Une meilleure information sur les traitements algorithmiques des demandes des administrés

Publié le Modifié le 07/11/2017 Vu 4 309 fois 0
Légavox

9 rue Léopold Sédar Senghor

14460 Colombelles

02.61.53.08.01

La loi du 7 octobre 2016 et le décret du 14 mars 2017 qui viennent respectivement créer les articles L. 311-3-1 et R. 311-3-1-1 et suivants du code des relations entre le public et l’administration ont pour but de faciliter l’information des personnes qui font l’objet de décisions prises – au moins en partie – par un traitement algorithmique. Ces dispositions, qui sont issues la loi sur une République numérique, doivent en principe permettre de limiter l’opacité de certains traitements automatiques des demandes des administrés et d’accroître leur confiance en ce type d’outils, notamment à la suite des difficultés rencontrées avec l’application APB. Toutefois, ce texte ne facilite pas, en réalité, la communication des algorithmes en eux-mêmes.

La loi du 7 octobre 2016 et le décret du 14 mars 2017 qui viennent respectivement créer les articles L. 311-

Une meilleure information sur les traitements algorithmiques des demandes des administrés

I. Un droit à l’information renforcé

Plutôt qu’un réel droit à la communication des algorithmes, la loi du 7 octobre 2016 pose le principe d’une meilleure information (A.) et d’un droit à l’information renforcé (B.) sur le traitement des demandes par voie algorithmique.

A. Une information basique obligatoire

L’article L. 311-3-1 du code des relations entre le public et l’administration, créé par la loi du 7 octobre 2016 prévoit qu’une décision prise sur le fondement d’un traitement algorithmique comporte une mention explicite de ce traitement.

En effet, jusqu’ici, l’administration n’était nullement tenue de préciser le mode d’établissement de la décision. Pendant fort longtemps, une telle mention aurait effectivement paru inutile dans la mesure où quelles que soient les situations, une intervention humaine était nécessairement à l’origine de la décision. Néanmoins, avec le développement des traitements informatisés et automatiques, ce postulat de principe n’est plus vrai aujourd’hui.

Aussi, et notamment à la suite des difficultés rencontrées avec le traitement opaque des demandes d’inscription à l’université via l’application « admission post-bac » (APB), le législateur, inspiré par une consultation publique sur ce point, a choisi d’imposer la mention de ce traitement algorithmique.

Plus précisément, à propos de l’application APB, il est apparu au bout de quelques années que cette application, supposée recueillir les vœux des bacheliers pour leurs inscriptions universitaires, ne se bornait pas à recueillir ces informations. En effet, le ministère de l’éducation nationale a introduit dans ce programme informatique un traitement algorithmique des demandes des étudiants conduisant à un tirage au sort et à une exclusion automatique de certains étudiants.

Cependant, ce traitement automatisé n’a réellement pu être connu et contesté que récemment, après plusieurs années d’anomalies relevées par les étudiants, l’intervention récurrente de l’association « droits des lycéens » et la parution d’un rapport de l’inspection générale de l’administration à ce sujet.

Ainsi, pour limiter cette opacité, l’article L. 311-3-1 du code des relations entre le public et l’administration prévoit désormais que les traitements algorithmiques doivent être mentionnés. L’article R. 311-3-1-1 du même code précise que cette information porte non seulement sur l’existence du traitement mais également sur les finalités de ce traitement et le droit de se voir communiquer davantage d’informations.

Bien que ces dispositions prennent place dans le titre du code relatif à l’accès aux documents administratifs, elles créent en réalité un droit à l’information différent du droit à la communication.

En effet, le droit à la communication des documents administratifs est protégé de longue date par la loi du 17 juillet 1978 désormais codifiée. Néanmoins, ce droit ne portait que sur des documents existant et non sur des informations (voir, par exemple, au sein d’une jurisprudence constante : CE. SSR. 30 septembre 1987, Compagnie générale des eaux, n° 66573, mentionnée aux tables ; CE. SSJS. 22 mai 1994, Association D.A.V.I.D., n° 154125).

Ce droit à l’information est donc une avancée majeure. Et ce, d’autant qu’au-delà de l’information succincte donnée obligatoirement à l’occasion des décisions prises via un algorithme, le texte consacre un droit à l’information renforcée sur demande de l’intéressé.

B. Une information renforcée sur demande

Comme indiqué ci-dessus, en vertu des articles L. 311-3-1 et R. 311-3-1-1 du code des relations entre le public et l’administration, la décision administrative prise à la suite d’un traitement algorithmique doit rappeler la possibilité de solliciter davantage de précisions sur ce traitement.

Le contenu de cette information plus précise a été explicité par le décret du 14 mars 2017, la loi du 7 octobre 2016 se bornant à mentionner que les « principales caractéristiques de [la] mise en œuvre » de l’algorithme étaient communiquées.

Il ressort donc désormais de l’article R. 311-3-1-2 du code des relations entre le public et l’administration que la personne faisant l’objet de la décision doit se voir informer :

  • Du degré et du mode de contribution du traitement algorithmique à la prise de décision.

C’est-à-dire si le traitement algorithmique est le seul outil conduisant à la prise de décision.

