Etienne Papin, NEXT avocats, 17 février 2020, pour CIO Online.
Depuis les débuts de l’informatique, il existe la crainte que l’ordinateur puisse venir régir la vie des personnes et que l’implacable automatisation qui en résulterait serait à l’encontre de nos droits et libertés fondamentaux.
Dès la loi du 6 janvier 1978 « Informatique et Libertés », il a été porté, en principe, à son ancien article 2, qu’« aucune décision administrative ou privée impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement automatisé d’informations donnant une définition du profil ou de la personnalité de l’intéressée ».
Ce principe perdure dans le RGPD à son article 22 et à l’actuel article 47 de la loi Informatique et Libertés assorti cependant maintenant d’exceptions majeures, qui tendent à ravaler le principe au rang d’exception.
Au titre de ces exceptions, figurent « les décisions administratives individuelles prises dans le respect de l’article L311-3-1 du code des relations entre le public et l’administration ». La possibilité pour l’administration de prendre des décisions de manière automatisée à l’égard d’une personne a été introduite par la loi du 20 juin 2018, loi qui a profondément réformé la loi Informatique et Libertés pour prendre en compte l’entrée en vigueur du RGPD.
Quelques garde-fous ont été mis à cette automatisation de la gestion des administrés par l’administration mais certains ont entamé un combat judiciaire pour forcer l’administration à plus de transparence dans son usage des algorithmes.
Les conditions du recours par l’administration aux algorithmes
L’article 47 de la loi Informatique et Libertés impose à l’administration de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement algorithmique a été mis en œuvre à son égard. Cela signifie que l’administration ne doit pas mettre en œuvre des algorithmes, qui par l’utilisation des techniques dites de « deep learning » ou « d’auto-apprentissage », rendent difficile la compréhension du cheminement logique de l’algorithme pour aboutir au résultat.
L’article 311-3-1 du code des relations entre le public et l’administration (CRPA) prévoit que, à partir du 1er juillet de cette année, toute décision individuelle prise sur le fondement d’un traitement algorithmique doit comporter une mention explicite en informant l’intéressé. Cette mention doit être portée à peine de nullité de la décision administrative.
Enfin, l’algorithme ne doit pas utiliser des données dites « sensibles », au sens de la loi Informatique et Libertés.
Bien sûr, comme toute décision administrative, une décision prise par un algorithme peut faire l’objet d’un recours devant le juge administratif.
Pour l’administration, le cadre est finalement peu contraignant pour recourir au traitement algorithmique. Le Conseil constitutionnel, dans sa décision du 12 juin 2018, n’a pas considéré que ce cadre légal était contraire aux droits et libertés fondamentales prévues par la Constitution.
Les conditions d’accès des intéressés aux algorithmes de l’administration
L’administré est donc informé du fait qu’il a fait l’objet d’une décision automatique. Dont acte, pourrait-on dire. Heureusement, il y a plus : l’intéressé peut également obtenir, s’il le demande à l’administration, les règles définissant ce traitement ainsi que les principales caractéristiques de sa mise en œuvre. A cet stade, il ne s’agit donc pas encore d’un droit d’accès au traitement algorithmique en lui-même. Un décret du 14 mars 2017 est venu préciser les informations qui devaient être remises à la personne qui en fait la demande. Il s’agit : du degré et du mode de contribution du traitement algorithmique à la prise de décision ; des données traitées et leurs sources ; des paramètres de traitement et, le cas échéant, leur pondération, appliqués à la situation de l’intéressé et des opérations effectuées par le traitement.
Pour être complet, précisons que l’article L312-1-3 du code précité prévoit que les administrations doivent publier en ligne les règles définissant les principaux traitements algorithmiques utilisés dans l’accomplissement de leurs missions lorsqu’ils fondent des décisions individuelles.
Fidèle à son incapacité à produire des textes clairs, notre législateur a prévu, par ailleurs, à l’article L300-2 du CRPA que les « codes source » constituent des documents administratifs. A ce titre, les codes source des algorithmes font donc l’objet du droit à communication des documents administratifs prévu par les articles L311-1 du CRPA, comme n’importe quel autre document administratif.
Mais…
Parcoursup : un algorithme au goût particulier
L’un des algorithme les plus célèbre de France est « Parcoursup ». Dans le but d’apaiser les controverses liés à la pré-affectation automatisée des bacheliers dans le premier cycle universitaire et notamment le recours au tirage au sort, l’article L612-3-II du code de l’éduction prévoit la communication des codes source, du cahier des charges présenté de manière synthétique et de l’algorithme de Parcoursup.
Toutefois, la sélection « Parcoursup » ne s’arrête pas là. Les candidatures sont adressées dans les établissements qui peuvent recourir eux-mêmes, à un traitement algorithmique pour trier les candidatures reçues ; on parle des « algorithmes locaux ». L’article L612-3-I du code de l’éducation vient limiter le droit pour le candidat d’obtenir communication de ces algorithmes en n’ouvrant ce droit qu’aux seules informations relatives aux critères et modalités d’examen de leur candidature « afin de garantir la nécessaire protection du secret des délibérations des équipes pédagogiques chargées de l’examen des candidatures ».
C’est sur cette limitation que ce concentre la lutte.
Premier manche :
L’UNEF a demandé à l’université des Antilles de lui communiquer les procédés algorithmiques et les codes sources qu’elle utilise pour l’examen des candidatures qui lui sont présentées à travers la plateforme nationale « Parcoursup ».
A la suite du refus tacitement opposé par l’université, par un jugement du 4 février 2019, le tribunal administratif a enjoint à l’université des Antilles de communiquer à l’UNEF les documents demandés dans un délai d’un mois, sous astreinte de 100 euros par jour de retard. L’affaire a été portée devant le Conseil d’Etat par l’université. Dans sa décision du 20 mai 2019, le Conseil d’Etat a donné tort à l’UNEF aux motifs que « seuls les candidats sont susceptibles de se voir communiquer les informations relatives aux critères et modalités d’examen de leurs candidatures ainsi que les motifs pédagogiques qui justifient la décision prise ». L’université avait donc le droit de refuser à l’UNEF sa demande de communication, car elle « n’avait pas la qualité de candidat ayant soumis une candidature à l’entrée dans cette université ».
Seconde manche :
L’UNEF s’est heurtée aux mêmes refus de communication des « algorithmes locaux » de la part des universités de La Réunion et de Corse. L’UNEF s’est pourvue devant le Conseil d’Etat et a demandé qu’une question prioritaire de constitutionnalité soit renvoyée au Conseil constitutionnel.
L’UNEF considère que l’impossibilité légale d’accéder aux algorithmes « locaux » porte atteinte à l’article 15 de la Déclaration des droits de l’homme et du citoyen du 26 août 1789. Cet article prévoit que « la société a le droit de demander compte à tout agent public de son administration ».
Dans sa décision du 15 janvier 2020, le Conseil d’Etat vient de juger que l’interrogation de l’UNEF quant à la constitutionnalité de l’article L612-3-I du CRPA présente un caractère sérieux et l’a transmise au Conseil Constitutionnel.
La troisième manche de l’accès aux algorithmes locaux de Parcoursup se tiendra donc bientôt devant la juridiction constitutionnelle.
