Le 18 novembre 2024, dans la décision n°472912, le Conseil d’État a imposé un retour à l’intervention humaine dans les processus décisionnels automatisés, soulignant ainsi l’importance du respect des principes fondamentaux du Règlement Général sur la Protection des Données (RGPD) et de la Loi Informatique et Libertés.
Ce jugement rappelle que, même dans le cadre de la numérisation des services publics, les droits des citoyens doivent être protégés par des mécanismes de contrôle humain.
🟠 1 – Le contexte des forfaits post-stationnement automatisés
Cette affaire concernait des forfaits post-stationnement émis sans validation humaine. En l’espèce, le requérant contestait l’envoi automatisé de ces forfaits, fondés uniquement sur des données collectées à partir de capteurs et de photographies de véhicules.
Si cette automatisation permet une gestion rapide et efficace du stationnement, elle a été jugée contraire à l’article 22 du RGPD, qui interdit toute décision produisant des effets juridiques sur une personne sans intervention humaine.
🟠 2 – L’obligation de contrôle humain
Dans sa décision, le Conseil d’État a rappelé que l’article 22 du RGPD impose un contrôle humain préalable à toute décision ayant des conséquences juridiques significatives.
Ainsi, la haute juridiction a exigé que l’émission des forfaits post-stationnement soit précédée d’une vérification par des agents assermentés. Ces derniers doivent s’assurer de la conformité des données, comme la localisation des véhicules, avant l’envoi des amandes.
Cette exigence de contrôle humain vise à garantir que le traitement des données respecte pleinement les droits des individus et l’esprit du RGPD, qui exige que les décisions, notamment celles qui affectent la vie privée des citoyens, soient prises de manière transparente et vérifiable.
🟠 3 – Les implications pratiques pour les administrations
Cette décision met en lumière la nécessité de réévaluer les pratiques d’automatisation dans le secteur public.
Pour les administrations et les entreprises qui gèrent des services comme le stationnement, elle impose des ajustements d’organisations. En pratique, cela nécessitera l’intégration de processus de validation humaine, ainsi que la formation et l’assermentation d’agents pour superviser ces automatisations.
🟠 4 – Un cadre plus strict pour l’utilisation de l’IA et de l’automatisation
Le jugement du Conseil d’État s’inscrit dans un contexte plus large où l’intelligence artificielle et l’automatisation sont de plus en plus utilisées dans l’administration publique.
Toutefois, cet arrêt montre que l’automatisation ne doit pas devenir une excuse pour se soustraire aux obligations légales et éthiques, notamment celles imposées par le RGPD. En ce sens, la décision est un signal fort en faveur de la préservation des droits individuels face à la numérisation des processus administratifs.
🟠 Conclusion
La décision en date du 18 novembre 2024 du Conseil d’État marque un tournant dans la manière dont les administrations doivent traiter les données personnelles dans un cadre automatisé.
En imposant une intervention humaine dans les processus décisionnels, le Conseil d’État réaffirme l’importance de respecter les droits des citoyens, même à l’ère de l’automatisation.
Pour en savoir plus / sources : |
Cour d’appel de Paris, 26 septembre 2025 (n° 24/17222)- La cour d’appel de Paris a récemment jugé que la désactivation d’un compte Instagram pour violation des conditions d’utilisation de la plateforme ne constituait pas, en l’espèce, une atteinte disproportionnée à la liberté d’expression de son titulaire.
La Cour de cassation, dans un arrêt du 13 janvier 2026, apporte une clarification importante sur le champ d’application des infractions pénales relatives aux données personnelles, prévues aux articles 226-21 et 226-22 du Code pénal. La décision rappelle que ces deux textes ne visent pas les mêmes types de traitements.
Alors que le règlement européen sur l’intelligence artificielle n’est pas encore pleinement entré en application, la Commission européenne a présenté une proposition de modification destinée à en faciliter la mise en œuvre. Inscrite dans un ensemble plus large de mesures dites « omnibus », cette initiative vise à répondre aux inquiétudes exprimées par les acteurs du numérique. Elle soulève toutefois une question centrale : s’agit-il d’une simplification technique ou d’une inflexion plus profonde des ambitions initiales du texte ?
Le Conseil d’État a rejeté le recours formé par Yahoo EMEA contre la sanction prononcée par la CNIL le 29 décembre 2023 : l’amende de 10 millions d’euros est définitivement confirmée. Une décision structurante, tant sur la compétence de la CNIL que sur les exigences de consentement libre et effectif en matière de cookies.