Le 18 novembre 2024, dans la décision n°472912, le Conseil d’État a imposé un retour à l’intervention humaine dans les processus décisionnels automatisés, soulignant ainsi l’importance du respect des principes fondamentaux du Règlement Général sur la Protection des Données (RGPD) et de la Loi Informatique et Libertés.
Ce jugement rappelle que, même dans le cadre de la numérisation des services publics, les droits des citoyens doivent être protégés par des mécanismes de contrôle humain.
🟠 1 – Le contexte des forfaits post-stationnement automatisés
Cette affaire concernait des forfaits post-stationnement émis sans validation humaine. En l’espèce, le requérant contestait l’envoi automatisé de ces forfaits, fondés uniquement sur des données collectées à partir de capteurs et de photographies de véhicules.
Si cette automatisation permet une gestion rapide et efficace du stationnement, elle a été jugée contraire à l’article 22 du RGPD, qui interdit toute décision produisant des effets juridiques sur une personne sans intervention humaine.
🟠 2 – L’obligation de contrôle humain
Dans sa décision, le Conseil d’État a rappelé que l’article 22 du RGPD impose un contrôle humain préalable à toute décision ayant des conséquences juridiques significatives.
Ainsi, la haute juridiction a exigé que l’émission des forfaits post-stationnement soit précédée d’une vérification par des agents assermentés. Ces derniers doivent s’assurer de la conformité des données, comme la localisation des véhicules, avant l’envoi des amandes.
Cette exigence de contrôle humain vise à garantir que le traitement des données respecte pleinement les droits des individus et l’esprit du RGPD, qui exige que les décisions, notamment celles qui affectent la vie privée des citoyens, soient prises de manière transparente et vérifiable.
🟠 3 – Les implications pratiques pour les administrations
Cette décision met en lumière la nécessité de réévaluer les pratiques d’automatisation dans le secteur public.
Pour les administrations et les entreprises qui gèrent des services comme le stationnement, elle impose des ajustements d’organisations. En pratique, cela nécessitera l’intégration de processus de validation humaine, ainsi que la formation et l’assermentation d’agents pour superviser ces automatisations.
🟠 4 – Un cadre plus strict pour l’utilisation de l’IA et de l’automatisation
Le jugement du Conseil d’État s’inscrit dans un contexte plus large où l’intelligence artificielle et l’automatisation sont de plus en plus utilisées dans l’administration publique.
Toutefois, cet arrêt montre que l’automatisation ne doit pas devenir une excuse pour se soustraire aux obligations légales et éthiques, notamment celles imposées par le RGPD. En ce sens, la décision est un signal fort en faveur de la préservation des droits individuels face à la numérisation des processus administratifs.
🟠 Conclusion
La décision en date du 18 novembre 2024 du Conseil d’État marque un tournant dans la manière dont les administrations doivent traiter les données personnelles dans un cadre automatisé.
En imposant une intervention humaine dans les processus décisionnels, le Conseil d’État réaffirme l’importance de respecter les droits des citoyens, même à l’ère de l’automatisation.
Pour en savoir plus / sources : |
Le 13 novembre 2024, la Défenseure des droits a publié un rapport alarmant sur l’utilisation croissante d’algorithmes au sein des services publics français. Ce document attire l’attention sur les dérives potentielles que pourrait engendrer l’automatisation des décisions administratives. Dans un contexte où les administrations se numérisent à grande vitesse, la question de la protection des droits fondamentaux face aux technologies d’intelligence artificielle devient importante.
Orange, a récemment été victime d’une cyberattaque ciblant sa filiale roumaine. Cette intrusion, confirmé par Orange le 24 février 2025, met en lumière la vulnérabilité persistante des systèmes d’information, même parmi les groupes les plus structurés, et rappelle l’importance d’un encadrement juridique renforcé en matière de cybersécurité.
La protection des données personnelles est au cœur des préoccupations des régulateurs et des citoyens. Récemment, la SNCF s’est retrouvée sous le feu des projecteurs en raison de sa pratique de collecte systématique de la civilité (Madame, Monsieur, âges etc.) de ses clients via son service en ligne SNCF Connect. Une affaire qui a conduit la Cour de justice de l’Union européenne (CJUE) à trancher sur la conformité de cette pratique au regard du RGPD.
Le contrôle des salariés par leur employeur est un sujet sensible encadré par des règles strictes en matière de protection des données personnelles. Si un employeur peut mettre en place des dispositifs de surveillance, il doit impérativement respecter les principes du Règlement général sur la protection des données (RGPD), notamment en matière de proportionnalité, d’information et de sécurité des données. Une récente décision de la CNIL illustre les limites à ne pas franchir.