ADMISSION POST BAC (APB) ET DÉCISIONS INDIVIDUELLES AUTOMATISÉES : TOUR D’HORIZON À LA SUITE DE LA DÉCISION DE LA CNIL

Suite à une plainte déposée en 2016 visant Admission Post-Bac (APB), le système de pré-inscription des bacheliers dans l’enseignement supérieur, la Commission nationale de l’informatique et des libertés (CNIL) a mis en demeure le 30 août 2017 le Ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation, de cesser de prendre des décisions à l’égard de personnes exclusivement fondées sur un traitement automatisé, et de mettre fin à l’opacité qui entoure le classement et le processus d’affectation des candidats à des formations universitaires (1).

LES FONDEMENTS DE LA MISE EN DEMEURE

Dans sa mise en demeure, la CNIL constate quatre manquements aux dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée (Loi Informatique et Libertés). Outre le défaut d’information des personnes quant aux traitements de données les concernant et celui d’assurer la sécurité et la confidentialité des données gérées par un sous-traitant, deux manquements spécifiques à la prise de décision automatisée sont relevés.

S’agissant des formations non sélectives, il est ainsi reproché à l’administration d’avoir pris des décisions produisant des effets juridiques à l’égard des personnes sur le seul fondement d’un traitement automatisé. En effet, seul l’algorithme procédait au classement des candidats et à une proposition d’affectation au sein d’un établissement d’enseignement supérieur, sans aucune maîtrise des établissements quant à cette proposition, ni de possibilité pour l’étudiant d’intégrer par un autre moyen la formation sélective qui lui aurait été refusée par l’algorithme. Ce traitement contrevient aux dispositions de l’article 10, alinéa 2 de la loi Informatique et Libertés selon lequel « aucune (…) décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ».

Il est également reproché à l’administration d’avoir manqué à l’obligation de respecter le droit d’accès des personnes aux données les concernant. En effet, interrogé par les personnes sur les raisons d’un refus d’affectation, le Ministère de l’Enseignement Supérieur se cantonnait à répondre qu’en cas d’insuffisance de capacités d’accueil, trois critères étaient retenus par le Code de l’éducation pour sélectionner les candidats. La CNIL relève ainsi qu’aucune information n’était donnée sur l’utilisation d’un algorithme et le fonctionnement de celui-ci pour classer et affecter les personnes au sein des établissements de l’enseignement supérieur « notamment la méthode ayant permis de développer l’algorithme, les contraintes ou les besoins définis par l’administration, le taux d’erreur de l’algorithme ou encore le score obtenu par le candidat, les seuils de scoring et leur signification » (2). La CNIL en déduit que ces faits contreviennent à l’article 39-I-5 de la Loi Informatique et Libertés, instituant le droit des personnes concernées d’interroger le responsable de traitement et d’obtenir les informations permettant de connaître et de contester la logique qui sous-tend un traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé.

A l’ère du big data et du développement fulgurant de l’Intelligence Artificielle (IA), la décision de la CNIL illustre la volonté du législateur et de l’autorité de contrôle de protéger les personnes de plus en plus confrontées à des décisions automatisées. A ce titre, la Loi pour une République numérique et le Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD)(3) viennent compléter l’arsenal juridique.

LES APPORTS DE LA LOI POUR UNE RÉPUBLIQUE NUMÉRIQUE DU 7 OCTOBRE 2016 (DITE LOI « LEMAIRE »)

Le nouvel article L311-3-1 du Code des relations entre le public et l’administration (CRPA), introduit par la Loi Lemaire, institue un devoir de transparence incombant à l’administration quant aux décisions prises sur le fondement d’un traitement algorithmique. La genèse de cet article était précisément liée aux critiques formulées à l’encontre de l’APB, et son décret d’application est entré en vigueur le 1er septembre 2017 (4), soit… le lendemain de la décision précitée de la CNIL (5).

