Numéro Un
Retrouvez le numéro un de
Third : qui gouverne les
algorithmes ?
Retrouvez le numéro un de
Third : qui gouverne les
algorithmes ?
Parce qu’il suggère et, parfois, prend des décisions sur la base d’ensemble de données qui lui sont fournies, l’algorithme produit naturellement des effets juridiques qui méritent une attention particulière. C’est dans cette perspective que s’est inscrit le Conseil d’État en 2014 en proposant, dans son étude annuelle consacrée au numérique et aux droits fondamentaux 1, de définir un droit des algorithmes prédictifs.
Puissant outil d’organisation et d’automatisation, l’algorithme n’est pas un joyau de technologie réservé à quelques géants numériques aux moyens financiers illimités : son usage dépasse largement la distinction public-privé et ignore les distinctions de taille entre acteurs économiques. L’usage d’algorithmes est si normalisé que certains auteurs parlent déjà d’ « algocratie » (algocracy) pour souligner le pouvoir que cela représente 2. Aujourd’hui, le recours à des algorithmes est aussi banal que de disposer d’une application mobile pour fournir son service et, demain, il le sera autant que l’électricité.
Pour s’en convaincre, il suffit d’observer, d’une part, que l’État fait un usage de plus en plus important d’algorithmes pour l’administration. D’autre part, toutes les entreprises numériques reposant sur l’organisation, la recommandation ou le référencement de contenus mais également celles permettant l’intermédiation entre une offre et une demande sont fondées sur des algorithmes qui assurent l’adéquation entre ce qui est proposé à l’utilisateur et ses comportements passés ou présents.
Le Droit, au sens des « règles de conduite socialement édictées et sanctionnées, qui s’imposent aux membres de la société » 3, se saisit de ce phénomène dans toute sa diversité. En gestation depuis une trentaine d’années, le droit des algorithmes connaît aujourd’hui une poussée de croissance mais demeure loin d’avoir atteint l’âge de raison.
Un algorithme a besoin de données pour effectuer les opérations qui lui ont été apprises et pour produire un résultat. C’est donc naturellement dans le droit des données personnelles que se sont logées les premières règles relevant, selon nous, du « droit des algorithmes ».
Dès la première version de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (dite « Loi Informatique et Libertés »), il a été édicté une interdiction de prendre des décisions produisant des effets juridiques à l’égard d’une personne sur le seul fondement d’un traitement automatisé de données 4. À titre d’illustration, cette interdiction a servi de base à la CNIL pour mettre en demeure le ministère de l’Enseignement supérieure de cesser d’utiliser exclusivement l’algorithme « Admission Post Bac » pour l’orientation des bacheliers 5. De même, ce principe se retrouve dans le projet de loi de programmation 2018-2022 et de réforme pour la justice qui prévoit que les services en ligne de médiation, conciliation et arbitrage ne peuvent résulter exclusivement d’un traitement par algorithme ou d’un traitement automatisé 6.
Le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « RGPD »), qui est entré en application le 24 mai 2018, a poursuivi ce mouvement en créant le droit pour la personne qui fait l’objet d’un traitement de données à « ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé […] produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire » 7.
Par exception, le RGPD prévoit la possibilité d’utiliser des algorithmes notamment lorsque le traitement est nécessaire à la conclusion du contrat entre la personne et le responsable de traitement ou lorsque la personne a donné son consentement explicite. Dans ces deux cas, l’opérateur de l’algorithme est tenu de donner à la personne concernée par le traitement (i) des informations sur la logique sous-jacente, (ii) l’importance et les conséquences du traitement 8, (iii) la possibilité d’obtenir une intervention humaine, (iv) d’exprimer son point de vue et (v) de contester la décision prise 9.
Cette approche des algorithmes centrée sur l’obligation d’informer la personne préalablement au traitement et de lui donner des garanties après le traitement est similaire à l’ensemble du droit des données personnelles en vigueur depuis l’entrée en application du RGPD et de la Loi Informatique et Libertés modifiée. La dynamique est double : informer ex ante et assurer l’effectivité des droits et une transparence ex post.
La loi n°2016-1321 du 7 octobre 2016 pour une République numérique (dite « Loi Lemaire ») a été l’occasion pour les algorithmes de faire leur entrée dans le Code de la consommation. En vertu des articles L. 111-7 et L. 111-7-1 du Code de la consommation ainsi que des décrets d’application 10, les « opérateurs de plateformes en ligne » ont l’obligation de communiquer au consommateur des informations quant aux modalités de classement, de référencement et de déréférencement de contenus, biens ou services auxquels ils permettent d’accéder. Ces obligations imposent aux sociétés privées une transparence sur les critères utilisés par les algorithmes qui classent, référencent, trient et/ou suggèrent des contenus, biens ou services.