  • Des données traitées et de leurs sources.

Autrement dit, quelles informations sont utilisées par le traitement algorithmique et comment elles ont été obtenues.

  • Des paramètres de traitement, et le cas échéant leur pondération, appliqués à la situation de l’intéressé.

Cette précision, avec celle relative au « mode de contribution » est fondamentale puisque les paramètres de traitement et leur pondération permettent à la personne concernée, en les croisant avec les autres informations, de comprendre réellement quel est le rôle joué par l’algorithme dans la prise de décision.

  • Des opérations effectuées par le traitement.

De prime abord, cette précision semble faire double emploi avec le « mode de contribution » et les « paramètres de traitement » si ces derniers sont indiqués avec suffisamment de précision. Néanmoins, cette mention permet d’éviter tout doute sur l’information qui doit être donnée.

En résumé, à la lecture de l’article R. 311-3-1-2 du code des relations entre le public et l’administration, il apparaît que les personnes concernées doivent être informées à leur demande de comment et par quels méthodes le traitement algorithmique est intervenu dans la prise de décision.

L’article R. 311-3-1-2 précise toutefois que cette communication intervient « sous réserve de ne pas porter atteinte à des secrets protégés par la loi ». Cette référence renvoie aux articles L. 311-5 et suivants du code qui protègent les secrets de la défense nationale, de la sécurité publique, etc. mais également, et sans doute, au secret industriel et au secret des affaires.

Par conséquent, ce droit à l’information, qui ne concerne que les personnes faisant l’objet de la décision et non tout intéressé, demeure encadré.

Il n’en constitue pas moins une avancée par rapport à l’opacité qui existait jusqu’ici sur les traitements informatiques. Aussi, pour laisser le temps à l’administration de mettre en place cette réforme (et notamment de mettre au point les documents d’information), le décret du 14 mars 2017 prévoit qu’il n’entrera en vigueur qu’en septembre 2017.

Toutefois, il convient de relever que l’information fournie par l’administration donnera très certainement lieu à du contentieux. En effet, sans disposer de l’algorithme en lui-même, les administrés ne seront pas en mesure de contrôler la véracité et le caractère complet des informations qui leur sont données par l’administration.

Par conséquent, il y a fort à parier qu’en cas d’information floue (ou même claire de l’administration), certains administrés seront tentés, à juste titre, de vérifier ces informations. Or, comme cela va être exposé, le texte n’apporte aucune avancée sur la communication des algorithmes en eux-mêmes.

II. Un droit à la communication demeurant, en réalité, inchangé

Comme indiqué ci-dessus, le droit consacré par l’article L. 311-3-1 du code des relations entre le public et l’administration n’est pas à proprement parler un droit à la communication des algorithmes mais un droit au bénéfice de certaines informations sur ces derniers. Ainsi, le texte reste muet sur la communication des algorithmes eux-mêmes (A.). Par conséquent, cette communication demeurera régie par les dispositions actuellement en vigueur et sera donc toujours aussi complexe (B.).

A. Un texte muet sur la communication des algorithmes

Si l’information prévue par l’article L. 311-3-1 du code des relations entre le public et l’administration est une avancée, elle n’empêchera pas que certains administrés, et notamment les associations de défense de ces administrés, souhaiteront recevoir communication de ces algorithmes.

De plus, ces demandes n’en demeureront pas moins légitimes, notamment pour vérifier l’exactitude et la complétude des informations données par l’administration (cette dernière n’étant d’ailleurs pas à l’abri d’erreurs dans ce domaine particulièrement technique).

Pourtant le texte reste muet sur la communication desdits algorithmes en eux-mêmes.

Il ne vient pas l’interdire. Toutefois, il ne vient pas non plus la faciliter.

A cet égard, les travaux parlementaires le précisent bien : « le présent article n’ouvre toutefois pas un droit d’accès au traitement algorithmique en lui-même mais aux règles le définissant ainsi qu’à ses principales caractéristiques de mise en œuvre, que viendrait expliciter un décret en Conseil d’État » (Rapport n° 534 (2015-2016) du 6 avril 2016 de M. Christophe-André Frasse devant le Sénat).

L’objectif poursuivi est donc clairement de renforcer la transparence pour accroitre la confiance dans ces outils de traitement et permettre, le cas échéant, de lancer un débat quant à leur place.

Néanmoins, le but n’est pas de pousser la transparence jusqu’au bout en facilitant l’accès au code source en lui-même.

Dans ces conditions, pour la communication de l’algorithme en lui-même, ce sont les principes pré-existants en matière de communication de documents administratifs qui demeureront applicables.

Or, cette communication apparaît complexe.

B. Une communication toujours aussi complexe des algorithmes

Dans la mesure où le texte ne vient pas faciliter la communication des algorithmes, l’accès à ces documents demeurera difficile.

En effet, il convient de se reporter sur ce point aux dispositions des articles L. 300-1 et suivants du code des relations entre le public et l’administration, lesquels viennent réglementer la communication des documents produits ou détenus par l’administration.

