Fin de rédaction : 06 septembre 2025

Note préliminaire :

L’idée d’écrire cet article m’est venue à la lecture du livre NEXUS de Y.N. Harari, l’auteur de Sapiens.

Ce livre traite de l’importance de l’information dans l’histoire de l’humanité et fait un focus particulier sur les réseaux sociaux et l’impact grandissant de l’intelligence artificielle.

Il montre, que loin d’être un gadget supplémentaire, l’IA pourrait bien rapidement devenir un problème majeur pour nos démocraties.

Si vous ne deviez lire qu’un seul ouvrage dans les prochains mois, je vous conseille la lecture de NEXUS, il est particulièrement instructif.

1       Préambule

Les outils disponibles grâce aux développements réalisés autour de l’intelligence artificielle permettent désormais l’exploitation d’immenses volumes de données dans des contextes où les principes de la protection de la vie privée sont mis à rude épreuve.

Lorsque ces données sont personnelles (identité, habitudes, hobbies, biométrie, etc.), plusieurs problématiques émergent :

• Perte de contrôle des personnes concernées sur leurs données. Ainsi, des données éparses, souvent de peu d’intérêts lorsqu’elles sont prises indépendamment les unes des autres, peuvent conduire à déduire des comportements, des opinions lorsqu’elles sont assemblées entre elles
• Ce qui peut conduire à des profilage individuels ou à grande échelle, permettant, entre autres, de cibler des campagnes commerciales ou politiques ;
  • On appelle profilage, « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant son rendement au travail, sa situation économique, sa santé, ses préférences personnelles, ses centre d’intérêts, sa fiabilité, son comportement, sa localisation ou ses déplacements »
  • Le profilage peut également être utilisé pour décider de vous accorder ou non un emprunt, un logement, un poste dans une entreprise, etc…
  • Attention un traitement automatisé n’est pas forcément un profilage. Par exemple le système qui lit automatiquement votre plaque d’immatriculation et vous envoie une amende à votre domicile, fait bien un traitement automatisé de données personnelles, mais n’effectue aucun profilage. A l’inverse, si dans le futur, ce système déterminait aussi automatiquement le montant de l’amende en fonction d’éventuelles récidives et des revenus du contrevenant, alors il s’agirait d’un profilage
• Opacité algorithmique, rendant les traitements difficiles à expliquer ou contester ;
• Risque de biais, discriminations ou décisions automatisées injustes. Dans exemple récent, les algorithmes de reconnaissance biométrique automatisés des douanes américaines avaient été entrainés sur une base de données comprenant tres majoritairement des individus blancs. Les portiques de détections des aéroports internationaux reconnaissaient et laissaient passer plus de 95% des voyageurs blancs mais moins de 50% des voyageurs à la peau noir ou foncée.

Dans cet article, nous commencerons par présenter ce qu’est le « règlement général sur la protection des données ou RGPD » en rappelant ce que sont les données personnelles, vos droits et les devoirs de ceux qui les collectes.

Nous nous attarderons ensuite sur le point particulier des traitements automatisés et des limitation et vœux pieux du RGPD concernant ces traitements.

2       Le RGPD

Depuis longtemps mais plus particulièrement depuis l’accélération du traitement massif des données personnelles et leur commercialisation par les géants du net, l’UE a décidé de se munir d’un arsenal juridique permettant de protéger, autant que possible, les intérêts des citoyens de l’UE au travers du règlement général sur la protection des données (RGPD) référence (UE) 2016/679 du 27/04/2016, entré en application le 25 mai 2018.

Pour commencer, il est important de rappeler que le droit à la protection de ses données à caractères personnels est un droit fondamental des personnes physiques et qu’il est protégé par la charte des droits fondamentaux de l’union européenne.

En contraposée, on peut en déduire que la protection des données des personnes morales (les entreprises) n’est pas un droit fondamental et d’ailleurs n’est pas adressée par le RGPD.

Le RGPD reconnait toutefois une limitation la protection des données personnelles des personnes physique pour ce qui concerne les activités relatives à la politique étrangère des états et la sécurité de ces derniers.