Il s’agit là d’un premier pas dans la direction d’une exigence faite à l’opérateur privé d’expliquer au consommateur comment fonctionne son algorithme, ou du moins quelles en sont les principales modalités, afin d’apprécier les décisions prises sur un tel fondement technologique et d’éviter les manipulations.
La même dynamique s’observe au niveau de l’Union Européenne avec la récente publication du projet de règlement européen n°2018/0112 pour la promotion de l’équité et de la transparence pour les utilisateurs de services d’intermédiation en ligne (dit « Règlement Platform to Business »). Un des objectifs de ce texte est de mettre à la charge des opérateurs de plateformes numériques des obligations de transparence sur les critères de classement utilisés afin de permettre aux professionnels d’adapter leurs offres en pleine connaissance des critères utilisés par la plateforme pour leur ouvrir l’accès au marché 11. Il est notamment fait état de l’importance de la notion de « paramètre principal » de l’algorithme 12 pour réellement comprendre le fonctionnement technologique et dépasser une approche formelle, donc stérile. Ce mouvement vers plus de transparence ira-t-il jusqu’à imposer la publication des algorithmes par les sociétés privées ? On peut en douter, notamment à la lecture de l’avis de la commission des affaires juridiques du Parlement Européen rendu le 27 septembre 2018 qui se prononce en faveur de la divulgation des paramètres déterminant le classement des contenus mais pas des algorithmes en eux-mêmes.
Parce qu’il est un outil puissant pour une gestion efficace et moins onéreuse, l’algorithme est un outil déjà utilisé depuis longtemps par l’administration dans ses relations avec les citoyens.
En 2016, la Loi Lemaire a introduit dans le Code des relations entre le public et l’administration un certain nombre de garanties pour la personne qui fait l’objet d’une « décision individuelle » fondé sur un traitement algorithmique (par exemple un choix d’orientation après le baccalauréat). D’une part, la personne doit être informée que ce mécanisme est mis en oeuvre 13. D’autre part, elle doit pouvoir obtenir communication des règles du traitement algorithmique, ce qui implique que les principales caractéristiques de l’algorithme puissent être communiquées et détaillées 14. Enfin, elle doit pouvoir saisir la commission d’accès aux documents administratifs pour en obtenir la communication 15.
Ce dispositif juridique encadrant l’usage d’algorithmes par les institutions publiques mérite d’être souligné car il est une synthèse de la triple logique de régulation qui est à l’oeuvre dans le droit des algorithmes :
‒ La logique d’information préalable : on n’utilise pas un algorithme produisant des effets sur une personne sans l’avoir informée en amont.
‒ La logique de transparence : la personne qui fait l’objet du traitement ou de la décision a le droit de savoir « à quelle sauce elle a été mangée ».
‒ La logique d’équité procédurale : les choix effectués au moyen d’un algorithme doivent pouvoir être contestés.
Parce qu’il s’agit de la puissance publique, la loi est plus exigeante que vis-à-vis des opérateurs privés. En effet, l’administration doit communiquer à la personne qui en fait la demande les « paramètres de traitement » mais aussi « leur pondération » 16, là où le Code de la consommation se contente d’exigence de l’opérateur privé qu’il informe le consommateur sur « les modalités » de référencement et de classement.
Le droit des algorithmes ne s’arrête pas aux règles qui régissent leur fonctionnement et leur composition car leur utilisation par les acteurs numériques a un impact direct sur leur régime de responsabilité, lequel découle principalement de la directive 2000/31/CE du 8 juin 2000 sur le commerce électronique (dite « Directive E-Commerce ») et de la loi du 21 juin 2004 pour la confiance en l’économie numérique (dite « LCEN »).
De manière synthétique, on peut distinguer le fournisseur d’accès à internet (la personne dont l’activité est d’offrir l’accès à des services de communication au public en ligne), l’hébergeur (la personne dont l’activité est d’assurer la mise à disposition du public, par des services de communication au public en ligne, le stockage de contenu fournis par d’autres) et l’éditeur (la personne dont l’activité est de réunir, sélectionner, mettre en ordre, contrôler et publier du contenu diffusé par des services de communication au public en ligne). Chaque acteur a son propre régime de responsabilité encadré par le droit positif.
Si les fournisseurs d’accès à internet sont clairement identifiables, la distinction entre hébergeur et éditeur se fait de plus en plus difficile à concevoir au fur et à mesure que le numérique se développe.
Juridiquement, le critère principal de la qualification d’éditeur réside principalement dans l’existence ou non d’un « rôle actif de nature à [confier] une connaissance ou un contrôle des données stockées » 17.
Or, l’objectif même d’un algorithme est d’agréger, sélectionner, discriminer et classer des contenus auxquels les internautes ont accès. Ce faisant, plus les opérateurs se servent d’algorithmes plus ils s’éloignent du simple hébergement de données. La « vieille » grille de lecture des années 2000 ne nous semble plus du tout pertinente pour appréhender l’internet d’aujourd’hui.
