Le 18 novembre 2024, dans la décision n°472912, le Conseil d’État a imposé un retour à l’intervention humaine dans les processus décisionnels automatisés, soulignant ainsi l’importance du respect des principes fondamentaux du Règlement Général sur la Protection des Données (RGPD) et de la Loi Informatique et Libertés.
Ce jugement rappelle que, même dans le cadre de la numérisation des services publics, les droits des citoyens doivent être protégés par des mécanismes de contrôle humain.
🟠 1 – Le contexte des forfaits post-stationnement automatisés
Cette affaire concernait des forfaits post-stationnement émis sans validation humaine. En l’espèce, le requérant contestait l’envoi automatisé de ces forfaits, fondés uniquement sur des données collectées à partir de capteurs et de photographies de véhicules.
Si cette automatisation permet une gestion rapide et efficace du stationnement, elle a été jugée contraire à l’article 22 du RGPD, qui interdit toute décision produisant des effets juridiques sur une personne sans intervention humaine.
🟠 2 – L’obligation de contrôle humain
Dans sa décision, le Conseil d’État a rappelé que l’article 22 du RGPD impose un contrôle humain préalable à toute décision ayant des conséquences juridiques significatives.
Ainsi, la haute juridiction a exigé que l’émission des forfaits post-stationnement soit précédée d’une vérification par des agents assermentés. Ces derniers doivent s’assurer de la conformité des données, comme la localisation des véhicules, avant l’envoi des amandes.
Cette exigence de contrôle humain vise à garantir que le traitement des données respecte pleinement les droits des individus et l’esprit du RGPD, qui exige que les décisions, notamment celles qui affectent la vie privée des citoyens, soient prises de manière transparente et vérifiable.
🟠 3 – Les implications pratiques pour les administrations
Cette décision met en lumière la nécessité de réévaluer les pratiques d’automatisation dans le secteur public.
Pour les administrations et les entreprises qui gèrent des services comme le stationnement, elle impose des ajustements d’organisations. En pratique, cela nécessitera l’intégration de processus de validation humaine, ainsi que la formation et l’assermentation d’agents pour superviser ces automatisations.
🟠 4 – Un cadre plus strict pour l’utilisation de l’IA et de l’automatisation
Le jugement du Conseil d’État s’inscrit dans un contexte plus large où l’intelligence artificielle et l’automatisation sont de plus en plus utilisées dans l’administration publique.
Toutefois, cet arrêt montre que l’automatisation ne doit pas devenir une excuse pour se soustraire aux obligations légales et éthiques, notamment celles imposées par le RGPD. En ce sens, la décision est un signal fort en faveur de la préservation des droits individuels face à la numérisation des processus administratifs.
🟠 Conclusion
La décision en date du 18 novembre 2024 du Conseil d’État marque un tournant dans la manière dont les administrations doivent traiter les données personnelles dans un cadre automatisé.
En imposant une intervention humaine dans les processus décisionnels, le Conseil d’État réaffirme l’importance de respecter les droits des citoyens, même à l’ère de l’automatisation.
Pour en savoir plus / sources : |
Dans un monde où l’intelligence artificielle transforme en profondeur les pratiques professionnelles, la protection des données personnelles devient un enjeu central pour les avocats. Conscients de cette évolution, la CNIL et le Conseil national des barreaux (CNB) ont renouvelé, le 17 juillet 2025, leur partenariat pour une durée de trois ans, poursuivant ainsi une collaboration initiée à la suite de précédentes conventions de partenariat signées en 2010, 2012, et 2019.
Dans un monde où l’intelligence artificielle transforme en profondeur les pratiques professionnelles, la protection des données personnelles devient un enjeu central pour les avocats. Conscients de cette évolution, la CNIL et le Conseil national des barreaux (CNB) ont renouvelé, le 17 juillet 2025, leur partenariat pour une durée de trois ans, poursuivant ainsi une collaboration initiée à la suite de précédentes conventions de partenariat signées en 2010, 2012, et 2019.
Face à la recrudescence des fraudes par manipulation, les établissements bancaires cherchent à renforcer la sécurité des opérations sensibles réalisées via leurs applications mobiles. L’une des mesures envisagées consiste à détecter si un appel téléphonique est en cours au moment d’une transaction, afin d’identifier les situations à risque où un client pourrait agir sous l’influence d’un fraudeur.
La Cour de cassation a rendu un arrêt le 18 juin 2025, qualifiant les courriels émis ou reçus par un salarié via sa messagerie professionnelle de données à caractère personnel au sens de l’article 4 du RGPD. Cette décision confirme que les « courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle » sont des données à caractère personnel au sens de l’article 4 du RGPD et confère au salarié un droit d’accès étendu, sous réserve du respect des droits d’autrui.