Note : Un autre règlement (UE 2016/680) également du 27/04/2016 traite d’ailleurs spécifiquement du traitement des données personnelles par les autorités compétentes à des fins « de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données »

Le RGPD ne s’applique pas non plus aux activités strictement personnelles ou domestiques sans lien avec une activité professionnelle ou commerciale.

Faut-il en conclure que les associations sans but lucratif sont exemptées d’appliquer le RGPD ?

Que nenni ! 

L’UE rappelle qu’il s’applique à tous les responsables de traitements ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques. Les associations doivent donc également veiller à l’application en interne du RGPD.

Au niveau territorialité, il est également important de noter que le RGPD s’applique au sein de l’UE, MAIS AUSSI à toutes les sociétés hors de l’UE dés que le traitements des données sont liées :

• Soit à une offre de biens ou de services à des personnes situées au sein de l’UE (avec u sans paiement)
• Soit suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union. Pour être clair il s’agit par exemple du suivi des sites consultées permettant au GAFA de cibler les pub apparaissant dans nos navigateurs.

Le RGPD s’applique ainsi à toutes les structures, privées ou publiques, qui collectent et/ou traitent des données personnelles sur le territoire de l’Union européenne (UE) directement ou par l’intermédiaire de sous-traitant, que ces sociétés ou sous-traitants soient situées ou non au sein de l’UE.

2.1      C’est quoi les données personnelles ?

C’est beaucoup de choses.

Le règlement indique qu’il s’agit de :

« toute information se rapportant à une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »;

Les données personnelles comprennent les informations explicites comme un numéro de sécurité sociale qui identifie de manière unique une personne, mais aussi des informations implicites. qui peuvent sembler inoffensives mais peuvent devenir un moyen d’identifier une personne ou certaine de ses caractéristiques lorsqu’elles sont combinées à d’autres données.

Exemple de croisement de données non discriminantes ne permettant pas d’identifier à elles seules, une personne physique mais qui deviennent discriminantes lorsqu’elles sont réunies :

Une femme française aux cheveux bruns, née dans la seconde moitié des années 60, engagée, icone de l’élégance, ayant un sourire à fossettes, une voix douce et légèrement voilée, devenue célèbre lors qu’elle était encore adolescente, à la suite d’un premier rôle dans une production populaire agrémentée d’une ballade romantique (on pourrait par exemple penser à Sophie Marceaux, Brigitte Fossey ou Jodie Foster, mais l’ensemble des critères permet d’identifier de manière unique Sophie Marceau)

Voici quelques autres exemples de données personnelles :

• Nom et prénom,
  • Numéro de sécurité sociale
  • Numéro de passeport
  • Numéro fiscal
  • Numéro de compte bancaire
  • Numéro de téléphone
  • Adresse mail pro ou perso
  • Adresse postale
  • Antécédents médicaux,
  • Groupe sanguin,
  • Enregistrement de la voix,
  • Adhésion à des associations, club de sport, partis politiques, syndicats,…
  • Casier judiciaire,
  • Diplômes
  • Les cookies enregistrés sur vos ordinateur par les sites WEB
  • Les dons politiques ou les cotisations syndicales
  • Les photos ou vidéos postées sur les réseaux sociaux
  • Les tatouages
  • Taille des vêtements
  • Les correspondances numériques
  • Les actes de propriété
  • Résultat à des tests (connaissance, QI, compétences, notes scolaires,)

Il existe de plus des catégories particulières de données personnelles jugées suprasensibles. Il s’agit de celles qui relèvent :

• de l’origine raciale ou ethnique,
• des opinions politiques,
• des convictions religieuses ou philosophiques
• de l’appartenance syndicale,
• des données génétiques,
• des données biométriques permettant d’identifier une personne physique de manière unique
• des données concernant la santé,
• des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne

La collecte de ses données suprasensibles est en générale interdite sauf :

