07 69 33 80 05 contact@avocat-koc.com

Actualités

RGPD et algorithmes

RGPD et algorithmesL’utilisation des nouvelles technologies reposant sur des algorithmes soulève de nombreuses questions juridiques et éthiques.

En effet, et bien qu’invisible, les algorithmes occupent une place de plus en plus importante : Résultats sur un moteur de recherche, ordres financiers passés par des robots advisors, outils de scoring, diagnostics médicaux automatiques : dans tous ces domaines, l’utilisation des algorithmes est croissante.

Or, pour leur fonctionnement, ces algorithmes ont besoin d’exploiter de nombreuses données dont souvent des données personnelles.

Ainsi, ces algorithmes constituent des traitements automatisés soumis au règlement européen sur la protection des données personnelles, dit RGPD. 

Quelles obligations du RGPD s’appliquent aux algorithmes ?

Tout d’abord, le principe de finalité s‘applique aux algorithmes. Ainsi, les algorithmes utilisés doivent être conformes à la finalité de la collecte initiale des données sinon il y a détournement de finalité.

Ensuite, l’information préalable et le consentement des personnes concernées sur les traitements de données à caractère personnel les concernant doivent être respectés.

Enfin, le principe de proportionnalité et le principe de minimisation supposent que les algorithmes exploitants les données collectées soient pertinents, adéquats et strictement nécessaire au regard de la finalité poursuivie.

De plus, la durée de conservation des données doit être justifiée et respectée par l’entreprise.

En ce qui concerne les décisions produisant des effets juridiques à l’égard d’une personne sur le seul fondement d’un traitement automatisé :

L’article 22 du RGPD pose le principe selon lequel une personne a le « droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire».

Bien que ne mentionnant pas les algorithmes, cette disposition les concerne directement, le traitement automatisé en question étant nécessairement un algorithme. 

C’est pourquoi, la réalisation d’une étude d’impact relative à la protection des données s’impose lorsque le traitement est susceptible d’engendrer des risques élevés pour la vie privée et notamment en cas « d’évaluation systématique et approfondie d’aspects personnels […] fondée sur un traitement automatisé […] et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative ».

Il existe néanmoins plusieurs exceptions au principe d’interdiction des décisions entièrement fondée sur un traitement automatisé :

– lorsque la décision est nécessaire à la conclusion ou à l’exécution d’un contrat ;

– lorsqu’elle est fondée sur le consentement explicite de la personne concernée ;

– lorsqu’elle est autorisée par le droit de l’Union ou le droit de l’État membre.

Toutefois, la personne concernée bénéficie, dans ces cas de figure, de deux catégories de protection :

–      la transparence de l’existence d’une décision automatisée à son égard

–      Un droit d’accès aux informations utiles concernant la logique du traitement et la possibilité de contester la décision litigieuse.

S’agissant de la transparence, le règlement prévoit une obligation d’information particulière à l’égard des personnes concernées par une décision entièrement automatisée, le responsable de traitement devant indiquer l’existence d’une telle prise de décision et les informations utiles concernant la logique sous-jacente.

De même, au titre de son droit d’accès, la personne concernée peut obtenir les informations utiles concernant la logique sous-jacente du traitement.

Enfin, le RGPD prévoit que le responsable de traitement doit, a minima, permettre à la personne concernée d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision.

Ce droit d’obtenir une intervention humaine peut être a posteriori de la décision, dès lors qu’elle permet d’exercer un recours contre la décision litigieuse.

Par ailleurs, en matière de profilage et ce même en l’absence d’une décision exclusivement fondée sur un traitement automatisé, la personne concernée devrait être informée de l’existence d’un profilage et des conséquences de celui-ci. (Considérant 60 du RGPD)

En outre, le considérant 63 indique que, sous réserve de ne pas porter atteinte aux secrets protégés par la loi, le droit d’accès devrait permettre à la personne concernée de connaître la logique qui sous-tend le traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage.

Ainsi, le RGPD, qui protège les droits des personnes en matière de données personnelles, pourrait, à l’avenir, étendre ces obligations à tout traitement algorithmique contribuant à une prise de décision individuelle quand bien même il ne serait pas destiné à produire un profilage. 

En effet, selon le G29, l’identité d’une personne ne passe pas nécessairement par la connaissance d’éléments d’identité avérés mais peut ressortir d’un faisceau d’autres éléments. (Le G29 avis du 4/2007, document 01248/07/FR – WP 136,20 juin 2007 )

De sorte qu’il faudrait prévoir une définition extensive de la donnée personnelle, car celle prévue par le RGPD va très vite être dépassée ….

En tout état de cause, les algorithmes peuvent être biaisés, discriminatoires et donc être de vraies “blackbox” pouvant produire des effets juridiques pervers sur les personnes concernées. (exclusions de certaines catégories de personnes, discrimination à l’égard de certaines communautés, etc…)

La violation des droits des personnes engendrera manifestement une absence de confiance des individus dans ces nouvelles technologies, outre le fait que les actifs immatériels de l’entreprise seront dévalorisés.

Ainsi pour concilier protection de l’Homme et développement des affaires des entreprises, une certification juridique et éthique des algorithmes s’impose à l’évidence…

Contact

A propos

Expert en droit des données, le cabinet de Me. KOC vous accompagne dans vos problématiques touchant à la data protection, à la compliance, à l’e-santé, à l’algorithme, à la blockchain, aux crypto-monnaies… Le cabinet possède aussi une grande expertise en droit du dommage corporel.

Contact

91, rue du Fbg. Saint-Honoré 75008 PARIS

contact@avocat-koc.com

07 69 33 80 05