement automatisé, destiné notamment à prévoir et évaluer des aspect personnels relatifs à la personne concernée, produisant des effets juridique la concernant ou l’affectant de manière significative de manière similaire, sous réserve de mesures appropriées pour la sauvegarde des droits et libertés et intérêts légitimes de la personne concernée. Cependant, une autre lecture interprète l’article 22.1 du règlement 2016/679 comme n’octroyant qu’un droit d’opposition à la personne concernée, à exercer postérieurement à la prise de la décision. L’inscription dans la loi de cette interdiction permet ainsi de clarifier cette ambigüité et d’affirmer comme principe légal l’interdiction de telles prises de décision.

  • Conformément à l’article 22 du règlement 2016/679, l’interdiction est étendue aux prises de décisions ayant des effets juridiques ou affectant de manière significative de façon similaire la personne concernée. Cette extension permet de couvrir certaines prises de décision ayant des effets significatifs sur les personnes, mais dépourvus d’effets strictement juridiques tels que des pratiques de credit scoring.

  • L’autorisation de prises de décisions assistées est conditionnée à la mise en œuvre de garanties, notamment des garanties spécifiques à ces nouveaux outils de traitement. Ces garanties peuvent notamment concerner l’explicabilité de l’outil de traitement, la surveillance périodique du traitement si le traitement possède un caractère évolutif ou encore des mesures visant à lutter contre des discriminations.

  • Dans le domaine des décisions de justice, les individus disposent notamment d’un droit à une intervention humaine pour les décisions fondées exclusivement sur un traitement automatisé. Les juridictions qui fonderaient leur décision sur de tels outils se voient ainsi imposées de mentionner dans les motifs du jugement la présence des dits outils, de leur nature et de leurs critères de décision. Enfin, dans un souci de transparence du fonctionnement de la justice, les systèmes de traitement automatisé devront faire l’objet d’une notice explicative publique.

  • Les décisions de justice en matière criminelle et au-delà d’un certain montant en matière civile et commerciale sont expressément exclues afin d’éviter tout risque d’atteinte aux droits fondamentaux des justiciables dans le traitement des affaires les plus sensibles.

L’amendement proposé a également pour effet d’apporter de la sécurité juridique aux responsables de traitement :

  • L’amendement clarifie le principe d’interdiction pour les décisions prises sur le seul fondement d’un traitement automatisé et celui d’autorisation pour les décisions qui ne sont pas prises sur le seul fondement d’un traitement automatisé.

  • Le concept de “seul fondement” est pour l’instant défini par le G29 comme l’absence d’intervention humaine significative, en ce sens que la personne humaine n’est pas en mesure de changer la décision prise basée sur le traitement automatisé.

L’amendement proposé donne aussi de la flexibilité à la France sur les prises de décisions fondées exclusivement sur un traitement automatisé :

  • L’article 22 du règlement 2016/679 interdit par principe les décisions mentionnées ci-dessus avec trois exceptions. Les exceptions mentionnées à l’article 22.2.a et c concernent la conclusion et l’exécution d’un contrat entre la personne concernée et le responsable de traitement, et le consentement explicite de la personne concernée. L’article 22.2.b donne aux États membres la possibilité de créer leurs propres exceptions à cette interdiction de principe, sous réserve de mesures appropriées pour la sauvegarde des droits et libertés et intérêts légitimes de la personne concernée.

  • L’amendement introduit donc cette faculté d’exception pour la France, qui pourrait être nécessaire en considération à la fois des besoins économiques et de la protection des droits des personnes concernées.

L’amendement proposé vise enfin à permettre une meilleure administration de l’institution judiciaire et une réduction des délais de décision:

  • L’utilisation d’outils algorithmiques permettant de prendre des décisions de justice sur leur fondement exclusif ou non exclusif aura pour conséquence de réduire les délais de décision de justice en première instance (le délai moyen actuel est de 10 mois). Cette réduction des délais contribuera à la bonne administration de la justice, renforcera la confiance des justiciables et aidera les juges dans leur travail.

  • Cet amendement répond à la promesse du candidat Emmanuel Macron de rendre la justice plus lisible et de simplifier les procédures en dotant les juges “d’outils numériques d’aide à la décision” .