• pour leur propres membres pour les associations politiques, philosophique, syndicales ou religieuses et dans la stricte limite de leur nécessité
• si la personne à qui appartiennent ces données, a donné un consentement explicite concernant ce type de donnée suprasensible et pour des finalités spécifiques
• si le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée (difficile par exemple pour le chef d’un parti politique de soutenir que ses convictions politiques doivent être gardées confidentielles)
• le traitement est nécessaire pour des motifs d’intérêt public important ou à des fins de médecine (préventive ou du travail), de l’appréciation de la capacité de travail d’une personne, de diagnostics médicaux, de prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale
• pour des traitement statistiques ou de recherche après anonymisation c’est à dire à partir du moment où on ne peut plus les rattachez à une personne physique.

Enfin, la collecte et le traitement des données personnelles relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes ne peuvent être effectué que sous le contrôle de l’autorité publique

Il existe donc deux types d’identification :

• l’identification directe (nom et prénom),
• l’identification indirecte (numéro de téléphones, numéro de sécurité sociale, une adresse postale ou courriel, etc.).

ATTENTION :

Pour autant le RGPD n’interdit pas la collecte ou le traitement des données personnelles des européens.

Il précise le cadre de la collecte et des traitements

• en limite la durée de conservation

• instaure une responsabilité de leur protection au collecteurs

• donne des droits aux individus sur la connaissance des données collectées et leur utilisation

2.2      Quand la collecte et le traitement des données sont-ils autorisés ?

Le traitement des données personnelles est licite dés qu’au moins une des conditions suivantes est remplie :

1. la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques qui lui ont été communiquées ;
   1. Par exemple j’accepte des cookies en allant sur un site Web pour ceux strictement nécessaires au fonctionnement du site mais je refuse ceux destinés à mieux cibler des publicités
   1. J’accepte que ma localisation GPS soit utilisée par mon téléphone portable pour m’aider à trouver un restaurant.  Mais si l’application utilise cette même localisation pour me faire parvenir des publicités sur des pizzas car elle a détecté que je me suis garé 3 fois dans le dernier mois à proximité d’une pizzeria, et ce sans demander mon consentement pour l’utilisation à cette fin explicite de ma position, alors l’utilisation de ces données devient illicite.
2. le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;
   1. Par exemple j’accepte de transmettre mes relevés bancaires et mes feuilles de salaire à un courtier en vue qu’il analyse ma solvabilité pour la recherche d’un prêt
3. le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
   1. Par exemple pour la réalisation de placements, au-dessus d’un certain montant votre conseiller financier est dans l’obligation de vous demander de justifier de l’origine des fonds dans le cadre de son obligation légale de lutte contre le blanchiment et le financement du terrorisme.
4. le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
   1. par exemple un médecin demandant vos antécédents de santé et ceux de vos parents avant de vous prescrire un traitement
5. le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
   1. Par exemple toutes les données qui vous sont demandées lors des enquêtes pour le recensement de la population
6. le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
   1. Par exemple je dois saisir mes noms et adresses pour pouvoir être livré lors d’une commande en ligne

Comme on peut le comprendre d’après ce qui précède, la collecte et le traitement des données personnelle doit avoir un objectif déterminé et connu de la personne à qui ces données appartiennent.

Ainsi une entreprise qui collecterait des informations personnelles sans définir précisément pourquoi elles lui sont nécessaires ou comment elles seront utilisées seraient en infraction avec le RGPD.

De même si l’entreprise modifie les finalités de sa collecte sans en informer et demander le consentement aux personnes physiques ou si elle réalise des traitements d’une nature autre que ceux dont elle les a. informé (sauf si elle peut démontrer que ce nouveau traitement est compatible avec les finalités initiales) alors elle est aussi dans l’illégalité.

Les sanctions peuvent alors être très lourdes : amende pouvant aller jusqu’à la plus grande des deux valeurs suivantes : 20 M€  ou 4% du chiffre d’affaires mondial de l’entreprise.

