Algorithmes de scoring et action administrative : acte préparatoire ou décision individuelle automatisée ?
Alors que l'IA ne cesse de se développer dans la sphère publique, les contestations émergent quant aux garanties accompagnant la mise en œuvre du traitement automatisé de données personnelles par l'administration française.
- En droit français, une décision administrative individuelle est un acte unilatéral par lequel l'administration exprime une volonté impérative ayant vocation, sauf exceptions, à produire des effets juridiques.
Toutes les démarches accomplies par l'administration en amont de l'édiction de la décision administrative individuelle, y compris tous procédés reposant sur un traitement automatisé de données, sont en principe qualifiées d'actes préparatoires. Dans la mesure où ils ne font que participer à l'élaboration de ladite décision, les actes préparatoires sont considérés comme dépourvus d'effets juridiques.
En vertu du Règlement général sur la protection des données (RGPD), une décision individuelle automatisée est une décision fondée exclusivement sur un traitement automatisé qui produit des effets juridiques concernant la personne en cause ou qui affecte celle-ci de manière significative de façon similaire (article 22).
- La Cour de justice de l'Union européenne (CJUE) a ainsi jugé que "l'établissement automatisé d'une valeur de probabilité fondée sur des données à caractère personnel relatives à une personne et concernant la capacité de celle-ci à honorer des engagements de paiement à l'avenir" constitue une "décision individuelle automatisée" (arrêt Schufa Holding AG, affaire C-634/21, 7 décembre 2023, point 73).
Il s'agissait en l'espèce d'un algorithme développé par une société permettant d'attribuer, au moyen du traitement de données personnelles, une valeur de probabilité (un score), fournissant des informations à ses partenaires sur la solvabilité de candidats à l'obtention d'un prêt bancaire.
La CJUE a considéré que l'établissement automatisé de ladite valeur constituait, en lui-même, une décision individuelle automatisée, au sens du RGPD, dès lors que la décision de la tierce partie (la banque), à laquelle le score est communiqué, repose de manière déterminante sur ce score. En d'autres termes, un score insuffisant conduit mécaniquement au refus d'accorder le prêt sollicité.
- De tels algorithmes de scoring sont fréquemment utilisés par l'administration française. Ainsi, la Caisse nationale des allocations familiales (CNAF) en utilise un depuis 2010 pour attribuer à chaque allocataire un score de risque. Ce traitement automatisé de données personnelles permet d'identifier des dossiers à analyser pour y rechercher d'éventuels indus, erreurs ou cas de fraude.
L'établissement de cette notation par la CNAF est-il susceptible de constituer une décision individuelle automatisée au sens de la jurisprudence de la CJUE ou est-il un simple acte préparatoire dépourvu d'effets juridiques ? En d'autres termes, peut-on considérer que sa mise en œuvre affecte les allocataires en cause de manière significative en sélectionnant, au moyen d'un profilage automatisé, les dossiers qui feront l'objet de vérifications ?
Saisi en octobre 2024 par de nombreuses associations, le Conseil d'État devra nécessairement se prononcer sur cette question. En effet, si l'établissement de la notation par la CNAF devait être considéré comme une "décision individuelle automatisée", il serait alors soumis aux garanties prévues à l'article 22 du RGPD (notamment l'obligation de mettre en place des mesures appropriées pour la sauvegarde des droits et des libertés ainsi que des intérêts légitimes des personnes concernées), garanties dont les associations requérantes dénoncent précisément l’absence.
La décision à intervenir du Conseil d'Etat clarifiera les obligations de l'administration française en matière de traitement automatisée de données personnelles, et pourrait ainsi contraindre celle-ci, au-delà du cas de la CNAF, à réexaminer sa politique en matière d'algorithmes de scoring.