Décisions automatisées : comment le RGPD est-il mis en œuvre ?
Veille Juridique n°47 – Mai 2022
Décisions automatisées : comment le RGPD est-il mis en œuvre ? Le 17 mai dernier, le Future of Privacy Forum a publié un rapport extensif sur la question des décisions automatisées.
Ce rapport analyse plus de 70 documents éclairant la façon dont l’article 22 du RGPD est mis en œuvre par les cours et tribunaux, les autorités de protection des données européennes et du Royaume-Uni, ainsi que dans plusieurs lignes directrices et recommandations émises par les régulateurs sur ce sujet.
Si les décisions automatisées étaient déjà réglementées dans la directive européenne 95/46/CE, le principe a pris une nouvelle dimension depuis l’entrée en vigueur du RGPD.
Il trouve ainsi à s’appliquer dans des contextes plus variés et plus fréquents tels que ceux de l’intelligence artificielle, et les APDs ont aujourd’hui les moyens de faire respecter le droit.
On retrouve ce type de décision principalement dans les domaines suivants :
- Contrôle d’accès et de présence dans les écoles grâce aux technologies de reconnaissance faciale
- Contrôle en ligne dans les universités et notation automatisée des étudiants
- Filtrage automatisé des demandes d’emploi
- Gestion algorithmique des travailleurs des plateformes
- Distribution des prestations sociales et détection de la fraude fiscale
- Évaluation automatisée du crédit
- Décisions de modération de contenu dans les réseaux sociaux
Rappelons brièvement le principe : l’article 22 du RGPD donne aux individus le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.
A ce propos, notons que le Comité européen de protection des données a précisé que les responsables de traitement ne peuvent pas se soustraire à l’application de l’article 22 en faisant en sorte qu’un humain se contente d’apposer un tampon sur les décisions prises par la machine, sans avoir l’autorité ou la compétence réelles pour en modifier le résultat.
En revanche, si le processus automatisé en question ne fait que fournir des données pour une décision qui sera finalement prise par un humain, le traitement qui le sous-tend ne relève pas du champ d’application de l’article 22.
En vertu de l’article 22(2), les décisions automatisées restent possibles lorsqu’elles sont nécessaires dans le cadre d’un contrat, prévues par une loi, ou fondées sur le consentement explicite de la personne.
Dans ces cas, le responsable devra néanmoins prévoir des mesures appropriées pour sauvegarder les droits et libertés et les intérêts légitimes de la personne concernée, et son droit d’obtenir au moins une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.
Cette stricte limitation des décisions automatisées doit se lire dans le contexte plus large du RGPD, et notamment de ses exigences concernant la légitimité de tout traitement, l’existence d’une base légale, et les règles concernant les données dites sensibles – dont les données biométriques.
Il ressort des documents analysés que les autorités de contrôle et les tribunaux font une application stricte de ces principes.
Elles insistent en particulier sur les éléments suivants :
- L’obligation de transparence en ce qui concerne les paramètres conduisant à une décision automatisée ;
- L’application du principe de loyauté, pour éviter les discriminations ;
- Les strictes conditions de l’obtention du consentement de la personne concernée.
Par ailleurs, pour décider si une décision est exclusivement automatisée, c’est tout le contexte de la prise de décision qui sera pris en compte : structure organisationnelle du responsable, lignes hiérarchiques, sensibilisation des employés.
Pour évaluer l’impact de la décision sur la personne, les autorités examinent notamment si les données d’entrée d’une décision automatisée comprennent des déductions sur le comportement des personnes et si la décision affecte le comportement et les choix des personnes visées.
En France, l’une des décisions de référence est celle de la CNIL dans le dossier Clearview, en matière de reconnaissance faciale : la Commission a ordonné à Clearview AI de cesser de collecter sur internet les images faciales de personnes en France pour alimenter la base de données qui entraîne son logiciel de reconnaissance faciale, et de supprimer les images précédemment collectées, dans un délai de deux mois.
L’Italie et le Royaume-Uni ont adopté des décisions similaires concernant cette même société.
Un jugement rendu en février 2020 par le tribunal administratif de Marseille a annulé une décision de la région Provence-Alpes-Côte d’Azur de mener deux pilotes de reconnaissance faciale à l’entrée d’écoles de Nice et Marseille.
Alors que l’affaire était pendante, la CNIL a exprimé des inquiétudes quant à la mise en œuvre d’un tel système, compte tenu du public cible (les enfants) et de la sensibilité des données biométriques en jeu.
La décision de la Cour d’annuler les pilotes a été prise au motif que le consentement recueilli auprès des lycéens n’a pas été donné de manière libre, spécifique, informée et univoque, et que des moyens moins intrusifs étaient à la disposition des écoles pour contrôler l’accès de leurs élèves à leurs locaux (par exemple, des contrôles par badge/carte d’identité, associés à la vidéosurveillance).
Ajoutons que dans la plupart des cas, le responsable de traitement ne pourra pas faire l’économie d’une analyse d’impact, telle que prévue par l’article 35 du RGPD, quand la décision relève du profilage avec des effets significatifs sur la personne : citons ainsi en Italie, la décision récente de l’APD concernant la société Deliveroo : la société aurait dû réaliser une analyse d’impact sur son algorithme, le traitement utilisant des technologies innovantes, étant à grande échelle (tant en termes de nombre de cyclistes – 8 000 – que de types de données utilisées), concernant des personnes vulnérables (travailleurs de la « gig economy » payés à la tâche) et impliquant une évaluation ou une notation de ces dernières.
Et aussi
France :
La CNIL publie son rapport d’activité pour l’année 2021 : parmi ses activités marquantes, on relève le renouvellement de sa politique d’accompagnement, une mobilisation accrue sur la cybersécurité et le renforcement de l’action répressive.