Le règlement prévoit qu’il faille avoir au minimum 16 ans pour pouvoir donner son consentement (mais laisse la possibilité aux états membres de décider un âge de consentement pouvant descendre jusqu’à 13 ans). En dessous de cet âge, c’est au détenteur de l’autorité parentale de donner son consentement pour l’enfant. Tous les sites qui permettent de saisir des données personnelles comme le nom, prénom, adresse de la personne, sans se préoccuper de l’âge de la personne qui rempli ces champs sont donc dans l’illégalité

Enfin, il est important de rappeler qu’une personne ayant donné son consentement peut tout à fait le retirer quelques temps après (les traitements effectués avant le retrait de son consentement restant tout à fait légaux).

3       Les obligations des collecteurs de données

Il ne suffit pas que la collecte et le traitement soit licite, l’entreprise qui a récupéré ces données est soumise à de nombreuses obligation.

Elle doit entre-autres :

• s’assure que les données restent exactes dans le temps (il faut donc qu’elle est une procédure de d’effacement ou de mise à jour régulière)
• limiter leur conservation à une durée strictement nécessaire à la finalité ayant justifiée leur collecte
• protéger ces données contre leur perte, leur vol, leur destruction ou leur utilisations pour d’autres traitement que ceux clairement identifiés
• maintenir une documentation détaillée des finalités de collecte et de traitement des données qui doit à minima indiquer :
  • les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
  • les catégories de données traitées,
  • à quoi servent ces données (la finalité du traitement),
  • qui accède aux données et à qui elles sont communiquées,
  • combien de temps elles sont conservées,
  • comment elles sont sécurisées.
• conserver la trace du consentement des personnes physiques quant à la collecte et aux traitements de leurs données personnelles
• être en mesure, à destination des autorités et des personnes dont les données ont été collectées, les informations suivantes
  • De communiquer le nom et les coordonnées de la personne chargée du traitement des données
  • D’indiquer
    • La finalité des traitements concernant ses données personnelles
    • A qui ces données ont-elles ou peuvent-elles, même partiellement être transmise (par exemple pour l’exécution d’une commande via internet, la plateforme en ligne doit transmettre au fournisseur et au livreur l’adresse à laquelle le bien doit être livré)
    • La durée de conservation potentielle de ses données
  • De corriger, sur demande, ces données si elles sont erronées
  • D’indiquer de qui elle détient ces informations si ce n’est pas la personne physique elle-même qui les a transmis (par exemple un notaire doit être en mesure d’indiquer les coordonnées de l’agent immobilier qui lui a transmis des informations pour l’établissement d’un compromis de vente ainsi que les informations transmises et la raison de la transmission de chaque information. Ainsi si l’agent immobilier à communiqué au notaire des informations sur l’état de santé d’un des acquéreurs sans en avoir demandé préalablement l’autorisation écrite à cette personne, il y aura certainement violation du RGPD)
• Limiter la collectes aux données strictement nécessaires aux traitement envisagées
• Être en mesure d’effacer des données personnelles si la personne ne consent plus à la collecte ou au traitement de ces données (sauf cas de conservation obligatoire de ces données)
  • Cela peut s’avérer tres difficile dans la pratique, car il faut par exemple pour des données transmises par mail être en mesure de supprimer tous les mails des boites de l’ensemble des destinataires initiaux et des éventuels transferts, des toutes les sauvegardes du système d’information de l’entreprise et transférer la demande à tous les sous-traitant ou fournisseurs à qui ces données ont été transmises. Le règlement prévoit donc un effacement « à moins que cela ne se révèle impossible ou exige des efforts disproportionnés ».
  • La loi peut aussi imposer un délai minimal de conservation des données. Par exemple un conseiller financier est tenu de conserver les informations communiquées par son client pendant tous le temps que dure entre eux la relation d’affaire et encore cette 5 années apres la fin de cette relation même si son client lui demande de les supprimer dés la fin de la relation.
• Être en mesure de démontrer que les traitements sont effectués conformément au RGPD et uniquement aux fins des finalités communiquées et que les mesures adéquates de protection des données ont été mises en œuvre et régulièrement mises à jour tant au niveau des mesures techniques que des mesures organisationnelles.
• >Être en mesure de démontrer que si elle utilise des sous-traitant pour la collecte ou le traitement des données personnelles, elle s’est assurée que ce sous-traitant présente des garanties suffisantes quant à la mise en œuvre des mesures nécessaires au respect du RGPD et que ce derniers n’utilise ces données que pour les finalités déterminées et communiquées par l’entreprise donneuse d’ordres. Tous cela étant stipulé dans un contrat écrit entre le sous-traitant et le donneur d’ordre.
• Prévenir les autorités de contrôle (à minima la CNIL en France) et les personnes physiques concernées en cas de violation des données personnelles en précisant la nature des données compromises et les conséquences probables de cette violation. L’entreprise colleteuse doit également décrire les mesures prises ou à prendre pour remédier à ce sinistre et pour en atténuer les éventuelles conséquences négatives.

