A l’ère de la digitalisation juridique, algorithmes et données personnelles sont les éléments essentiels de toute prise de décision automatisée. Cette pratique permet en effet d’élaborer une décision en se basant sur un traitement algorithmique de données personnelles. Sa mise en place est en principe avantageuse pour les entreprises en ce qu’elle permet d’optimiser le temps, du fait de l’analyse et du traitement d’un grand nombre de données.
Une pratique risquée ?
Bien que cette pratique soit basée sur des algorithmes, l’intervention humaine ne semble pas totalement absente. C’est en effet l’humain qui fournit à l’outil les règles à exécuter. Ces règles peuvent avoir été mises en place en s’appuyant sur certains critères, sans que ceux-ci ne soient nécessairement objectifs. L’algorithme tel qu’il est conçu peut ainsi être source de préjudices pour les personnes, surtout que les logiques sous-jacentes peuvent ne pas être suffisamment transparentes. Il est ainsi possible que les concepteurs ne révèlent pas l’intégralité de la stratégie suivie, qui peut être totalement ignorée du responsable de traitement même. Cette opacité n’est pas sans danger pour les personnes concernées qui pourraient être affectées de manière significative en subissant par exemple un rejet de dossiers ou de candidatures.
Un autre point concerne les éventuels incidents techniques pouvant avoir lieu, donnant lieu à des analyses inexactes. Ces décisions erronées ne sont pas sans conséquences pour les personnes pouvant subir une perte de chance professionnelle ou autre.
Comment se conformer à la règlementation ?
Pour éviter ces risques et que les personnes concernées ne subissent ces décisions, le RGPD a introduit un certain nombre d’obligations que le responsable de traitement doit respecter à chaque fois qu’un traitement de décision automatisée est effectué.
- Assurer la transparence
Le principe de transparence doit être respecté dans le cadre de ces opérations. Il convient ainsi d’informer la personne de l’existence du traitement concerné, du raisonnement suivi, ainsi que des conséquences. Celles-ci peuvent être positives ou négatives, et la personne doit être en mesure de savoir si le traitement automatisé en question est susceptible de lui causer un quelconque dommage.
Les informations des articles 13, f) et 14, g) du RGPD ne semblent toutefois fournis qu’à titre d’exemple : « au moins en pareil cas, des informations utiles […] ». D’autres renseignements peuvent être utiles et pertinents compte tenu du contexte et des circonstances du traitement, et ce pour garantir un traitement équitable et transparent des données personnelles. Cette information concerne la collecte directe et indirecte de données, et fait partie de la liste des informations à communiquer dans le cadre d’une réponse à une demande d’accès.
- Faciliter l’opposition
Le responsable de traitement peut avoir un intérêt légitime à effectuer un tel traitement, mais la personne concernée doit pouvoir s’y opposer à tout moment. L’organisme doit ainsi faire le nécessaire pour tenir compte du choix de la personne concernée, et celui-ci n’a pas à justifier sa décision. Ceci peut toutefois sembler pertinent dans le cas où l’organisme démontre qu’il a des motifs légitimes et impérieux à effectuer le traitement, qui prévalent sur les intérêts de la personne. Une mise en balance doit dès lors être opérée afin de vérifier qu’aucun déséquilibre n’existe au détriment des droits et libertés des personnes.
Ce droit d’opposition dont dispose la personne concernée n’est toutefois pas absolu et ne s’applique pas dans le cas où le traitement se base sur le contrat ou est imposé par un texte légal.
- Mettre en place des mesures adaptées
Une autre obligation consiste à ne recourir qu’à des méthodes de calcul adéquates, et de mettre en place des mesures appropriées pour réduire les risques d’erreur et sécuriser les données personnelles de manière suffisante.
Dans le cas où le processus est fondé sur le contrat ou le consentement, des mesures spécifiques doivent être prévues pour sauvegarder les droits et libertés de la personne et préserver ses intérêts. Le RGPD donne des exemples de garanties, telles que le droit pour la personne de demander une intervention humaine, de donner son avis par rapport au traitement, d’avoir des explications quant à la décision prise à la suite de l’évaluation et de contester la décision.
- Réaliser une analyse d’impact
Ce traitement d’évaluation peut affecter dans certains cas les personnes de manière significative, et engendrer des risques élevés pour leurs droits et libertés. Le responsable de traitement doit dans de tels cas veiller à réaliser une analyse d’impact relative à la protection des données préalablement à sa mise en place. Ainsi, le traitement ne doit être effectué que lorsque des mesures de sécurité sont à même de limiter les risques et les rendre acceptables.
Cette pratique pouvant entraîner des préjudices pour les personnes concernées, il est important que ces obligations soient respectées pour éviter de telles situations et leur permettre de prendre une décision en connaissance de cause. De plus, l’exception qui concerne les données sensibles doit être respectée. Celles-ci ne peuvent faire l’objet d’une prise de décision automatisée que dans le cas où le fondement juridique concerne le consentement ou un motif d’intérêt public.
