RGPD et décisions automatisées : droit à explication avec Eléonore Favero Agostini, Associée, Adlane Avocats.
Catégorie
🗞
NewsTranscription
00:00On débute tout de suite ce Lexinside, on va parler décision automatisée et RGPD avec Eleonore
00:18Favero, avocate associée au sein du cabinet Adelan Avocat. Eleonore, bonjour. Bonjour Arnaud.
00:24L'utilisation d'algorithmes pose de nouveaux défis juridiques, notamment en matière de transparence et de droit d'accès des personnes aux décisions automatisées fondées sur le profilage.
00:37Comment définiriez-vous une décision automatisée au sens de l'article 22 du RGPD ?
00:45Je vais commencer tout d'abord par la distinguer un peu du profilage parce qu'on confond souvent les deux.
00:50Donc un profilage, ça va être un traitement de données personnelles qui sera utilisé à partir d'un individu en vue de pouvoir prédire son comportement
01:00ou de déterminer un peu, d'analyser ou de prédire son comportement.
01:07Et tout cela va reposer sur l'établissement d'un profil individualisé et en vue d'émettre un jugement ou des conclusions sur cette personne.
01:14La décision automatisée, elle, va vraiment désigner une décision qui est prise sur un individu entièrement par un algorithme et qui va avoir des effets juridiques
01:25ou si vous l'affecter de manière similaire et significative sans qu'il n'y ait aucune intervention humaine.
01:32Donc pour la décision automatisée, il y a deux critères principaux.
01:35Il y a tout d'abord la prise de décision automatisée sans intervention humaine et surtout l'effet juridique sur la personne concernée.
01:41Bon, on a les décisions, les définitions bien en tête et on va parler d'une décision importante en la matière,
01:49un arrêt du 27 février 2025 qui apporte plein de précisions sur justement les décisions entièrement automatisées
01:56et le droit d'accès des personnes, un droit d'explication à ce qui est la décision qui fonde cette décision automatisée.
02:04Mais avant de revenir sur cette décision, projetons-nous sur le droit antérieur.
02:09Quelles étaient les obligations de transparence imposées aux entreprises qui utilisaient ces algorithmes
02:15avant cet arrêt du 27 février 2025 ?
02:21Alors le RGPD imposait aux entreprises de fournir aux personnes concernées
02:26une information qui soit claire, intelligible et facilement accessible.
02:31Pour cela, il y avait vraiment tout simplement, c'était vraiment une exigence de description globale de l'algorithme.
02:40Il n'y avait pas besoin de fournir l'entièreté du code ou de toutes les formules mathématiques sur lesquelles il s'appuie.
02:47C'est vraiment la logique sous-jacente à cet algorithme.
02:49Et il y avait une grande limite qui était celle du droit d'étier, qui était posée par l'article 63 du RGPD
02:55et qui disait que le secret des affaires ou généralement la propriété intellectuelle
03:00et en particulier le droit d'auteur appliqué au logiciel
03:03permettait de refuser l'accès, en tout cas l'information des personnes concernées sur ce fondement-là.
03:11Et donc l'arrêt du 27 février 2025 est arrivé.
03:14Et dans cette décision, la CGE exige une explication claire et compréhensible des logiques algorithmiques qui sont utilisées.
03:24Concrètement, que doivent divulguer les entreprises ?
03:28Alors l'arrêt, effectivement, l'arrêt de la CGE va venir augmenter le niveau d'informations
03:33et en renforçant du coup cette obligation de transparence.
03:36Donc désormais, les entreprises vont devoir fournir ces informations qui seront intelligibles et pertinentes,
03:42mais du coup, lesquelles sont pertinentes.
03:44Donc on va d'abord demander quelles sont les données personnelles qui sont utilisées dans le cadre d'une décision automatisée.
03:50Ensuite, de quelle manière sont traitées ces données pour aboutir à la décision.
03:55On va aussi devoir communiquer les paramètres et les variables d'entrée qui sont utilisées dans l'algorithme
04:00et également l'incidence de ces paramètres sur le résultat final.
04:04Parce que par exemple, on peut demander plusieurs critères,
04:07mais tous n'auront pas la même importance ou la même pondération.
04:09Et aussi, on va souvent devoir demander la raison pour laquelle une personne est associée à un certain résultat.
04:17Pourquoi par exemple, dans le cas d'une banque, tel score de solvabilité va être attribué à telle personne.
04:23Donc là encore, il ne s'agit pas de vous divulguer l'algorithme complet,
04:28mais on va devoir fournir une explication sur tout.
04:31Fournie est beaucoup plus pertinente, et c'est là que tout se cache, sur les méthodes utilisées.
04:37Si pour décrypter un peu la décision, l'idée c'est que l'utilisateur puisse comprendre ce qui a fondé la décision algorithmique, c'est ça ?
04:45Voilà, vraiment de se placer du point de vue de l'utilisateur,
04:49et du coup de fournir une explication qui se basera sur le niveau de l'utilisateur.