3.1      Une mesure supplémentaire : L’Analyse d’impact (article 35 du RGPD)

Lorsqu’un type de traitement est susceptible d’engendrer un risque particulièrement élevé pour les droits et libertés des personnes physiques, les collecteurs de données doivent systématiquement effectuer une analyse d’impact.

Un « risque sur la vie privée » est la possibilité que survienne un évènement portant atteinte à la confidentialité, la disponibilité ou l’intégrité des données, qui pourrait avoir des impacts (avérés ou non) sur les droits et libertés des personnes (comme : usurpation d’identité, vol de photos personnelles, blocage des cartes bancaires, harcèlement commercial téléphonique après le vol d’un fichier client, harcèlement morale,etc…).

En France, la CNIL a établi une liste de traitements devant obligatoirement faire l’objet d’une telle analyse d’impact. Parmi ceux-ci on retrouve

• Les traitements de données de santé (étrangement sauf celles liées à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel. Ce qui est à notre avis une grave lacune car les données sont souvent bien moins protégées dans des petites structures qui n’ont pas de personnels dédiés à cette protection que dans des grandes structures)
• Les traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.),
• Les traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines
• Les traitements ayant pour finalité de surveiller de manière constante l’activité d’employés
• Les traitements de données biométriques aux fins d’identifier une personne physique de manière unique
• Les traitements des demandes et gestion des logements sociaux

Cette analyse d’impact doit au moins inclure :

• une description systématique des opérations de traitement envisagées précisant entre autres leur finalités et l’intérêt pour le collecteur
• une évaluation des risques pour les droits et libertés des personnes concernées
• le degré de vraisemblance ou la probabilité qu’un tel risque soit avéré
• et enfin c’est le point le plus important, « les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement ».

Il peut y avoir un écart important entre les mesures effectivement mises en place et le niveau de gravité du risque s’il survient, mais si une analyse est mal réalisée ou si les mesures prévues n’ont pas été mises en place, alors le consommateur pourra se retourner contre le collecteur de données qui a été négligeant ou défaillant.

4       Les droits des personnes physiques

Les personnes physiques ont le droit:

• De demander la consultations, la rectification ou l’effacement (sauf dans ce dernier cas, obligation de conservation des données par le collecteur) de leurs données personnelles
• De supprimer leur consentement à l’utilisation futures de ses données personnelles et en particulier pour des traitements à des fins de prospection,
• De savoir si ces données personnelles vont être utilisées par un algorithme de décision automatisé (voir paragraphe suivant)
• De demander que ses données personnelles soient transmises à une autre entreprise (on parle de portabilité) lorsque
  • la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
  • ou que le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;
  • ET que le traitement est effectué à l’aide de procédés automatisés (ce qui limite souvent cette portabilité, car il suffit d’une intervention humaine dans le process du traitement pour cette condition tombe).
• d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du RGPD. Elle peut également former un recourt judiciaire contre l’entreprise ou le responsable des traitements qui aurait d’après elle violer le RGPD.

