L’avis de la CNIL sur le décret Algorithme de la loi Lemaire

Suite à une demande de communication, la Commission nationale Informatique et Libertés a bien voulu nous transmettre son avis sur le projet de décret relatif aux modalités de communications des règles et caractéristiques des traitements algorithmiques. Next INpact diffuse ce document.

Le 16 mars dernier, l’un des derniers décrets d’application de la loi Lemaire était publié au Journal officiel. Comme on l’a vu, il détaille l’obligation pour les administrations de communiquer aux citoyens « les règles » et « principales caractéristiques » de mise en œuvre des traitements algorithmiques, du moins ceux servant à prendre des décisions individuelles les concernant.

Une « mention explicite » sur les documents administratifs alerte depuis le citoyen de son droit d’obtenir des éclairages sur la mécanique en coulisse du traitement. Le domaine d’intervention est très vaste : impôts, allocations familiales, affectation des enfants dans les écoles, les collèges, les lycées, etc.

C’est pourquoi, selon le décret publié au J.O., cette fameuse « mention explicite » doit indiquer « la finalité poursuivie par le traitement algorithmique », le droit « d'obtenir la communication des règles définissant ce traitement et des principales caractéristiques de sa mise en œuvre, ainsi que les modalités d'exercice de ce droit à communication et de saisine » devant la Commission d'accès aux documents administratifs (CADA), autorité compétente pour trancher les réticences d’une administration peu collaborative.

Voilà pour les très grandes lignes du décret. S’agissant d’un traitement de données personnelles, la CNIL avait été consultée en amont de ce texte, mais curieusement, son avis visé dans les premières lignes du texte n’avait fait l’objet d’aucune diffusion. Nous avons pu obtenir le document en question via une demande de communication. Et le document est précieux, il montre que la Commission a émis un certain nombre de critiques.

Un problème de frontières avec la loi de 1978

Que dit cet avis ? La Commission y rappelle d’abord que plusieurs dispositions de la loi du 6 janvier 1978 embrassent déjà cet univers. Son article 10 prévoit en effet qu’ « aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ». Et les particuliers disposent en outre d’un droit d’accès pour connaître « la logique qui sous-tend le traitement » afin, éventuellement, de le contester.

Du coup, dans son esprit, se pose un problème de frontières dans l’articulation de ces deux procédures, l’une organisée sur le fondement de la loi de 1978 (article 10 et 39), l’autre devant la CADA (L311-3-1 du Code des relations entre le public et les administrations, issu de la loi Lemaire et ce décret d'application)

Voilà pourquoi selon la CNIL, la mention explicite prévue par le décret ne peut avoir « ni pour objet ni pour effet d’exclure » les obligations incombant au responsable du traitement, spécialement celles prévues par l’article 32 de la loi CNIL de la loi précitée. Cette autre disposition oblige déjà les responsables à fournir une série d’informations à la personne auprès de laquelle sont recueillies des données à caractère personnel (identité du responsable du traitement, finalité poursuivie, destinataires ou catégories de destinataires des données, durée de conservation des catégories de données traitées, etc.).

L’information transmise et la question du code source

Cela a été dit plus haut, la loi Lemaire oblige à transmettre à la personne les « règles » et les « principales caractéristiques » de mise en œuvre des traitements algorithmiques la concernant. Selon la grille de lecture de la CNIL, cette mesure va aussi avoir des effets directs sur la transmission des codes sources des logiciels utilisés par l’administration.

En effet, « cette disposition complète celle qualifiant les codes sources de documents administratifs et impose ainsi à l’administration de fournir des explications complémentaires permettant une meilleure compréhension de l’algorithme, sans que soient nécessaires des compétences techniques en codage informatique ». En clair, une vague impression papier d’un code source ne sera pas suffisante. Le document devra être enrichi d’un document pédagogique afin d’éclairer au mieux le destinataire.

Imbroglio entre la loi CNIL et la loi Lemaire

Plus intéressant. La même CNIL, dans son avis, a demandé à ce qu’un passage prévu par le projet de décret soit supprimé. Le texte initial expliquait que l’administration sollicitée devait fournir au citoyen, « les informations lui permettant de connaître de manière intelligible, complète et loyale au regard des finalités poursuivies par le traitement, la logique qui sous-tend ce dernier ». Et au titre de ces informations, devaient être transmises plusieurs données propres à la situation de l’administrée comme les paramètres et leur pondération appliqués à la situation de l’intéressé, outre les données faisant l’objet du traitement.

Pourquoi une telle demande de suppression ? Car la Commission considère que ces informations, lorsqu’elles visent la situation de chaque personne, relèvent de la seule loi de 1978, non du Code des relations entre le public et les administrations. La ligne de démarcation entre ces territoires est simple : la demande CADA devrait viser les règles et caractéristiques générales des traitements algorithmiques, alors que la demande sur la situation de chaque personne devrait relever de la seule loi de 1978 et donc de la CNIL.

Manque de chance, les vœux de la CNIL n’ont pas été entièrement exaucés. Si dans le texte publié, le passage a effectivement sauté, il est toujours prévu que la personne sera informée « du degré et du mode de contribution du traitement algorithmique à la prise de décision, des données traitées et leurs sources, des opérations effectuées par le traitement », mais aussi et surtout « des paramètres de traitement et, le cas échéant, leur pondération, appliqués à la situation de l'intéressé ».

Davantage d’informations suggérées par la CNIL, en vain

La même autorité aurait aimé que d’autres informations nourrissent l’administré comme des précisions sur les éventuelles analyses sur le fonctionnement des algorithmes, histoire de s’assurer « que le traitement mis en œuvre ne poursuit pas d’autres finalités que celles expressément déterminées ». De même, « si l’algorithme est le produit d’un apprentissage machine », la CNIL aurait bien apprécié que « les sources de données qui ont été utilisées pour concevoir un tel algorithme » soient communiquées afin de fournir une « information loyale ».

Elle aurait voulu encore des informations relatives à la méthode ayant servi à développer l’algorithme, les contraintes, les besoins, le taux d’erreur par catégorie de données, les critères de tests et d’évaluations, etc.

Là encore, la Commission n’a pas été suivie. L’administré en sera-t-il pour autant désarmé ? Pas si sûr ! L’avis conclut que l’ensemble des éléments souhaité « devra également être communiqué aux personnes exerçant leur droit d’accès prévu par la loi du 6 janvier 1978 dans le cas de tout traitement fondant une décision individuelle automatisée produisant des effets juridiques ». En clair, le citoyen qui n’obtiendrait qu’une information lacunaire sur le terrain du CRPA, pourrait toujours actionner le levier de la loi de 1978 en exigeant un éclairage bien plus complet. Et il pourra alors s’appuyer sur cet avis émis par la CNIL elle-même.

Ajoutons pour finir que le règlement européen prévoit d’ici 2018 en son article 13 toute une série d’informations adressée aux personnes concernées. Parmi elles, « l'existence d'une prise de décision automatisée, y compris un profilage », dont les « informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée ». Une mesure d’application directe qui prendra le pas sur cette législation.

• Télécharger l'avis de la CNIL sur le décret Algorithme de la loi Lemaire