Français
English
Deutsch
Italiano
Русский
Español
L’interdiction de l’automatisation de la décision est un point fondamental du droit européen de la protection des données personnelles, notamment sous l’impulsion française. Dès 1975 on lit dans le rapport Tricot, qui a précédé la création de la Commission nationale de l’informatique et des libertés : « Quelle démission ce serait de s’en remettre entièrement à la machine pour apprécier des décisions humaines ! »
L’aide à la décision humaine, oui, l’automatisation de la décision quand elle a un effet significatif sur la personne humaine, non. Où en est-on cinquante ans plus tard ? La Cour de justice de l’Union européenne (CJUE), saisie d’une question préjudicielle par une juridiction allemande, a considéré le 7 décembre 2023 que le scoring constitue une décision individuelle automatisée interdite au sens du règlement général sur la protection des données (RGPD).
La société de droit allemand Schufa Holding avait, pour fournir à des banques le score de solvabilité de leurs clients pour l’octroi de crédits, recours à des méthodes de profilage. Il s’agissait, sur la base de calculs mathématiques et statistiques, d’établir ce score à partir des caractéristiques d’une personne, en l’assignant à un groupe d’individus ayant des caractéristiques comparables et qui se sont comportés d’une manière donnée.
L’administration en situation d’exception
L’objectif est de prédire le comportement de la personne, telle sa capacité à rembourser un crédit. La CJUE affirme que le résultat du calcul de la solvabilité est une décision prise par la société Schufa, sans qu’on doive se limiter à la décision finale de refus ou d’octroi du crédit prise par la banque (CJUE 7 décembre 2023, Schufa Holding, C-634/21).
Dès lors, le score de risque d’un allocataire d’aides sociales, en fonction duquel la Caisse nationale des allocations familiales (CNAF) déclenche les contrôles à domicile dans le cadre de sa politique de lutte contre la fraude, constitue aussi une décision individuelle automatisée. En effet, l’algorithme d’analyse de données (data mining) que la CNAF utilise depuis 2010 note les allocataires chaque mois afin de prioriser ses contrôles.
Le RGPD a, certes, prévu des exceptions au « droit de ne pas faire l’objet d’une décision automatisée » – consentement, contrat et autorisation par le droit – ainsi qu’une marge de manœuvre laissée aux Etats. La France a utilisé cette marge de manœuvre pour durcir le principe européen, devenu en droit français l’interdiction des décisions individuelles automatisées… sauf pour l’administration.
Il vous reste 60.86% de cet article à lire. La suite est réservée aux abonnés.