Elle publie également une série de critères permettant d’évaluer la légalité des cookies walls (murs de traçeurs).
Elle donne des indications permettant d’évaluer en particulier la légalité des « paywalls », qui obligent l’internaute refusant les cookies à fournir une somme d’argent pour accéder au site.
L’éditeur qui souhaite mettre en œuvre un paywall devra être en mesure de justifier du caractère raisonnable de la contrepartie monétaire proposée, et de démontrer que son cookie wall est limité aux finalités qui permettent une juste rémunération du service proposé.
L’Etat français va déployer un système permettant aux citoyens de s’authentifier en ligne en scannant leur carte d’identité avec leur smartphone.
Le Journal Officiel a en effet a publié le décret n° 2022-676 du 26 avril 2022 qui autorise la création d’une application d’identification électronique dénommé « Service de garantie de l’identité numérique ».
Cette application sera liée à la nouvelle carte d’identité dotée d’une puce et permettra d’en stocker les données dans un téléphone mobile.
Europe :
Le 12 mai, le Comité européen de protection des données a adopté deux lignes directrices, dont une sur les méthodes de calcul des amendes dans le cadre du respect du RGPD, et l’autre concernant la reconnaissance faciale.
Le Comité plaide pour que les outils de reconnaissance faciale ne soient utilisés que dans le strict respect de la directive européenne Police-Justice.
La Commission européenne a publié le 11 mai sa proposition de règlement visant à prévenir et à combattre le matériel pédopornographique (CSAM).
Les implications pour des sociétés telles que Whatsapp ou Instagram, amenées à surveiller de façon générale et supprimer des communications privées ou les transférer aux forces de l’ordre, inquiètent la société civile.
La Commission européenne publie des questions-réponses sur les nouvelles clauses contractuelles types pour les transferts internationaux de données
Le “Data Act” de la Commission européenne a également fait réagir le Comité européen de la protection des données ainsi que le Contrôleur européen (EDPS) : dans une opinion conjointe, ceux-ci s’inquiètent de la portée de la réglementation.
Si elle vise principalement les données transmises par les objets connectés, des données personnelles sensibles sont également concernées.
Les autorités demandent que des limites claires soient imposées à l’utilisation des données à des fins de marketing direct ou de publicité, de surveillance des employés, de primes d’assurance et d’évaluation du crédit.
L’autorité espagnole de protection des données a imposé une amende de 10 millions d’euros à Google LLC pour avoir transféré illégalement des données à caractère personnel à un tiers et pour avoir empêché l’exercice du droit à l’effacement.
Google est également poursuivi au Royaume-Uni pour utilisation illégale des données médicales de 1,6 millions de personnes : DeepMind, le système d’intelligence artificielle de la société, aurait reçu ces données en 2015 du Royal Free NHS Trust de Londres pour tester une application mobile.
Google – toujours, aurait enfin décidé, après sa condamnation par la CNIL et ses homologues européens, de faciliter le refus de l’ensemble des cookies sur son moteur de recherche et sur YouTube. L’option « Personnaliser » sera ainsi remplacée par deux boutons « Tout accepter » et « Tout refuser » de même forme, accompagnés d’un troisième « Plus d’options ».
Selon l’autorité belge de protection des données, l’envoi d’un email avec la liste des destinataires en CC, plutot qu’en BCC, n’est pas considéré comme une violation de sécurité, tant qu’un petit groupe de personnes seulement (16 personnes) est concerné.
L’autorité danoise envisage d’imposer une amende de 100 000 DKK à l’encontre d’une agence du ministère de la Justice, pour la perte d’une clef USB non cryptée et non déclaration de la violation de sécurité à l’autorité de protection des données.
La Cour d’appel irlandaise considère que les données collectées par un système de vidéo surveillance à des fins de prévention des infractions, ne peuvent être utilisées pour surveiller les employés et entamer des procédures disciplinaires à leur encontre, cette finalité étant incompatible avec la première.
L’autorité norvégienne de protection des données entend imposer une amende de 486 700 € à l’administration du travail pour diffusion en ligne sans base légale des CVs de 1 800 000 personnes.
International :
Le Contrôleur européen de la protection des données s’inquiète dans un avis du 18 mai de la participation de l’Union européenne à la convention des Nations Unies sur la cybercriminalité.
Il souligne le risque d’affaiblissement des droits fondamentaux, en raison du grand nombre de pays dotés de systèmes juridiques différents qui sont concernés.
L’autorité de protection des données de Hong Kong a publié le 12 mai ses lignes directrices sur l’utilisation de clauses contractuelles pour les transferts internationaux de données.
L’autorité de protection des données de Singapour publie un guide de l’anonymisation des données
Twitter conclut un accord avec le département de la justice et la Commission fédérale du commerce des Etats-Unis pour un montant de 150 millions de dollars et s’engage à mettre en œuvre un programme de mise en conformité concernant les violations de confidentialité des données non publiques de ses abonnés.
Un rapport du Conseil irlandais pour les libertés civiles indique que le Real Time Bidding, qui permet de diffuser des publicités ciblées, est à l’origine de la plus grande violation de données jamais constatée dans le monde.
Selon les chiffres, ce secteur, qui représente plus de 110 milliards d’euros, suit et partage l’activité en ligne des individus et leur localisation dans le monde réel 178 billions de fois par an aux États-Unis et en Europe.
En Europe, le RTB expose les données des personnes 376 fois par jour et Google envoie 19,6 millions de diffusions sur le comportement en ligne des internautes allemands chaque minute où ils sont en ligne.
Anne Christine Lacoste
Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.