L'article 5.1. d) dispose que les données
traitées doivent être « exactes et, si nécessaire,
tenues à jour ; toutes les mesures raisonnables doivent être
prises pour que les données à caractère personnel qui sont
inexactes, eu égard aux finalités pour lesquelles elles sont
traitées, soient effacées ou rectifiées sans tarder
».
4.3. Principe de transparence
Dès la collecte des données, il est
nécessaire d'informer les personnes concernées,
conformément au privacy by design387. Le contenu de
l'information varie suivant le fait que la collecte est effectuée
directement ou indirectement auprès de la personne concernée.
384 EDPB, «Guidelines 4/2019 on Article 25 Data
Protection by Design and by Default», 20 novembre 2019, p.19
385 CNIL, « Minimiser les données
collectées », 27 janvier 2020
386 CNIL, « Analyse d'impact relative à la
protection des données », février 2018, p. 39
387 G. D'acquisto, J. Domingo-ferrer, ENISA, «Privacy by
design in big data», décembre 2015, p.26
- 67 -
Le régime de lege lata
L'information doit être facile d'accès,
délivrée de manière claire et compréhensible,
concise, et distinguée des autres types d'information388. Par
ailleurs, le G29 précise389 que pour garantir les principes
de protection des données par design et par défaut, des
mécanismes de traçage de l'identification du responsable du
traitement devraient être mis en place tout au long du cycle de vie de la
donnée afin de garantir le principe de transparence.
En cas de faille de sécurité présentant
un risque pour les personnes, le responsable du traitement doit informer la
CNIL dans les 72 heures qui suivent la connaissance de cette faille, ainsi que
les personnes concernées si le risque est
élevé390.
Les traitements par des logiciels d'intelligence artificielle
doivent faire l'objet d'informations supplémentaires. Les articles
13.2.f) et 14.2.g) du RGPD disposent du droit d'être informé d'une
prise de décision automatisée et de l'obligation d'informer les
personnes du fait qu'ils interagissent avec un robot et non avec un humain.
L'article 22 du RGPD ajoute un droit d'obtenir des
informations sur la logique de fonctionnement algorithmique et des
conséquences potentielles du traitement. La CNIL recommande de
préférer le principe d'intelligibilité au principe de
transparence391. Le principe de transparence peut être trop
réducteur et se traduire par la publication du code source, peu
compréhensible par le grand public. A l'inverse, le principe
d'intelligibilité vise à expliquer la logique
générale de fonctionnement de l'algorithme. Dans une logique
similaire, la Commission européenne recommande de préciser les
capacités et les limites des systèmes d'intelligence artificielle
au regard de la finalité pour laquelle ils
s'exécutent392.
Toutefois, le devoir d'information n'inclut pas toujours
l'obligation d'explicabilité des algorithmes. Le RGPD impose le droit
à l'explicabilité seulement pour des décisions
fondées exclusivement sur un traitement automatisé et ayant des
effets sur la personne concernée. Néanmoins, comme l'a
rappelé le Conseil d'État dans sa décision
Parcoursup393, certains régimes spéciaux posent un
cadre plus contraignant telle que la Loi sur la République
Numérique. La prise de décision automatisée entrainant des
décisions à l'égard des personnes concernées en
matière de traitement effectué par l'administration publique fait
l'objet d'un décret394. En l'espèce, lors d'un
traitement régissant les relations entre les administrations et le
public, le droit d'information existe dès lors qu'une décision
est prise, même de manière
388 CNIL, « Informer les personnes », 27
janvier 2020
389 G29, «Guidelines on transparency under Regulation
2016/679», 29 novembre 2017, p.29
390 Art. 33 RGPD
391 CNIL, les enjeux éthiques des algorithmes et de
l'intelligence artificielle, op. cit., p.51
392 Commission Européenne, livre blanc sur
l'intelligence artificielle, op. cit., p. 20
393 Conseil d'Etat, décision n° 427916, 12 juin
2019
394 Décret n° 2017-330, relatif aux droits des
personnes faisant l'objet de décisions individuelles prises sur le
fondement d'un traitement algorithmique, 14 mars 2017
- 68 -
Le régime de lege lata
partielle, par un algorithme395. Dans ce cas de
figure, les administrations françaises ne pourront donc pas effectuer un
traitement par un logiciel d'apprentissage non supervisé, le devoir
d'information ne pouvant être respecté396. Plus
largement, la Convention 108+ du Conseil de l'Europe institue un droit «
d'obtenir, à sa demande, connaissance du raisonnement qui sous-tend
le traitement de données, lorsque les résultats de ce traitement
lui sont appliqués397 ». Ce droit englobe donc
l'ensemble des traitements comme le remarquent W. Maxwell, C.
Zolynski398. La France a signé le Protocole d'amendement
à la Convention pour la protection des personnes à l'égard
du traitement automatisé des données à caractère
personnel399. Or, le nombre de ratifications n'ayant pas
été atteint pour le moment, cette version n'est pas susceptible
d'entrer en vigueur rapidement.
L'article 22 et le considérant (71) du RGPD disposent
également d'un droit d'opposition à un traitement
entièrement automatisé et du droit d'obtenir une intervention
humaine.
