les obligations de transparence des algorithmes dans le secteur public
Partager l'article



*


Informations sur la gestion de vos données




Les obligations de transparence des algorithmes dans le secteur public

Article rédigé le 3 octobre 2022 par Me Adriane Louyer

 

L’intelligence artificielle est sur toutes les lèvres et dans toutes les publications, webinaires etc. Un projet de règlement européen sur les systèmes d’intelligence artificielle est en cours d’adoption au niveau européen ce qui a conduit plusieurs institutions telles que la CNIL ou encore le défenseur des droits à exprimer leurs positions. La dernière institution à se positionner est le Conseil d’État qui vient de rendre une étude sur l’intelligence artificielle et l’action publique.

 

Il convient de rappeler que l’IA repose sur des algorithmes. Sans attendre l’adoption du nouveau règlement européen sur l’intelligence artificielle, il ne faut pas oublier que les établissements publics sont d’ores et déjà soumises à des règles à l’égard des administrés lorsqu’ils ont recours à des solutions reposant sur des algorithmes dans l’exercice de leurs missions. Il s’agit d’une part du droit à la communication des codes sources des algorithmes et d’autre part de l’encadrement des décisions administratives individuelles prisent sur des algorithmes.

 

Le droit à la communication des codes sources des algorithmes

L’une des premières obligations de transparence opposable aux administrations qui ont recours à des algorithmes d’intelligence artificielle concerne le droit à la communication des codes sources, c’est-à-dire un ensemble d’instructions exécutables par un ordinateur, qui permettent de comprendre le fonctionnement d’un algorithme. En effet, le code des relations entre le public et l’administration prévoit explicitement que les codes sources sont des documents administratifs communicables (article L. 300-2 du CRPA).

La communication du code source d’un algorithme répond à une exigence de transparence de l’action publique et permet de s’assurer du respect des règles de droit par les administrations dans le cadre de leurs actions. Ainsi, toute personne peut demander à une administration la communication des codes sources produits ou reçus pour l’exercice de ses missions. A ce titre, la commission d’accès aux documents administratifs a été saisie à plusieurs reprises par des administrés de demandes de communication de codes sources. Dans le secteur de la santé,        a par exemple été demandée l’intégralité des codes sources produits par la plateforme des données de santé « Heath Data Hub » (avis CADA 20210031) ou encore l’arbre d’aide à la décision commun du service d’aide médicale urgente et de la brigade des sapeurs-pompiers de Paris (avis CADA 20172357).

Ces demandes de communication des codes sources doivent respecter les règles et les limitations prévues par le code à ce droit d’accès. Plus précisément, font obstacle à cette communication l’obligation pour l’administration de respecter les droits de propriété littéraires et artistiques (article L. 311-4 du CRPA), l’atteinte à la sécurité publique, la sécurité des personnes, la sécurité des systèmes d’information des administrations (article L. 311-5 du CRPA) ou encore le secret des affaires (article L. 311-6 du CRPA). Ainsi, dans le cas des deux exemples précédemment mentionnés, la CADA a pu rendre deux avis défavorables à la communication de ces documents en estimant que dans le premier cas, la communication du code source du Heath data Hub était susceptible de porter atteinte à la sécurité des systèmes d’information et dans le second cas que la communication de l’arbre à la décision du SAMU et des sapeurs pompier de Paris était susceptible de porter atteinte à la sécurité publique.

Les règles encadrant la communication des codes sources et des algorithmes pour les administrations obligent donc ces dernières à être en mesure de connaître les droits de propriété intellectuelle et les informations protégées, notamment par la sécurité des systèmes d’information, lorsqu’elles ont recours à des algorithmes. Afin d’anticiper au mieux le droit des administrés lié à la communication des codes sources, l’administration pourrait prévoir dans ses documents contractuels avec ses prestataires lui proposant des solutions d’intelligence artificielle reposant sur des algorithmes des clauses organisant la gestion des demandes de droit d’accès aux codes sources.

En plus de ce droit d’accès au code source de l’algorithme, les décisions administratives individuelles prises sur le fondement d’un traitement algorithmique sont soumises à des obligations de transparence qui seront précisées ci-après.

 

Les exigences de transparence des décisions administratives individuelles fondées sur un algorithmique

La Loi pour une République Numérique (loi n°2016-1321 du 7 octobre 2016) a introduit dans le code des relations entre le public et l’administration des exigences de transparence à la charge des administrations qui ont recours à des traitements algorithmiques pour fonder leurs décisions. Plus précisément, l’administration ne peut prendre des décisions administratives individuelles sur le fondement exclusif d’un algorithme que sous certaines conditions. Dans le cadre de la prise de ces décisions, les administrés bénéficieront d’une information renforcée et pourront exercer un recours contre celle-ci.

 

    • Le périmètre des décisions administratives individuelles fondées sur un algorithme

Ainsi, à la différence du RGPD qui ne concerne que les personnes physiques, les dispositions du code des relations entre le public et l’administration ne sont pas limitées aux seules décisions qui concernent des personnes physiques mais peuvent également concerner les décisions prises à l’égard des personnes morales.

Ensuite, ces règles prévues par le CRPA ne sont applicables qu’aux décisions qui sont entendues comme des décisions administratives individuelles. A ce titre, il convient de rappeler dans le cadre d’un établissement public de santé que la prescription, le diagnostic ou le soin réalisé par un médecin à l’aide d’un traitement algorithmique ne constitue pas une décision administrative individuelle. La décision médicale du médecin qui serait fondée sur un traitement algorithmique ne sera donc pas concernée par les obligations qui seront développées ci-après. A cet égard, il convient de préciser que la loi du 2 août 2021 relative à la bioéthique a introduit dans le code de la santé publique des obligations d’information à la charge du professionnel de santé et des concepteurs de l’algorithme qui ont recours à un « dispositif médical comportant un traitement de données algorithmique dont l’apprentissage a été réalisé à partir de données massives ».

D’autre part, l’article 47 de la Loi Informatique et Liberté impose également aux administrations que la décision administrative individuelle prise selon les dispositions de l’article L. 311-3-1 du CRPA ne porte pas sur des données considérées comme sensibles au sens de la Loi Informatique et Libertés (article 6.I de la Loi Informatique et Libertés). Dès lors, il ressort de cette condition qu’une administration ne pourra pas prendre de décision administrative automatisée produisant des effets juridiques à l’égard d’une personne et qui comporterait un traitement de données de santé. Pour les établissements du secteur de la santé, cette condition limitera les cas d’usage de la prise de décision individuelle automatisée produisant des effets juridiques. Pour autant, cela ne signifie pas que les établissements publics du secteur de la santé ne pourront pas prendre des décisions administratives individuelles automatisées puisque toutes les décisions administratives individuelles prises par un établissement public de ce secteur ne nécessitent pas le traitement de données sensibles.

 

    • Les modalités d’information des personnes concernées

Lorsque l’administration est en mesure de fonder sa décision administrative individuelle sur un traitement algorithmique, elle ne pourra le faire qu’à condition de respecter plusieurs obligations d’information.

Tout d’abord l’administration devra mentionner explicitement la prise de décision sur le fondement d’un traitement algorithmique (article L. 311-3-1 du CRPA). Plus précisément, le courrier dans lequel l’administration communiquera à l’administré la décision administrative individuelle fondée sur un traitement algorithmique devra comporter une mention d’information comprenant la finalité poursuivie par le traitement algorithmique, le droit d’obtenir la communication des règles définissant ce traitement et les principales caractéristiques de sa mise en œuvre ainsi que les modalités d’exercice de ce droit à communication et de saisine le cas échéant de la CADA. En outre, ce courrier comprenant cette mention d’information explicite pourra également comprendre les mentions d’information imposées par la réglementation en matière de protection des données personnelles.

Ensuite, l’administration doit être en mesure de communiquer à la demande de l’intéressé les principales caractéristiques de mise en œuvre du traitement algorithmique. Ces éléments ne seront pas à fournir dans un premier temps mais uniquement si la personne concernée en fait la demande. Dans cette hypothèse, l’administration devra être en mesure de fournir à la demande de l’intéressé sous forme intelligible les éléments suivants :

    • le degré et le mode de contribution du traitement algorithmique à la prise de décision ;
    • les données traitées et leurs source, les paramètres de traitement et, le cas échéant, leur pondération, appliqués à la situation de l’intéressé ;
    • les opérations effectuées par le traitement.

 

Ainsi, dans l’hypothèse où l’administration fera appel à un prestataire pour l’utilisation de solution d’intelligence qui reposent sur des algorithmiques, des exigences d’explicabilité et une obligation d’information devront être prévues dès la phase de passation des contrats pour permettre à l’administration d’être en mesure d’apporter ces informations complémentaires.

Enfin, il est prévu que les administrations de plus de 50 agents ou salariés exprimés en équivalents temps plein qui mettent en œuvre des traitements algorithmiques ont l’obligation de publier en ligne les règles définissant les principaux traitements algorithmiques utilisés dans l’accomplissement de leurs missions lorsqu’ils fondent des décisions individuelles (article L. 312-1-3 du CRPA). Concrètement, les établissements publics concernés par cette obligation devront prévoir sur leurs sites internet un nouvel espace dédié à l’information sur les traitements algorithmiques mis en œuvre au sein de leur organisme. Il est possible de citer par exemple Pôle emploi qui dispose d’une page dédiée sur son site internet mentionnant les principaux traitements algorithmiques utilisés.

 

    • L’existence d’un recours administratif contre la décision administrative

Lorsque l’administration fonde sa décision administrative individuelle sur un traitement algorithmique, la personne concernée doit être en mesure de pouvoir exercer un recours contre cette décision. A ce titre, l’article 47 de la Loi informatique et Libertés précise que lorsque l’administré exercera un tel recours, l’administration ne pourra pas se prononcer en se fondant une nouvelle fois exclusivement sur l’algorithme. Il s’agira dans cette hypothèse d’un recours administratif contre le résultat produit par l’algorithme et non contre la décision de principe de l’administration de recourir à un traitement algorithmique.

Dans le cadre de ce recours contre la décision administrative qui repose sur un traitement algorithmique, les requérants peuvent depuis le 1e juillet 2020 invoquer la nullité de la décision. En effet, la décision administrative prise sur le fondement d’un traitement algorithmique qui ne contient pas la mention d’information explicite prévue à l’article L. 311-3-1 du CRPA sera nulle. Cette sanction prévue à l’article 47 de la Loi informatique et libertés laisse toutefois peser un certain flou sur le risque réel au contentieux d’une annulation de la décision individuelle pour le non-respect de cette obligation comme le relevaient les élèves de l’ENA dans leur rapport rendu en 2019 sur l’éthique et la responsabilité des algorithmes publics. Des précisions sur les modalités d’application de cette sanction par le juge administratif seront attendues si une telle nullité est un jour invoquée dans le cadre d’un recours administratif.

Enfin, dans le cadre d’un recours contentieux, le Conseil Constitutionnel est venu apporter la précision que le juge administratif pourra exiger de l’administration la communication des caractéristiques de l’algorithme. Cela implique là encore pour l’administration d’être en mesure de détenir ces informations et de les fournir le cas échéant au juge administratif.

 

En conclusion, en plus des obligations imposées par la réglementation sur la protection des données personnelles, les établissements publics qui ont recours à des solutions d’intelligence artificielle reposant sur des algorithmes devront veiller lors des négociations contractuelles à prendre toutes les garanties leur permettant de respecter les obligations de transparence qui s’imposent à eux.

 

Avant de rejoindre le cabinet Houdart & Associés en 2021, Adriane Louyer a travaillé au sein de cabinets d’avocats et de plusieurs administrations publiques. Elle dispose de compétences en droit administratif et a développé une expertise juridique en droit des données dans le secteur public (droit des données personnelles, open data, droit d’accès aux documents administratifs).

Au sein du pôle santé numérique, elle conseille et assiste les établissements publics et privés du secteur sanitaire et médico-social en droit du numérique.