S’il est un sujet d’intérêt pour l’économie et l’administration de demain dans le règlement général sur la protection des données (GDPR), c’est sans nul doute la réglementation des prises de décision automatisée (automated decision-making) par son article 21. Nous abordions déjà récemment les aspects liés à l’obligation d’information spécifique en cette matière ; telle était l’occasion d’éclaircir les notions concernées, et notamment la distinction entre “simple” profilage et prise de décision purement automatisée : nous y renvoyons donc ici, par souci d’économie d’espace.
La question qui nous intéresse ici repose sur le constat d’une vraie incertitude : là où le texte évoque assez clairement un droit de la personne concernée (celui “de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé […] produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire“), le Groupe de travail de l’article 29 (G29), réunissant l’ensemble des autorités de contrôle des Etats membres de l’Union Européenne, y lit sans ciller, dans ses lignes directrices correspondantes, une “interdiction de principe” (page 9), assortie de trois exceptions (consentement explicite de la personne concernée, autorisation légale, ou nécessité du recours à une telle automatisation pour l’exécution d’un contrat).
La nuance n’est pas mince, loin s’en faut. S’il s’agit d’une telle interdiction, la simple mise en place d’un mécanisme de prise de décision automatisée, hors les cas d’exceptions ci-dessus, pourra être sanctionnée per se ; si, à l’inverse, il s’agit d’un droit de la personne concernée, seul sera répréhensible le refus de donner effet à ce droit, par exemple en faisant intervenir une personne humaine dans la décision à première demande de l’intéressé. Dans la seconde hypothèse, on le comprend bien, le mécanisme de prise de décision automatisée peut fonctionner en toute légalité tant que les personnes concernées n’y émettent aucune objection.
Mais alors, à quel saint se vouer – législateur ou autorités de contrôle ? La contradiction est d’autant plus troublante que la directive (UE) 2016/680, qui constitue le side-car légistique du GDPR en matière de traitements à finalités pénales, prévoit quant à elle un principe d’interdiction très explicite (article 11). Faut-il expliquer cette différence par les risques accrus que fait peser la procédure pénale sur les personnes concernées, ou par une toute bête légèreté de plume ? Pas de réponse tranchée pour cette shower thought. Par prudence, on se rappellera néanmoins qu’en dernier lieu, ce n’est pas le législateur lui-même qui tient le marteau de la sanction entre ses mains…
Passionnant ! Et au regard des débats parlementaires sur le projet de réforme de la LIL la question des traitements algorithmiques a été un peu expédiée alors que je pense que c’est un enjeux essentiel de la réglementation sur les données personnelles. Affaire à suivre… Au plaisir de vous lire.
Bonjour Adèle ! Merci pour votre lecture et votre remarque tout à fait exacte. D’aucuns comme Aeon essaient pourtant d’agir en faveur d’une action législative en ce sens… Gageons que cela sera pour le mieux ! 🙂