En avril 2020, le Conseil constitutionnel avait consacré l’existence d’un droit constitutionnel à l’accès aux documents administratifs, d’une part, et dans une affaire concernant Parcoursup, il confirmait l’extension de ce droit aux algorithmes… tout en émettant des réserves qui nuançaient cette validation et déverrouillent un peu plus les transmissions d’algorithmes, mais « après coup ».
Source : Décision n° 2020-834 QPC du 3 avril 2020, UNEF
A noter aussi, ensuite, l’importante circulaire du Premier Ministre relative à la « politique publique de la donnée, des algorithmes et des codes sources » en date du 27 avril 2021, puis mise en ligne ce matin (n°6264/SG ; NOR : PRMX2113491C).
Puis vint le début de la déferlante sur l’IA, avec entre autres :
- une étude du Conseil d’Etat (voir ici)
- l’entrée en vigueur du règlement européen sur l’IA (voir ici la FAQ de la CNIL à ce sujet).
Voir nos nombreux articles à ce sujet, en Justice, commande publique, élections, RH… où l’IA fait une entrée en matière assez fracassante.
La régulation en ce domaine vient de franchir un grand pas avec une décision de la CJUE qui impose (dans une affaire de crédit avec analyse par IA) que le responsable du traitement doit décrire la procédure et les principes concrètement appliqués de telle manière que la personne concernée puisse comprendre lesquelles de ses données à caractère personnel ont été utilisées avec intervention de l’intelligence artificielle ou autre algorithme (qu’il ne suffit pas de transmettre car cela n’est pas en soi assez clair selon le juge).
La Cour va assez loin en ce sens.
Afin de satisfaire aux exigences de transparence et d’intelligibilité, elle estime qu’il pourrait notamment être adéquat d’informer la personne concernée de la mesure dans laquelle une variation au niveau des données à caractère personnel prises en compte aurait conduit à un résultat différent. En revanche, la simple communication d’un algorithme ne constituerait pas une explication suffisamment concise et compréhensible, selon elle.
Pour le cas où le responsable du traitement considère que les informations à fournir comportent des données de tiers protégées ou des secrets d’affaires, celui-ci doit, selon la Cour, communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes. Il incombe à celles-ci de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès auxdites informations de la personne concernée.
La Cour précise à cet égard que le RGPD s’oppose à l’application d’une disposition nationale qui exclut, en principe, le droit d’accès en question, lorsqu’il compromettrait un secret d’affaires du responsable du traitement ou d’un tiers.
Source :
En savoir plus sur
Subscribe to get the latest posts sent to your email.
Vous devez être connecté pour poster un commentaire.