La preuve de la discrimination à l’épreuve du RGPD : concilier justice et protection des données

Face à une discrimination, la preuve est souvent l’arme décisive pour faire valoir ses droits. Pourtant, dans de nombreux cas, cette preuve repose sur l’utilisation de données personnelles, comme des statistiques ou des éléments factuels liés à des individus.

Avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), ces pratiques se heurtent désormais à des règles strictes visant à protéger la vie privée. Dès lors, une question se pose : comment concilier la nécessité de prouver des discriminations avec les contraintes imposées par le RGPD ?

Ce défi illustre une tension profonde entre deux piliers du droit : la lutte contre les inégalités et la protection des libertés individuelles.

🟠  La charge de la preuve : un défi complexe  

En matière de discrimination, la charge de la preuve incombe souvent à la victime, ce qui constitue une barrière majeure. Il ne s’agit pas seulement de démontrer un traitement différencié, mais aussi d’établir que ce traitement repose sur un critère prohibé, comme l’origine, le sexe ou le handicap. Cette démonstration s’appuie fréquemment sur des éléments statistiques ou des documents contenant des données personnelles.

Or, le RGPD limite strictement la collecte, le traitement et la conservation de ces données. Toute utilisation doit être légale, nécessaire et proportionnée à l’objectif poursuivi. Cela place les victimes et leurs défenseurs face à un dilemme : comme recueillir des preuves solides sans enfreindre les dispositions du RGPD ? La frontière entre preuve légitime et atteinte aux droit à vie privée est souvent ténue.

🟠  RGPD et preuve : des jurisprudences éclairantes

Les juridictions françaises ont progressivement établi des lignes directrices pour l’utilisation des données personnelles comme preuves en matière de discrimination, tout en respectant les exigences du RGPD. Un arrêt clé, en la matière, est celui de la Cour de cassation du 3 octobre 2024 (pourvoi n°21-20.979). Dans cette décision, la Cour a jugé que la communication de documents contenant des données personnelles, tels que des bulletins de paie, pouvait être admise à condition qu’elle soit indispensable à l’exercice du droit à la preuve et proportionnée au but poursuivi.

Le juge a ainsi la responsabilité d’évaluer si la production des données est strictement nécessaire à l’établissement des faits allégués et de s’assurer que les pièces fournies sont limitées aux informations pertinentes. Toute donnée superflue ou non essentielle doit être occultée afin de préserver la vie privée des personnes concernées. Cette jurisprudence, tout en respectant les principes fondamentaux du RGPD, garantit que les victimes de discrimination ne soient pas empêchées de faire valoir leurs droits faute de preuves admissibles.

En pratique, cette approche impose une analyse fine : d’un côté, le droit à la preuve, indispensable pour démontrer une injustice ; de l’autre, les exigences strictes de proportionnalité et de nécessité imposées par le RGPD. Cet équilibre reflète une volonté des juridictions de concilier la protection des données personnelles avec l’accès à une justice équitable, un enjeu crucial pour les litiges portant sur des discriminations systémiques ou individuelles.

🟠   Illustration : le recours aux statistiques anonymisées

Les statistiques anonymisées constituent un outil essentiel pour démontrer des discriminations systémiques tout en respectant les exigences du RGPD. Un exemple marquant est un arrêt de la Cour de cassation du 14 décembre 2022, dans lequel des analyses patronymiques ont été utilisées pour prouver une discrimination à l’embauche. L’étude statistique révélait des écarts significatifs dans l’accès à des CDI en fonction de l’origine supposée des candidats, montrant que les salariés à patronyme européen avaient beaucoup plus de chances d’être recrutés que ceux à patronyme extra-européen.

La Cour a jugé ces preuves admissibles en raison de leur anonymisation et de leur pertinence dans le cadre du litige. Cette décision souligne qu’un traitement rigoureux et proportionné des données peut concilier la nécessité de prouver des discriminations avec la protection des droits à la vie privée imposée par le RGPD. Ainsi, les statistiques anonymisées permettent de révéler des pratiques injustes sans porter atteinte aux libertés fondamentales.

🟠   Concilier justice et protection des données

L’utilisation des données personnelles pour prouver une discrimination est un exercice d’équilibre entre deux impératifs : garantir l’accès à la justice et protéger les droits fondamentaux des individus. Les décisions récentes, comme celles de le Cour de cassation, montrent qu’il est possible de concilier ces objectifs à condition de respecter les principes de nécessité et de proportionnalité.

Cependant, cette voie exige rigueur et innovation. Les statistiques anonymisées et les outils technologiques adaptés permettent de révéler des pratiques discriminatoires tout en restant conformes au RGPD. Ces solutions contribuent à garantir une justice équitable, essentielle pour construire une société plus juste et inclusive.

Pour en savoir plus / sources :

Le Comité Européen de la Protection des Données (CEPD) a publié son avis 28/2024 portant sur le traitement des données personnelles dans le cadre du développement et du déploiement de modèles d’intelligence artificielle (IA). Cet avis souligne l’importance de la conformité au Règlement Général sur la Protection des Données (RGPD) et s’articule autour de trois axes principaux : l’anonymat des modèles d’IA, l’utilisation de l’intérêt légitime comme base juridique, et les conséquences de l’entraînement illicite des modèles sur des données personnelles.

L’intelligence artificielle (IA) s’intègre progressivement dans de nombreux domaines, et la justice française n’y fait pas exception. Cette évolution, porteuse d’opportunités, suscite également des interrogations majeures, notamment sur les plans éthique et juridique.

Le 18 novembre 2024, dans la décision n°472912, le Conseil d’État a imposé un retour à l’intervention humaine dans les processus décisionnels automatisés, soulignant ainsi l’importance du respect des principes fondamentaux du Règlement Général sur la Protection des Données (RGPD) et de la Loi Informatique et Libertés. Ce jugement rappelle que, même dans le cadre de la numérisation des services publics, les droits des citoyens doivent être protégés par des mécanismes de contrôle humain.

La cybersécurité des produits connectés est aujourd’hui une priorité impérative pour l’Union européenne. Adopté le 20 novembre 2024, le Cyber Resilience Act marque une étape décisive en imposant pour la première fois des exigences minimales de sécurité pour tous les produits connectés vendus dans l’UE. Ce règlement, qui complète des cadres législatifs comme la directive NIS 2 (Network and Information Security), la directive REC (Résilience des entités critiques) et le règlement DORA (Digital Operational Resilience Act), vise à créer un environnement numérique plus sécurisé et harmonisé.