L'algorithme est un mode opératoire de raisonnement (un "ensemble de règles opératoires dont l'application permet de résoudre un problème énoncé au moyen d'un nombre fini d'opérations", dit le Larousse), tout à familier de l'esprit humain, mais aussi des ordinateurs auxquels l'administration confie des tâches qui deviennent de plus en plus subtiles à mesure du développement conjoint des systèmes numériques de traitement de données personnelles et de l'intelligence artificielle (qui permet désormais l'usage des algorithmes prédictifs ou auto-apprenants).

Contrôle des déclarations fiscales faites en ligne, examen des demandes d'aides sociales, surveillance des comportements "à risque", veille sanitaire et santé publique, etc. : dans presque tous les domaines de son activité, l'administration peut faire utilement usage de ces nouveaux moyens technologiques. Mais, selon qu'ils seront bien employés ou détournés à des fins malveillantes, ces moyens seront utiles pour le service public, ou au contraire, dangereux pour les libertés publiques.

Au plus haut niveau de l'Etat, commence en conséquence à se manifester, l'idée que "la puissance de l’intelligence artificielle doit faire l’objet d’une régulation adaptée qui repose sur une logique de transparence et de responsabilité" (allocution du Vice-Président du Conseil d'Etat lors de la Conférence des présidents des juridictions administratives, 20 avril 2018 : http://www.conseil-etat.fr/Actualites/Discours-Interventions/Le-juge-administratif-et-l-intelligence-artificielle).

La transparence - le droit à la connaissance et à la compréhension de l'algorithme - a été instaurée en droit public par la loi du 7 octobre 2016 pour une République numérique, créant un article L. 311-3-1 dans le Code des relations entre le public et l'administration, qui prévoit qu' "une décision individuelle prise sur le fondement d'un traitement algorithmique comporte une mention explicite en informant l'intéressé. Les règles définissant ce traitement ainsi que les principales caractéristiques de sa mise en œuvre sont communiquées par l'administration à l'intéressé s'il en fait la demande" (v. également les articles R. 311-3-1-1 et R. 311-3-1-2 : https://www.legifrance.gouv.fr/affichCode.do;jsessionid=FC1195684052D5B05BD47AD7DCF70606.tplgfr22s_2?idSectionTA=LEGISCTA000031367696&cidTexte=LEGITEXT000031366350&dateTexte=29990101).

La responsabilité - l'obligation faite à une personne juridique, physique ou morale, de maîtriser le traitement de données et ses évolutions - s'apprête elle-aussi à trouver une traduction juridique, au sein de l'article 21 du projet de "Loi relative à la protection des données personnelles" (la loi de transposition du RGPD en droit français), qui modifie l'article 10 de la loi du 6 janvier 1978 afin d'étendre les cas dans lesquels une décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel.

Le projet de loi prévoit qu'il en va ainsi des décisions administratives individuelles dès lors que trois conditions sont réunies :

- l'algorithme de traitement utilisé ne porte pas sur des données sensibles (politiques, syndicales, religieuses, sexuelles, de santé, etc.),

- des recours administratifs sont possibles,

- et une information est délivrée sur l'usage de l'algorithme.

Le Conseil constitutionnel a examiné, sous le numéro 2018-765 DC, la conformité de ce texte à la Constitution, saisi par des parlementaires ayant objecté que, dans la mesure où, en autorisant l'administration à prendre des décisions individuelles sur le seul fondement d'un algorithme, celle-ci serait conduite à renoncer à l'exercice de son pouvoir d'appréciation des situations individuelles, en méconnaissance de la garantie des droits et des responsabilités du pouvoir réglementaire instituées par l'article 21 de la Constitution.

Le Conseil constitutionnel a rejeté ce recours, mais avec d'importantes précisions d'interprétation qui confortent l'idée que le droit français accueille désormais les deux obligations précitées, de responsabilité et de transparence, comme de véritables principes fondamentaux (qui, l'auteur de ces lignes le pronostique, obtiendront sous peu la valeur de principes généraux du droit, peut être même plus).

Deux étapes sont à retenir dans le raisonnement des Sages :

 

1. - En premier lieu, le Conseil constitutionnel estime que ces dispositions se bornent à autoriser l'administration à procéder à l'appréciation individuelle de la situation de l'administré, par le seul truchement d'un algorithme, en fonction des règles et critères définis à l'avance par le responsable du traitement.

Pour les Sages, la loi n'a dès lors ni pour objet ni pour effet d'autoriser l'administration à adopter des décisions sans base légale, ni à appliquer d'autres règles que celles du droit en vigueur. Il n'en résulte dès lors aucun abandon de compétence du pouvoir réglementaire.

 

2. - En second lieu, le Conseil constitutionnel estime que les trois conditions auxquelles est subordonné le droit pour l'administration de décider par algorithme sont suffisantes pour respecter les principes constitutionnels :

 

2.1. - D'une part, le respect des dispositions précitées de l'article L. 311-3-1 du code des relations entre le public et l'administration, selon lesquelles la décision administrative individuelle doit mentionner explicitement qu'elle a été adoptée sur le fondement d'un algorithme et les principales caractéristiques de mise en œuvre de ce dernier doivent être communiquées à la personne intéressée, à sa demande.

Le Conseil constitutionnel observe de ce point de vue, qu'il en résulte que, lorsque les principes de fonctionnement d'un algorithme ne peuvent être communiqués sans porter atteinte à l'un des secrets ou intérêts protégés par la loi (secret médical, secret bancaire, secret défense, etc.), aucune décision individuelle ne peut être prise sur le fondement exclusif de cet algorithme.

 

2.2. - D'autre part, les Sages rappellent que la décision administrative individuelle doit pouvoir faire l'objet de recours administratifs, sur lesquels l'administration est alors tenue de se prononcer sans pouvoir se fonder exclusivement sur l'algorithme.

Les Sages rappellent en outre que la décision administrative est, en cas de recours contentieux, placée sous le contrôle du juge, qui est susceptible d'exiger de l'administration la communication des caractéristiques de l'algorithme.

Enfin, le recours exclusif à un algorithme est exclu si ce traitement porte sur l'une des données sensibles mentionnées au paragraphe I de l'article 8 de la loi du 6 janvier 1978, c'est-à-dire des données à caractère personnel « qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique », des données génétiques, des données biométriques, des données de santé ou des données relatives à la vie sexuelle ou l'orientation sexuelle d'une personne physique.

 

2.3. - En dernier lieu, le Conseil constitutionnel observe que la loi oblige le responsable du traitement à s'assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard.

Pour le Conseil constitutionnel, il en résulte que ne peuvent être utilisés, comme fondement exclusif d'une décision administrative individuelle, des algorithmes susceptibles de réviser eux-mêmes les règles qu'ils appliquent, sans le contrôle et la validation du responsable du traitement.

En définitive, cette analyse opérée par le Conseil constitutionnel, si elle ne contient formellement aucune réserve d'interprétation, comprend néanmoins des précisions essentielles dont devront se saisir les juristes, au sein de l'administration, des tribunaux, et des cabinets d'avocat, pour veiller à la protection des données personnelles et à l'usage maîtrisé de leur traitement.