Article 16 (Profilage)

< Délibération CNIL >

L’article 10 de la loi dans sa rédaction actuelle – dont le premier alinéa, relatif aux décisions de justice, n’est pas modifié par le projet de loi – pose en son deuxième alinéa un principe d’interdiction des décisions produisant des effets juridiques sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité , sous réserve du troisième alinéa – qui exclut de la notion de décision reposant exclusivement sur un traitement automatisé les décisions prises au titre d’un contrat ou sur demande.

- La modification projetée de ces dispositions poursuit tout d’abord un objectif de mise en cohérence entre la loi et l’article 22 du Règlement, qui n’apparaît pas complètement satisfait.

Ainsi, la Commission relève que, en conséquence de la suppression du 3ème alinéa de son article 10, la loi nationale ne mentionne plus les exceptions prévues par le Règlement lui-même dans ces hypothèses (contrat, consentement) moyennant le droit pour les personnes concernées d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision .

De même, le projet de loi maintient un certain décalage, entre droit national et Règlement, susceptible de générer des difficultés d’interprétation. Le Règlement raisonne en effet en termes de droit individuel à ne pas faire l’objet d’une décision fondée sur un traitement intégralement automatisé, alors que la loi continue à raisonner en termes d’interdiction pour l’auteur de la décision de procéder à un tel traitement. En outre, le Règlement mentionne les traitements automatisés en général, y compris le profilage , tandis que le projet de loi ne couvre, comme l’article 10 de la loi en vigueur, que les traitements destinés à prévoir ou à évaluer certains aspects personnels relatifs à la personne concernée . Enfin, l’article 22 du Règlement s’applique non seulement aux décisions produisant des effets juridiques, mais aussi à celles affectant la personne de manière significative de façon similaire .

- La Commission appelle surtout l’attention sur une modification particulièrement problématique de cet article 10. Le projet de loi lève en effet le principe d’interdiction concernant les décisions administratives individuelles prises exclusivement sur la base d’un traitement automatisé.

En premier lieu, la Commission souligne que le projet renverse ainsi, dans le champ particulièrement emblématique que constitue l’action administrative, le principe général et majeur d’intervention humaine systématique dans la prise de décisions à effet juridique. Cette disposition du projet de loi revêt une portée considérable.

En deuxième lieu, la Commission estime que le projet de loi ne garantit pas la présence des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée qu’impose le Règlement. Le seul renvoi aux possibilités prévues aux articles L. 411-1 et suivants du code des relations entre le public et l’administration (CRPA), à savoir de former un recours administratif contre toute décision administrative, ne saurait, de manière générale, satisfaire à ces exigences européennes. De même, les mesures actuellement prévues par le CRPA et relatives à la transparence des paramètres des traitements algorithmiques mis en œuvre par les administrations ne constituent pas davantage à eux seuls des garanties suffisantes.

Si les garanties exigées par le Règlement peuvent le cas échéant être modulées en fonction de la portée de la décision concernée pour les intérêts des citoyens et si la loi n’a pas nécessairement à prévoir elle-même l’ensemble des garanties, la formulation du projet de loi n’apparaît pas satisfaisante en l’état.

En troisième lieu, la Commission rappelle que l’intervention humaine peut faire l’objet d’aménagements. Elle regrette dès lors que la modification de l’article 10 projetée n’ait pas été précédée d’une analyse d’impact approfondie, portant notamment sur les modalités garantissant une intervention humaine sous la forme, par exemple, d’un contrôle humain garantissant la maîtrise de l’algorithme, ou l’aménagement dans certains cas d’un temps permettant à la personne de présenter des observations avant l’intervention de la décision proprement dite.

< Délibération CNIL >