PARCOURSUP vs. RGPD : Copie à revoir !
Posted on: septembre 24, 2018, by : François-René LebatardLa première session de PARCOURSUP s’est achevée vendredi 21 septembre.
L’usage des algorithmes de décision se généralise dans l’administration. PARCOURSUP utilisé par l’Éducation Nationale pour les affectations des admissions post bac en est une récente illustration. Sa mise en œuvre n’a pas manqué de soulever un certain nombre de difficultés, dont celle de la transparence du processus de décision.
Beaucoup de questions : Comment sont prises ces décisions ? Quelles garanties ? Comment les contester ?
La CNIL s’est prononcée sur la conformité des traitements de données de PARCOURSUP à l’ancienne version de la loi informatique et libertés lors d’un avis rendu par la CNIL le 22 mars 2018 par ma CNIL : Bon pour le service !
Rien à redire ? Vraiment ? Et avec le RGPD ? Pas si sûr.
L’article 22 du RGPD dispose :
« La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. »
Cette interdiction de principe connait quelque exception notamment :
- En cas de nécessitées contractuelles,
- Autorisation par la loi d’un état membre
- Consentement exprès de la personne
Toujours sous réserve de mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée.
Quels sont les garanties offertes par PARCOURSUP ?
Le système PARCOURSUP repose sur deux niveaux de décisions automatisés : Au niveau des établissements qui classe les candidats, puis au niveau national qui répartit les candidats en fonction des classements locaux. Le code de PARCOURSUP a été révélé par le gouvernement mais les algorithmes locaux restent opaques, protégés par le secret des délibérations.
Les sénateurs avaient bien tenté de lever cette confidentialité.
En vain.
Le secret des délibérations, y compris lorsqu’elle résulte d’un traitement automatisé demeure.
Dans sa décision du 12 juin 2018 le Conseil constitutionnel se fondant notamment sur le RGPD, entérine cette exception, mais ouvre la possibilité de contestations :
« Lorsque les principes de fonctionnement d’un algorithme ne peuvent être communiqués sans porter atteinte à l’un des secrets ou intérêts énoncés au 2° de l’article L. 311-5 du code des relations entre le public et l’administration, aucune décision individuelle ne peut être prise sur le fondement exclusif de cet algorithme ».
- Pour revendiquer le secret des délibérations, l’intervention humaine doit donc rester prépondérante et démontrable.
En cas de recours administratif : « L’administration sollicitée à l’occasion de ces recours est alors tenue de se prononcer sans pouvoir se fonder exclusivement sur l’algorithme. »
- Exit l’algorithme, retour à l’humain !
En cas de recours contentieux, le juge doit pouvoir contrôler les caractéristiques de l’algorithme et le processus de décision humain ayant abouti à la décision.
- Du juge viendra la clarté !
Enfin : « Le responsable du traitement doit s’assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard.
- Explique-moi une décision prise par un algorithme ! Pas si simple en pratique.
La complexité du processus PARCOURSUP semble échapper déjà à tout réel contrôle humain.
C’est un motif de nullité des décisions. Mais seuls les candidats exerçant effectivement un recours pourront bénéficier des garanties offertes par le RGPD.
Ces principes sont transposables aux autres décisions administratives automatisées.
Attention à vos délais de recours !