Le 18 novembre 2024, dans la décision n°472912, le Conseil d’État a imposé un retour à l’intervention humaine dans les processus décisionnels automatisés, soulignant ainsi l’importance du respect des principes fondamentaux du Règlement Général sur la Protection des Données (RGPD) et de la Loi Informatique et Libertés.
Ce jugement rappelle que, même dans le cadre de la numérisation des services publics, les droits des citoyens doivent être protégés par des mécanismes de contrôle humain.
🟠 1 – Le contexte des forfaits post-stationnement automatisés
Cette affaire concernait des forfaits post-stationnement émis sans validation humaine. En l’espèce, le requérant contestait l’envoi automatisé de ces forfaits, fondés uniquement sur des données collectées à partir de capteurs et de photographies de véhicules.
Si cette automatisation permet une gestion rapide et efficace du stationnement, elle a été jugée contraire à l’article 22 du RGPD, qui interdit toute décision produisant des effets juridiques sur une personne sans intervention humaine.
🟠 2 – L’obligation de contrôle humain
Dans sa décision, le Conseil d’État a rappelé que l’article 22 du RGPD impose un contrôle humain préalable à toute décision ayant des conséquences juridiques significatives.
Ainsi, la haute juridiction a exigé que l’émission des forfaits post-stationnement soit précédée d’une vérification par des agents assermentés. Ces derniers doivent s’assurer de la conformité des données, comme la localisation des véhicules, avant l’envoi des amandes.
Cette exigence de contrôle humain vise à garantir que le traitement des données respecte pleinement les droits des individus et l’esprit du RGPD, qui exige que les décisions, notamment celles qui affectent la vie privée des citoyens, soient prises de manière transparente et vérifiable.
🟠 3 – Les implications pratiques pour les administrations
Cette décision met en lumière la nécessité de réévaluer les pratiques d’automatisation dans le secteur public.
Pour les administrations et les entreprises qui gèrent des services comme le stationnement, elle impose des ajustements d’organisations. En pratique, cela nécessitera l’intégration de processus de validation humaine, ainsi que la formation et l’assermentation d’agents pour superviser ces automatisations.
🟠 4 – Un cadre plus strict pour l’utilisation de l’IA et de l’automatisation
Le jugement du Conseil d’État s’inscrit dans un contexte plus large où l’intelligence artificielle et l’automatisation sont de plus en plus utilisées dans l’administration publique.
Toutefois, cet arrêt montre que l’automatisation ne doit pas devenir une excuse pour se soustraire aux obligations légales et éthiques, notamment celles imposées par le RGPD. En ce sens, la décision est un signal fort en faveur de la préservation des droits individuels face à la numérisation des processus administratifs.
🟠 Conclusion
La décision en date du 18 novembre 2024 du Conseil d’État marque un tournant dans la manière dont les administrations doivent traiter les données personnelles dans un cadre automatisé.
En imposant une intervention humaine dans les processus décisionnels, le Conseil d’État réaffirme l’importance de respecter les droits des citoyens, même à l’ère de l’automatisation.
Pour en savoir plus / sources : |
Depuis le 1er mars 2024, le cadre réglementaire des promotions sur les produits de grande consommation a été profondément modifié. Jusque-là limité aux produits alimentaires, l’encadrement des promotions s’étend désormais à l’ensemble des produits de grande consommation, impactant ainsi les stratégies commerciales des entreprises, notamment dans le secteur du e-commerce. Cette réforme, issue de la loi Descrozaille / Egalim 3 du 30 mars 2023, vient compléter et modifier les dispositions de la loi Asap du 7 décembre 2020. Dans ce contexte, la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF) veille à l’application stricte de ces nouvelles obligations, afin de garantir une concurrence loyale et une meilleure information des consommateurs.
Le week-end du 23 et 24 novembre 2024, un cybercriminel a affirmé avoir piraté la Banque de France et être en possession de données sensibles concernant ses clients et ses salariés. En réponse à ces déclarations, l'institution a précisé qu'aucune "attaque sur le système d'information sécurisé" n'avait été constatée, tout en reconnaissant une intrusion sur son extranet.
Le Comité Européen de la Protection des Données (CEPD) a adopté, le 3 décembre 2024, de nouvelles lignes directrices visant à encadrer les transferts de données personnelles en dehors de l’Union Européenne (UE). Ces orientations, qui s'inscrivent dans le prolongement du RGPD, rappellent les exigences strictes auxquelles doivent se conformer les entreprises pour garantir une protection équivalente des données, même en dehors du territoire européen.
Le Comité Européen de la Protection des Données (CEPD) a publié son avis 28/2024 portant sur le traitement des données personnelles dans le cadre du développement et du déploiement de modèles d’intelligence artificielle (IA). Cet avis souligne l’importance de la conformité au Règlement Général sur la Protection des Données (RGPD) et s’articule autour de trois axes principaux : l’anonymat des modèles d’IA, l’utilisation de l’intérêt légitime comme base juridique, et les conséquences de l’entraînement illicite des modèles sur des données personnelles.