La loi pour une république numérique du 7 octobre 2016 a été la première à poser le principe d’une régulation sur les algorithmes du secteur public. Ensuite, le règlement général sur la protection des données (RGPD) a été mis en place afin de protéger les données personnelles. Il prévoit que le responsable de traitement doit informer la personne concernée de l’existence d’une prise de décision automatisée, y compris un profilage. Ces différentes applications visent à ce que l’individu puisse toujours comprendre le fonctionnement de l’IA.
La loi pour une République Numérique
Promulguée le 7 octobre 2016, elle a été la première à poser le principe d’une transparence sur les algorithmes du secteur public, en l’espèce, concernant les administrations uniquement (article 4) : exigence à destination des administrations quant aux traitements algorithmiques servant à prendre des décisions individuelles.
Art. L. 311-3-1. – Sous réserve de l’application du 2o de l’article L. 311-5, une décision individuelle prise sur le fondement d’un traitement algorithmique comporte une mention explicite en informant l’intéressé. Les règles définissant ce traitement ainsi que les principales caractéristiques de sa mise en oeuvre sont communiquées par l’administration à l’intéressé s’il en fait la demande. «Les conditions d’application du présent article sont fixées par décret en Conseil d’État.»
Le décret précité dispose que :
« Art. R. 311-3-1-1.-La mention explicite prévue à l’article L. 311-3-1 indique la finalité poursuivie par le traitement algorithmique. Elle rappelle le droit, garanti par cet article, d’obtenir la communication des règles définissant ce traitement et des principales caractéristiques de sa mise en œuvre, ainsi que les modalités d’exercice de ce droit à communication et de saisine, le cas échéant, de la commission d’accès aux documents administratifs, définies par le présent livre.”
« Art. R. 311-3-1-2.-L’administration communique à la personne faisant l’objet d’une décision individuelle prise sur le fondement d’un traitement algorithmique, à la demande de celle-ci, sous une forme intelligible et sous réserve de ne pas porter atteinte à des secrets protégés par la loi, les informations suivantes :
« 1° Le degré et le mode de contribution du traitement algorithmique à la prise de décision ;
« 2° Les données traitées et leurs sources ;
« 3° Les paramètres de traitement et, le cas échéant, leur pondération, appliqués à la situation de l’intéressé ;
« 4° Les opérations effectuées par le traitement ; ».”
Ces dispositions ne concernent que les administrations, mais elles sont d’ores et déjà source d’inspirations pour la CNIL et certains acteurs de l’IA. Les principes généraux posés par la loi Lemaire pourraient être repris dans le cadre d’une législation nationale concernant cette fois les algorithmes du secteur privé.
Le règlement général sur la protection des données (RGPD)
L’automatisation au cœur des enjeux
Le règlement, dans son article 13-2-f, prévoit que le responsable de traitement doit informer la personne concernée de « l’existence d’une prise de décision automatisée, y compris un profilage (…) et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ».
Article 13 : Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée.
Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes:
a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement
b) le cas échéant, les coordonnées du délégué à la protection des données;
c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement; 4.5.2016 L 119/40 Journal officiel de l’Union européenne FR
d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent; et le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition;
Un traitement équitable et transparent
En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent:
a) la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;
b)l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données; c) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;
d) le droit d’introduire une réclamation auprès d’une autorité de contrôle;
e) des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
f) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
Ces principes ne concernent que les algorithmes utilisés pour le profilage de personnes physiques. Nous aborderons dans un prochain article la chronologie des mesures visant à légiférer autour de l’IA.