Enfin et surtout, toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD a le droit d’obtenir du responsable du traitement ou du sous-traitant, réparation du préjudice subi, s’il est prouvé que le fait qui a provoqué le dommage leur est imputable ou qu’il n’a pas mis en place les diligences nécessaires pour l’en empêcher si cela était dans ces capacités.

5       Les traitements automatisés

Les articles 12 à 15 du RGPD imposent d’une manière générale, qu’une information claire sur les données collectées et les traitements opérés, soient transmises aux personnes physiques concernées.

L’article 22 garantit en plus, mais malheureusement sous certaines conditions seulement, un droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, lorsque cette décision produit des effets juridiques ou significatifs.

En France, l’article 47 de la loi informatique et liberté stipule que « Qu’aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne. », ce qui laisse tout de même un boulevard à certaine automatisation du moment qu’elles ne concernent pas la personnalité du justiciable.

Le même article permet également sous condition de respect de l’article 22 d’automatiser des décisions administratives mais pas la demande de recourt contre ces décisions.

Cependant, cet article 22 reste ambigu : il ne s’applique qu’aux décisions exclusivement automatisées. En pratique, l’ajout d’un contrôle humain superficiel peut suffire à échapper à l’obligation, affaiblissant la protection effective.

Par exemple un outils informatique qui classe automatiquement le demandeur dans des catégories ou donne une recommandation, partir des données qu’on lui a fourni et laisse ensuite le banquier décider s’il accorde ou non le prêt ne sera pas concerné par l’article 22 (sauf à réussir à démontrer que l’intervention humaine du banquier n’est que symbolique), alors que celui qui donne directement la réponse « accord » ou « refus » rentrera pleinement dans le cadre de cet article.

De plus, ce droit est très limité. Il ne s’applique pas si la décision automatique est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou si la personne physique y a préalablement donné son accord ;

Par exemple si votre banquier utilise un algorithme de profilage automatique lui permettant de savoir s’il peut ou non vous accorder un prêt d’une part ; cet algorithme peut être jugé « nécessaire » à la conclusion du contrat de prêt. Et même si ce n’était pas le cas, le banquier pourra vous refuser le prêt parce que vous n’aurez pas donné au préalable votre accord à ce profilage automatisé.

Seul recourt, alors, si le traitement automatisé n’a pas donnée satisfaction à la personne physique, demander une intervention humaine et contester la décision.

Mais il y a fort à parier que la personne que vous aurez en face de vous, tout humaine qu’elle soit, ne soit pas en mesure de déterminer les raisons pour lesquelles l’algorithme vous aura éconduit. Elle se contentera de vous dire que c’est le résultat du scoring réalisé automatiquement mais qu’elle ne connait pas le détail de son fonctionnement.

Vous pourrez, maintenant que vous connaissez vos droits, aller un cran plus loin en exigeant qu’elle vous communique le nom du responsable des traitements de son entreprise.

Mais il y a peu de chance que ce dernier soit en mesure d’aller beaucoup plus loin dans ses explications. En effet avec les progrès de l’intelligence artificielle et le deep learning, plus aucun être humain n’est en mesure d’expliquer le raisonnement réalisé par la machine pour arriver à sa conclusion.

En reprenant un exemple du livre Nexus, l’AI aura pu être entrainée sur des milliers de dossiers de prêts dont certains ont été totalement remboursés et d’autres ont rencontrés des incidents de paiements. Les données d’entrainement auront peut-être pris en compte des données directement liées à la demande de prêt comme le montant du prêt, et les revenus du demandeur mais aussi le fait que la demande de prêt a été faite physiquement à la banque, ou en ligne et dans ce cas à quelle heure , depuis un PC ou un Mac, avec chrome, Firefox ou opéra, que sur les relevés de compte du demandeur il y avait des paiements sur des sites de jeux en lignes, etc…

Et si dans le jeux de données d’apprentissage une proportion importante d’individus ayant fait leur demande depuis un Mac, entre 22h et 23h, en utilisant Firefox et faisant des paris en ligne sur Betclic ont eu des incidents de remboursement de pret, l’IA pourra peut-être décider de vous refuser votre prêt même si votre dossier est par ailleurs en béton armé car vous aurez eu le malheur de répondre aussi à ces quatre critères. Comme cela dépendra dans la pratique de faibles variations de coefficients numériques sur des milliers de neurones artificielles de l’IA, personne ne sera en mesure d’expliquer que ce sont ces 4 éléments mis ensembles qui ont conduit au refus de votre dossier.