Cette tendance est confirmée par les récents projets du législateur français 18 et européen 19 qui responsabilisent de plus en plus les « plateformes » vis-à-vis des contenus qu’elles publient, relaient ou référencent. Le pouvoir exercé par les opérateurs d’algorithmes souligne l’importance de rouvrir les débats sur le régime de responsabilité applicables aux acteurs numériques.
La refonte de la Directive E-Commerce nous semble être un impératif pour perfectionner le droit des algorithmes en lui adjoignant un régime de responsabilité pertinent et conforme au fonctionnement opérationnel des acteurs économiques dans le but de leur apporter de la sécurité juridique pour favoriser leur développement 20. Malgré la poursuite du Marché Unique Numérique (Digital Single Market), de nombreux États membres s’opposent à la réouverture des débats sur cette directive. En l’état, la Commission européenne a indiqué qu’aucune initiative ne serait prise sur le sujet avant 2020.
Sous-jacent fondamental des plateformes aujourd’hui, soutien indispensable de toute entreprise numérique de demain, l’algorithme va devenir le coeur de règles de plus en plus nombreuses et diverses, selon les usages et les évolutions techniques.
Une chose est sûre : une nouvelle discipline juridique est née.
Le droit des algorithmes est en pleine croissance car il impose de faire le pont entre des spécialités juridiques diverses. Pour bien le comprendre et le maîtriser, il est indispensable d’adopter une approche pluridisciplinaire au sein des matières juridiques et d’être familier avec fonctionnements de ceux qui opèrent ces algorithmes.
C’est le chemin que nous entendons poursuivre pour accompagner les acteurs innovants du secteur numérique.
1. Conseil d’État, étude annuelle 2014, Le numérique et les droits fondamentaux.(Retour au texte 1)
2. V. Hatzopoulos, The Collaborative Economy and EU Law, Bloomsbury, 2018; A. Aneesh, Global Labour; Algogratic Modes of Organization, Sociological Theory, 2009. (Retour au texte 2)
3. G. Cornu, Vocabulaire Juridique, p. 333. (Retour au texte 3)
4. Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, article 2 (dans sa rédaction initiale). (Retour au texte 4)
5. Commission Nationale Informatique et Libertés, décision n°MED-2017-053 du 30 août 2017. (Retour au texte 5)
6. Projet de loi envisageant de modifier l’article 4 d la loi n°2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIème siècle.(Retour au texte 6)
7. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, article 22. (Retour au texte 7)
8. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, article 13, paragraphe 2. f et article 14 paragraphe 2. g. (Retour au texte 8)
9. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, article 22, paragraphe 3. (Retour au texte 9)
10. Décrets du 29 septembre 2017 n°2017-1434 relatif aux obligations d’information des opérateurs de plateformes numériques et n°2017-1435 relatif à la fixation d’un seuil de connexions à partir duquel les opérateurs de plateformes en ligne élaborent et diffusent des bonnes pratiques pour renforcer la loyauté, la clarté et la transparence des informations transmises aux consommateurs. (Retour au texte 10)
11. Projet de règlement européen n°2018/0112 pour la promotion de l’équité et de la transparence pour les utilisateurs de services d’intermédiation en ligne, article 5. (Retour au texte 11)
12. Projet de règlement européen n°2018/0112 pour la promotion de l’équité et de la transparence pour les utilisateurs de services d’intermédiation en ligne, considérant 17. (Retour au texte 12)
13. Article L. 311-3-1 du Code des relations entre le public et l’administration. (Retour au texte 13)
14. Articles R. 311-3-1-1 et R. 311-3-1-2 du Code des relations entre le public et l’administration. (Retour au texte 14)
15. Article R. 311-3-1-1 du Code des relations entre le public et l’administration. (Retour au texte 15)
16. Article R. 311-3-1-2 du Code des relations entre le public et l’administration. (Retour au texte 16)
17. V. p. ex. CJUE, 23 mars 2010, Google France SARL et Google Inc. c/ Louis Vuitton Malletier SA, aff. C-236/08 à C-238/08. Ce critère a été appliqué par les juridictions françaises (v. p. ex. Cass. Com. 13 juillet 2010, Bull. civ. IV n°123, n°06-15.136). (Retour au texte 17)
18. En dernier lieu, la proposition de loi relative à la lutte contre les fausses informations et plus récemment le rapport « Renforcer la lutte contre le racisme et l’antisémitisme sur Internet » du 20 septembre 2018. (Retour au texte 18)
19. En dernier lieu, les discussions concernant la proposition de directive sur les droits d’auteur (notamment, en ce qui concerne la responsabilité des sites internet vis-à-vis du « value gap » créé par la publication en ligne d’oeuvres d’artistes sans rémunération). (Retour au texte 19)
20. La proposition de résolution européenne déposée le 27 septembre 2018 à la présidence du Sénat invite le gouvernement à soutenir l’évolution du régime de responsabilité des acteurs de l’internet à l’échelle de l’Union Européenne. (Retour au texte 20)