Or, ces dispositions anciennes (issues de la loi du 17 juillet 1978) sont mal adaptées à la communication de documents tels que les codes sources. Et ce, d’autant, que l’administration a pu faire preuve – dans les rares hypothèses où la communication des algorithmes a été demandée – d’un certain mauvais vouloir.

Il a certes été considéré de manière claire par la commission d’accès aux documents administratifs (CADA) que ces codes sources étaient des documents administratifs communicables. Plus précisément, l’autorité administrative indépendante a estimé :

« La commission rappelle que le code source d’un logiciel est un ensemble de fichiers informatiques qui contient les instructions devant être exécutées par un micro-processeur. Elle estime que les fichiers informatiques constituant le code source ou algorithme sollicité, produits par l’Institut national polytechnique de Toulouse pour le ministère de l’éducation nationale, de l’enseignement supérieur et de la recherche dans le cadre de leurs missions de service public respectives, revêtent le caractère de documents administratives, au sens de l’article L300-2 du code des relations entre le public et l’administration. Ce code est, de ce fait, communicable à toute personne qui le demande, conformément à l’article L311-1 du même code. En application de l’article L311-9, il doit être communiqué, au choix du demandeur et dans la limite des possibilités techniques de l’administration, par la délivrance d’une copie sur un support compatible avec celui qu’elle utilise, aux frais du demandeur, ou par courrier électronique et sans frais. En vertu de l’article L321-1 relatif à la réutilisation des informations publiques, et à moins que des tiers à l’administration détiennent des droits de propriété intellectuelle sur ce code, il peut être utilisé par toute personne qui le souhaite à d’autres fins que celles de la mission de service public de l’administration fiscale » (CADA, 23 juin 2016, Association Droits des lycéens, n° 2016989 ; voir, dans le même sens : CADA, 8 janvier 2015, DGFIP, n° 20144578).

Par conséquent, il est établi qu’un code source produit par une administration pour une autre, dans le cadre de leurs missions de service public, est un document administratif communicable.

En revanche, la CADA ne se prononce pas dans cet avis sur l’hypothèse d’un algorithme détenu par l’administration et utilisé par elle mais produit par une personne privée qui n’est pas chargée d’une mission de service public. Certes, la remarque conclusive de la commission laisse penser que son raisonnement peut être étendu à cette dernière hypothèse. Néanmoins, en l’état, cela ne peut être certain.

Quoi qu’il en soit, il n’y a, à ce jour, aucun doute sur le fait qu’en pratique, la communication des algorithmes est malaisée et la marge donnée à l’administration quant au support de communication peut conduire à une transmission du code source sur des supports difficilement exploitables et ce, malgré l’intervention la volonté de la CADA (CADA, 8 janvier 2015, DGFIP, n° 20144578).

De la sorte, la transmission du code source demeure difficile et, surtout, ne permet pas forcément de pouvoir contrôler ce code source et les algorithmes qu’il utilise.

Aussi, il aurait été opportun que le législateur pousse jusqu’au bout son raisonnement en facilitant l’accès pratique au code source. Néanmoins, comme le soulignent les travaux parlementaires, le choix a volontairement été fait de ne pas faciliter cette communication.

Dans ces conditions, même si la loi du 7 octobre 2016 et le décret du 14 mars 2017 sont des avancées sur le chemin de la transparence, des améliorations certaines devront être apportées à la communication des algorithmes à l’avenir. Et ce, d’autant, qu’eu égard à la place grandissante de l’informatique, l’utilisation d’algorithmes dans la prise de décisions administratives est vouée à s’étendre.

Bruno Roze

Avocat au Barreau de Paris

5, rue Cambon 75001 Paris

contact@bruno-roze-avocat.com

www.bruno-roze-avocat.com

Vous avez une question ?

Posez gratuitement toutes vos questions sur notre forum juridique. Nos bénévoles vous répondent directement en ligne.

Publier un commentaire
Votre commentaire :
Inscription express :

Le présent formulaire d’inscription vous permet de vous inscrire sur le site. La base légale de ce traitement est l’exécution d’une relation contractuelle (article 6.1.b du RGPD). Les destinataires des données sont le responsable de traitement, le service client et le service technique en charge de l’administration du service, le sous-traitant Scalingo gérant le serveur web, ainsi que toute personne légalement autorisée. Le formulaire d’inscription est hébergé sur un serveur hébergé par Scalingo, basé en France et offrant des clauses de protection conformes au RGPD. Les données collectées sont conservées jusqu’à ce que l’Internaute en sollicite la suppression, étant entendu que vous pouvez demander la suppression de vos données et retirer votre consentement à tout moment. Vous disposez également d’un droit d’accès, de rectification ou de limitation du traitement relatif à vos données à caractère personnel, ainsi que d’un droit à la portabilité de vos données. Vous pouvez exercer ces droits auprès du délégué à la protection des données de LÉGAVOX qui exerce au siège social de LÉGAVOX et est joignable à l’adresse mail suivante : donneespersonnelles@legavox.fr. Le responsable de traitement est la société LÉGAVOX, sis 9 rue Léopold Sédar Senghor, joignable à l’adresse mail : responsabledetraitement@legavox.fr. Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle.