swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Nécessité d’un algorithme transparent pour un consentement valable

Eva Cellina, le 31 août 2021
Le 25 mai 2021, la Cour de cassa­tion italienne a jugé que la logique derrière un algo­rithme devait être connue par la personne concer­née afin qu’elle puisse vala­ble­ment consen­tir au trai­te­ment de ses données personnelles.

Corte di Cassazione, sez. I Civ. – 25/​05/​2021, n. 14381

Cette affaire fait suite à une déci­sion de l’auto­rité italienne de protec­tion des données (GPDP ou Garante) inter­ve­nue avant l’entrée en force du RGPD, le 24 novembre 2016.

En bref, l’association Mevaluate Onlus avait alors comme projet de créer un site web visant à l’élaboration de profils répu­ta­tion­nels de personnes physiques et morales inscrites sur la plate­forme. Le proces­sus d’éva­lua­tion des personnes inté­res­sées devait commen­cer par le char­ge­ment  volon­taire sur la plate­forme, par les utili­sa­teurs, de docu­ments conte­nant des infor­ma­tions consi­dé­rées comme impor­tantes en termes de répu­ta­tion, notam­ment des docu­ments conte­nant des infor­ma­tions pénales et fiscales, mais aussi des infor­ma­tions rela­tives au travail, aux études et à la forma­tion des personnes concer­nées. Les éléments char­gés sur la plate­forme par les utili­sa­teurs devaient être d’abord évalués par des consul­tants spécia­li­sés en profils répu­ta­tion­nels afin de garan­tir leur authen­ti­cité et fiabi­lité. À la fin des opéra­tions de véri­fi­ca­tion, le système devait calcu­ler, au moyen d’un algo­rithme mathé­ma­tique sophis­ti­qué, une note globale à attri­buer aux parties inté­res­sées (dite « note de répu­ta­tion ») afin de déter­mi­ner leur degré de fiabi­lité. Le score devait ensuite être mis à dispo­si­tion des autres utili­sa­teurs de la plateforme.

Le Garante estime que le trai­te­ment de données effec­tué par l’association Mevaluate Onlus porte atteinte à la person­na­lité des personnes concer­nées. Le trai­te­ment de données person­nelles se fait sur une base volon­taire, dans la mesure où les personnes concer­nées décident de s’inscrire sur la plate­forme et chargent elles-mêmes les docu­ments permet­tant d’évaluer leur carac­tère répu­ta­tion­nel. Le trai­te­ment se base donc sur le consen­te­ment des personnes concer­nées (art. 7 let. a Directive 95/​46/​CE). Or, le Garante consi­dère que ce dernier ne peut être vala­ble­ment donné car il est fourni par crainte d’éventuelles consé­quences néga­tives pour les personnes concer­nées (manquer la conclu­sion d’un contrat ou la fin d’une rela­tion contrac­tuelle). De plus, le Garante relève le nombre élevé de personnes impli­quées, l’ab­sence de mesures de sécu­rité adéquates, le manque de néces­sité et de propor­tion­na­lité et le manque de fiabi­lité et d’exactitude du système.

Par consé­quent, le Garante a inter­dit à l’association Mevaluate Onlus de pour­suivre le trai­te­ment de données personnelles.

Cette déci­sion a fait l’objet d’un recours devant la Cour d’appel civile de Rome, qui, dans sa déci­sion du 4 avril 2018, a partiel­le­ment admis le recours en consi­dé­rant que le trai­te­ment des données person­nelles en cause était licite, dans la mesure où les personnes concer­nées avaient consenti à de tels traitements.

Le Garante a ensuite recouru contre cette déci­sion auprès de la Cour de cassa­tion italienne, qui a annulé la déci­sion de la Cour d’appel civile de Rome et ordonné une nouvelle décision.

Ordonnance de la Cour de cassation 

Dans son ordon­nance du 25 mai 2021, la Cour de cassa­tion italienne consi­dère que les méca­nismes de nota­tion et de certi­fi­ca­tion par des personnes privées sont large­ment connus et répan­dus. Le trai­te­ment des données person­nelles des membres de la plate­forme Mevaluate Onlus basé sur le consen­te­ment des personnes concer­nées est licite car il est l’ex­pres­sion de l’au­to­no­mie privée.

La Cour de cassa­tion confirme la possi­bi­lité de déve­lop­per des services de profils répu­ta­tion­nels basés sur le consen­te­ment des personnes concer­nées à la condi­tion que ce dernier soit vala­ble­ment donné et qu’il soit exprimé de manière libre et spéci­fique en réfé­rence à un trai­te­ment clai­re­ment identifié.

La Cour de cassa­tion ajoute ce qui suit :

« dans le cas d’une plate­forme web (avec archives infor­ma­tiques annexées) desti­née à trai­ter les profils répu­ta­tion­nels de personnes physiques et morales, centrée sur un système de calcul basé sur un algo­rithme visant à établir des scores de fiabi­lité, l’exi­gence de connais­sance de la logique derrière l’algorithme ne peut être consi­dé­rée comme satis­faite lorsque le schéma de mise en œuvre de l’al­go­rithme et les éléments qui le composent restent incon­nus ou ne peuvent être connus des personnes concer­nées » (traduc­tion libre).

L’ordon­nance de la Cour de cassa­tion admet ainsi, en prin­cipe, la licéité de telles plate­formes d’évaluation auto­ma­ti­sées de profils répu­ta­tion­nels, à condi­tion de respec­ter les condi­tions de vali­dité du consen­te­ment énon­cées ci-dessus, contrai­re­ment au GPDP qui s’y était opposé.

De son côté, l’association Mevaluate Onlus se consi­dère déjà en adéqua­tion avec les exigences de la Cour de cassa­tion, dans la mesure où elle estime avoir indi­qué de manière adéquate les critères de fonc­tion­ne­ment de l’algorithme. En effet, tant dans le règle­ment de l’association que dans le contrat entre chaque membre et le consul­tant spécia­lisé en profils répu­ta­tion­nels (chargé de véri­fier et certi­fier l’authenticité des docu­ments déter­mi­nants pour procé­der à l’évaluation) traitent de la ques­tion. Pour ce point, la Cour de cassa­tion a demandé un complé­ment d’instruction à la Cour d’appel civile de Rome qui devra se pronon­cer dans une nouvelle décision.

Il sera inté­res­sant de voir comment la Cour d’appel civile de Rome va déter­mi­ner le carac­tère trans­pa­rent de l’algorithme, notam­ment quant à la ques­tion de savoir si une notice d’information ou une clause contrac­tuelle est suffi­sante pour admettre qu’une personne lambda (sans connais­sances parti­cu­lières en la matière) a été infor­mée des éléments essen­tiels qui carac­té­risent l’algorithme et a été capable de les comprendre.

Le RGPD, qui n’est pas appli­cable à cette affaire, prévoit des règles spéci­fiques concer­nant les déci­sions auto­ma­ti­sées. L’art. 22 par. 1 RGPD précise qu’une déci­sion auto­ma­ti­sée est une déci­sion fondée exclu­si­ve­ment sur un trai­te­ment auto­ma­tisé de données, produi­sant des effets juri­diques ou affec­tant de manière signi­fi­ca­tive la personne concer­née. Une personne peut notam­ment faire l’objet d’une déci­sion entiè­re­ment auto­ma­ti­sée, lorsque la déci­sion est fondée sur le consen­te­ment expli­cite des personnes concer­nées. L’art. 13 par. 2 let. f RGPD prévoit qu’en cas de déci­sion auto­ma­ti­sée, le respon­sable du trai­te­ment informe la personne concer­née  de l’existence d’une telle déci­sion, ainsi que les infor­ma­tions utiles concer­nant la logique sous-jacente, ainsi que l’im­por­tance et les consé­quences prévues de ce trai­te­ment pour la personne concernée.

En droit suisse, les déci­sions indi­vi­duelles auto­ma­ti­sées sont celles basées sur un trai­te­ment de données person­nelles auto­ma­ti­sées qui a des effets juri­diques ou affectent de manière signi­fi­ca­tive les personnes concer­nées (art. 21 al. 1 nLPD). Le respon­sable du trai­te­ment a un devoir d’information envers les personnes concer­nées, à moins que la déci­sion ne soit en rela­tion directe avec la conclu­sion ou l’exécution d’un contrat (art. 21 al. 3 let. a nLPD) ou que la personne concer­née a expres­sé­ment consenti à la prise de déci­sion auto­ma­ti­sée (art. 21 al. 3 let. b nLPD) (voir aussi : Florent Thouvenin/​Alfred Früh/​Damian George, Datenschutz und auto­ma­ti­sierte Entscheidungen, in : Jusletter 26. November 2018).

L’art. 25 al. 2 let. f nLPD prévoit, sur demande de la personne concer­née, un droit d’accès de cette dernière à l’existence d’une déci­sion indi­vi­duelle auto­ma­ti­sée la concer­nant, ainsi qu’à la logique sur laquelle se base la déci­sion. Le Message précise néan­moins qu’il n’y a pas lieu de révéler les algo­rithmes utilisés, qui relèvent souvent du secret d’affaires, mais plutôt les hypothèses de base qui sous-tendent la logique algo­rith­mique sur laquelle repose la décision indi­vi­duelle automatisée (FF 2017 6684).

Il est inté­res­sant de consta­ter qu’au sens du RGPD, la personne concer­née a un droit d’information s’agissant de la logique sous-jacente à la déci­sion indi­vi­duelle auto­ma­ti­sée, même si elle a consenti à un tel trai­te­ment de ses données person­nelles (art. 13 par. 2 let. f RGPD). En revanche, au sens de la nLPD, lorsque la personne concer­née a consenti à un tel trai­te­ment de données, le respon­sable de trai­te­ment n’a pas l’obligation de l’informer acti­ve­ment, mais la personne concer­née peut faire valoir son droit d’accès afin d’ob­te­nir des infor­ma­tions, notam­ment concer­nant la logique sur laquelle se fonde la déci­sion (art. 21 al. 3 let. a nLPD et art. 25 al. 2 let. f nLPD).

Dans cette affaire, les infor­ma­tions à dispo­si­tion ne permettent pas de déter­mi­ner si la déci­sion peut être consi­dé­rée comme entiè­re­ment auto­ma­ti­sée de par l’intervention des consul­tants spécia­li­sés en profils répu­ta­tion­nels afin de véri­fier chaque docu­ment trans­mis par les personnes concer­nées. Le cas échéant, et à condi­tion que les personnes concer­nées aient consenti expli­ci­te­ment à une telle déci­sion indi­vi­duelle auto­ma­ti­sée, le trai­te­ment pour­rait être consi­déré comme conforme au RGPD et à la LPD. Les prin­cipes géné­raux restent tout de même appli­cables et pour­raient venir limi­ter un tel traitement.



Proposition de citation : Eva Cellina, Nécessité d’un algorithme transparent pour un consentement valable, 31 août 2021 in www.swissprivacy.law/88


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Utilisation des données biométriques des employés
  • Cookies Walls – La nouvelle arnaque aux données
  • Application de rencontre et communication illicite de données à des fins publicitaires
  • Facebook et la publicité ciblée sans consentement
Derniers articles
  • Contenu de l’information sur le licenciement d’un employé à l’interne
  • L’administration publique responsable dans l’utilisation de services en nuage
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Abonnement à notre newsletter
swissprivacy.law