De plus, contrairement à certaines interprétations initiales, le RGPD ne garantit pas expressément un droit à une explication technique des algorithmes.

La jurisprudence et les lignes directrices, notamment celles du CEPD (Comité Européen de protection des données), ont alors tenté d’enrichir ce droit, mais il reste limité.

Notamment, le CEPD précise que terme «droit» dans la phrase « droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé » ne signifie pas que l’article 22,  ne s’applique que lorsqu’il est activement invoqué par la personne concernée mais qu’il établit plutôt, une interdiction générale de prendre des décisions fondées exclusivement sur un traitement automatisé.

Cette interdiction s’applique que la personne concernée prenne ou non une mesure concernant le traitement de ses données à caractère personnel sauf si la décision automatique est « nécessaire » à la conclusion ou à l’exécution d’un contrat ou si la personne physique y a préalablement donné son accord. Cet article 22 doit donc plutôt être vu comme une interdiction générales des traitements entièrement automatisés sauf cas particuliers déjà exposés ci-dessus.

Précédemment dans ce paragraphe, nous avons indiqué à titre d’exemple qu’un banquier pourrait estimer comme étant « nécessaire » le recourt à un traitement automatisé pour décider de l’attribution ou non d’un prêt à un client.

Toute la difficulté vient dans l’estimation de ce qui est nécessaire ou non.

Dans un guide publié en 2017, le CEPD indique que le principe de nécessité suppose le besoin de procéder à une évaluation de l’efficacité de la mesure mais aussi de déterminer si cette mesure est moins intrusive par rapport aux autres moyens de réaliser le même objectif.

Ainsi, un traitement, aussi utile et pertinent soit-il, ne signifie pas pour autant qu’il soit « efficace ou nécessaire » au sens du RGPD. En effet, le traitement choisi doit également, d’après le CEPD, être moins intrusif et moins privatif de droits que les autres options permettant d’atteindre le même objectif.

En d’autres termes dans l’exemple ci-dessus, ce serait à la banque de prouver que le profilage automatisé est essentiel au fonctionnement de ses service et qu’il n’existe pas d’autre moyen (à cause par exemple du trop grand nombres de dossiers à traiter) que cette automatisation.

6       Conclusions

Avec le RGPD, l’UE à fait un premier pas important dans la protection des données personnelles des européens.

Cependant les progrès très rapide de l’IA rendent déjà incomplètes les règles édictées.

Un IA peut déjà par exemple aller faire de la reconnaissance faciale à partir d’images accessibles depuis le WEB sur des webcam placées dans des lieux publiques ou des images postées sur les réseaux sociaux afin de déterminer des comportement d’individus sans que ceux-ci ne sachent que ces données ont été collectées et aient fait l’objet de traitement automatisés.

L’automatisation des traitements des comportements sur les réseaux sociaux a déjà conduit à de graves répercussions (par exemple les exactions contre les Rohingya en Birmanie en 2017 décortiqué par le rapport d’Amnesty International de 2022). Dans ce cas, le fait d’avoir demander à une IA d’augmenter le temps de connexion moyen à un réseau social, a conduit rapidement cette dernière à mettre les articles qui génèrent le plus de temps de lecture ou le plus de réactions en avant, et ces articles étaient souvent les articles les plus haineux ou les plus polémiques ce qui a augmenté les tentions entre les communautés et conduits certains individus à des passages à l’acte agressifs.

L’intelligence artificielle, n’a pas de conscience, elle a juste l’intelligence de faire ce qu’on lui demande, même si on constate que l’être humain n’est déjà plus en mesure de savoir comment elle atteint son but, ni quels pourront en être les effet collatéraux.