04:56Ainsi, plus on aura des utilisateurs qui ne sont pas forcément aguerris, non professionnels,
05:01voire peut-être des mineurs ou des personnes fragilisées,
05:03plus les explications devront être claires et compréhensibles.
05:06Alors, dans le même temps, dans cette décision, on a une obligation de transparence qui est renforcée,
05:12mais cette obligation, elle doit être conciliée avec la protection du secret des affaires.
05:17Concrètement, comment on va concilier cette obligation de transparence
05:21avec la protection d'algorithmes propriétaires, avec le secret des affaires ?
05:26Alors, il va falloir trouver un peu un équilibre entre les deux,
05:29parce qu'effectivement, dans son arrêt, la Cour de justice de l'Union européenne
05:32reconnaît que le droit d'accès à ces informations sur la logique de l'algorithme
05:37va venir entrer en conflit avec la protection du droit d'auteur ou du secret des affaires.
05:44Et elle considère que, désormais, ces droits-là ne peuvent justifier un refus absolu
05:51de communiquer ces informations aux personnes concernées,
05:53ce qui était le cas avant cette décision.
05:56Et ainsi, elle va proposer un mécanisme qui est que le responsable de traitement
06:02remettra, soit aux juridictions compétentes, mais généralement aux autorités de contrôle,
06:07les informations, toutes les données relatives à l'algorithme.
06:12Et ce sera cette autorité de contrôle qui va pondérer entre les intérêts et les droits en jeu
06:17afin de pouvoir déterminer l'étendue du droit d'information et du droit d'accès
06:22auquel aura droit les personnes concernées.
06:23Et la Cour précise bien que les États membres n'ont pas le droit,
06:28ne doivent pas adopter des dispositions nationales qui viendraient interdire
06:33ou viendraient diminuer le droit d'accès lorsqu'il y a le secret des affaires
06:37ou les droits de propriété intellectuelle en jeu.
06:39Alors, on comprend que la conformité à la jurisprudence européenne
06:42suppose la mise en œuvre de mesures adaptées.
06:45Quelles mesures faut-il prendre ?
06:47Alors, il y a à la fois des mesures techniques qui peuvent être, par exemple,
06:51forcément établir une documentation détaillée des algorithmes
06:55et évidemment maintenir cette documentation tout au long de l'évolution
06:59et de les mises à jour des algorithmes.
07:01Il peut être aussi pertinent d'avoir des systèmes d'explications automatisés
07:06où les personnes concernées viendront faire une demande d'explications
07:09et le système pourra générer automatiquement des explications claires et compréhensibles.
07:13Il y a aussi, forcément, pour prévoir des interfaces utilisateurs
07:18qui seront un peu conviviales, enfin, qui vont permettre aux personnes
07:21de trouver facilement l'information.
07:24Ensuite, il y a des mesures organisationnelles,
07:26donc au sein de l'entreprise en interne.
07:29Donc, évidemment, on ne peut pas passer outre l'analyse d'impact
07:32qui est une analyse qui va permettre d'évaluer l'importance et les risques
07:37du traitement qu'on met en œuvre sur les droits et les libertés des personnes.
07:40Et également, il y aura la nécessité d'intégrer cette exigence de transparence
07:45dès la conception des systèmes, donc dans le concept de « privacy by design ».
07:49Il y aura aussi, forcément, une formation du personnel
07:52où on va devoir les sensibiliser à la fois aux obligations légales
07:56auxquelles est tenue l'entreprise sur la transparence,
07:59mais également aux différentes procédures internes qui sont mises en place.
08:03Et enfin, il y aura, évidemment, une mise en balance des intérêts
08:06où on devra savoir évaluer au cas par cas pour chaque système utilisant des décisions automatisées
08:12la nécessité ou non de diffuser une information
08:15et au contraire, est-ce qu'elle est protégée
08:18et éventuellement prévoir l'intervention de l'autorité de contrôle si cela est nécessaire.
08:23Donc, on voit que les conséquences sont importantes,
08:25beaucoup de mesures à mettre en œuvre.
08:27Rapidement, quelle perspective cette décision ouvre ?
08:30Alors, on va vers une transparence beaucoup plus effective et beaucoup moins symbolique
08:35et surtout, on repousse les limites de cette transparence.
08:40Donc, on demande vraiment une transparence substantielle et compréhensible
08:43et donc, on va vraiment vers une conformité qui est vraiment formelle.
08:48Donc, on redéfinit un peu l'équilibre entre innovation et droits fondamentaux
08:52où on va pencher un peu plus en faveur des droits fondamentaux.
08:55Mais surtout, on remarque un peu une convergence entre l'IA Acte et le RGPD
09:00où on a vraiment une de cette jurisprudence
09:02vient créer un peu un cadre européen unique
09:04qui est centré sur les droits fondamentaux,
09:07la transparence et l'exigence d'une supervision humaine.
09:09Ce sera le mot de conclusion.
09:11Merci Eleonore Favreau.
09:12Je rappelle que vous êtes associé au sein du cabinet Adelane.
09:15Tout de suite, l'émission continue.
09:17On va parler du régime des nullités en droit des sociétés.