Ledit article L311-3-1 dispose qu’une décision individuelle automatisée prise sur le fondement d’un traitement algorithmique comporte une mention explicite en informant l’intéressé, et la possibilité pour l’usager de se voir communiquer par l’administration, à sa demande, des règles définissant ce traitement et les principales caractéristiques de sa mise en œuvre.

L’article R311-3-1-1 du CRPA précise que la mention explicite indique la finalité poursuivie par le traitement algorithmique et rappelle le droit à communication garanti par ledit article L311-3-1 du même code, ainsi que les modalités d’exercice de ce droit et de saisine, le cas échéant, de la commission d’accès aux documents administratifs. L’article R311-3-1-2 dispose que, sur demande de la personne faisant l’objet d’une décision individuelle prise sur le fondement d’un traitement algorithmique, l’administration doit communiquer, sous une « forme intelligible » le degré et le mode de contribution du traitement algorithmique à la prise de décision, les données traitées et leurs sources, les paramètres et le cas échéant la pondération du traitement appliqués à la situation de l’intéressé, et, enfin, les opérations effectuées par le traitement.

L’arsenal juridique en matière de régulation des décisions fondées sur un traitement automatisé et produisant des effets sur la personne est complété par le RGPD.

LES SOLUTIONS RETENUES PAR LE RGPD

L’article 22.1 du RGPD pose le principe selon lequel toute personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, lorsque ledit traitement produit des effets juridiques ou affecte significativement la personne de façon similaire.

L’article 22.1 du RGPD apportera ainsi une certaine évolution au droit positif dans la mesure où il ne s’agit plus d’une interdiction absolue, mais d’un droit d’interdire laissé à l’initiative de la personne concernée. L’article 22.1 prévoit des exceptions à ce droit d’interdire dans trois hypothèses, notamment lorsque la décision est nécessaire à la conclusion ou à l’exécution du contrat entre la personne et le responsable du traitement et dans l’hypothèse où le consentement exprès de la personne a été recueilli. Pour ces deux exceptions, le RGPD impose de mettre en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins le droit pour la personne d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision. Par ailleurs, selon l’article 14.2 (g) du RGPD, afin de garantir un traitement transparent et équitable, le responsable de traitement informe la personne concernée de l’existence d’une prise de décision automatisée, y compris de profilage, et a minima, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences d’un tel traitement pour la personne visée.

La mise en demeure adressée par la CNIL sur le cas APB marque la volonté de l’autorité de contrôle de faire respecter les règles en matière de prise de décision automatisée dans un contexte où les technologies rendent possibles ces procédés à grande échelle. L’affaire APB est emblématique dans le sens où le respect des règles par l’Etat est d’autant plus important qu’il se doit d’être exemplaire dans une société désormais globalisée et numérique.

Au travers de ces règles et de ces principes universels de loyauté et de transparence, le droit français et européen accompagnent les changements sociétaux profonds induits par la maîtrise et l’exploitation, toujours croissante, des big data, des algorithmes et de l’IA. Ces principes fondent les règles à même de réguler l’utilisation des algorithmes d’aujourd’hui, et le fonctionnement des robots de plus en plus autonomes de demain.

Constantin Pavléas, Avocat associé et Mellvin N’Goma, stagiaire

1 – Décision n° MED_2017-053 du 30 août 2017, rendue publique par délibération de la CNIL n°2017-233 du 7 septembre 2017 2 – Décision CNIL du 30 août 2017 précitée
3 – Règlement UE 2016/679 du 27 avril 2016 et dont l’entrée en vigueur est le 25 mai 2018
4 – Décret n°2017-330 du 14 mars 2017 – art 1, codifié notamment sous R311-3-1-1, R311-3-1-2 CRPA
5 – Est-ce vraiment une coïncidence ou la volonté de la CNIL de démontrer le caractère fondateur des dispositions de la Loi Informatique et Libertés ? En tous les cas, la CNIL prend le soin d’indiquer dans sa délibération décidant de rendre publique sa mise en demeure qu’elle « s’inscrit dans le prolongement du législateur qui, depuis la loi pour une République numérique, impose aux responsables de traitement, davantage de transparence dans l’utilisation des algorithmes. »