DE L’ELABORATION D’UN REGIME JURIDIQUE SECTORIEL CONCOURANT A L TRANSPARENCE DES TRAITEMENTS

Le droit à l’information est défini par les obligations incombant au responsable du traitement. Ainsi, son étude nous indique que les informations à communiquer à la personne concernée au titre du droit européen renseigne dès la collecte des données sur le traitement futur (A). Ce droit à l’information est toutefois à concilier avec de nombreux impératifs qui limitent très fortement ce droit, et donc la compréhension du traitement à venir (B).

Dès lors que nous avons étudié le formalisme des informations à communiquer, il convient de s’intéresser au contenu, c’est-à-dire aux informations que le responsable du traitement est amené à fournir aux personnes concernées. Ces règles s’appliquent du début du cycle de vie du traitement, à savoir de la phase de l’obtention des données jusqu’à son traitement ultérieur213 . Le responsable de traitement est donc contraint par certaines obligations dès la collecte de données afin d’informer la personne physique du traitement la concernant. A cet égard, la transparence porte sur les données et non sur le traitement en lui-même, ce qui explique pourquoi les articles 13 et 14 du RGPD se situent dans une section s’intitulant « information et accès aux données à caractère personnel »214.

Concernant les obligations à fournir au titre du RGPD, il convient cependant de distinguer les informations devant être fournies lorsque la collecte a lieu directement auprès de la personne concernée (article 13 du RGPD), alors que d’autres informations sont spécifiquement communiquées lorsque les données ne sont pas obtenues auprès de la personne concernée (article 14 du RGPD). En effet, le régime juridique applicable n’est pas exactement similaire. Bien entendu, comme nous l’avons vu précédemment215, la communication de ces informations doit être effectuée « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant »216.

Sur ce point, il est à noter que le RGPD et la convention 108+ offrent une étonnante symétrie dans son contenu, sans doute pour aligner le droit de la convention sur le droit de l’Union, et ce malgré des intitulés différents puisque selon le nouveau protocole de la convention 108, les informations que nous allons étudier sont à communiquer afin d’assurer un traitement transparent.

Qu’il s’agisse d’une collecte de données à caractère personnel effectuée auprès de la personne concernée (c’est-à-dire au moment où les données sont obtenues) ou directement auprès d’elle, certaines informations à fournir par le responsable du traitement sont communes ces deux situations. En ce sens, le responsable du traitement doit communiquer son identité, ses coordonnées ainsi que celles du représentant du responsable du traitement217 ou du DPD218. La base juridique et les finalités de ce traitement doivent également être connues de la personne dont les données ont été collectées219. Il en est de même concernant « les destinataires ou les catégories de destinataires » de ces données dans les hypothèses où ils existeraient220. Enfin, si le responsable de traitement « a l’intention d’effectuer un transfert de données vers un pays tiers ou une organisation internationale », la personne physique doit bénéficier de certaines informations telles que son fondement ou non sur une décision d’adéquation de la Commission221. En l’absence d’une telle décision, les garanties appropriées doivent lui être communiquées afin qu’elle puisse le cas échéant en obtenir une copie, ou l’endroit où il sera possible d’en prendre connaissance222.

Bien que les dispositions communes évoquées participent à la transparence, les articles 13 et 14 du RGPD évoquent également la communication d’informations spécifiques nécessaires pour garantir un traitement équitable et transparent »223. Deux notions sont donc combinées dans ce cas de figure : le principe d’équité et de transparence malgré une absence de définition.

Les articles 13 et 14 du RGPD énumèrent à ce titre certaines informations qui doivent être communiquées telles que la durée de conservation des données, ou si le responsable du traitement est dans cette impossibilité, « les critères utilisés pour déterminer cette durée »224. La mention selon laquelle la personne dispose de droits tels que le droit d’accès à ses données personnelles, mais aussi le droit de les rectifier ou encore de les effacer ainsi que le droit de s’opposer au traitement, sans oublier le droit à la portabilité doivent être fournies225. Si le traitement a été consenti pour une ou plusieurs finalités, voire si ce dernier repose sur un consentement explicite de données sensibles226, la personne concernée doit être informée qu’elle peut « retirer son consentement à tout moment »227. La personne physique faisant l’objet d’un traitement est par ailleurs tenue informée qu’elle dispose d’un droit de recours auprès de l’autorité de contrôle228.

La personne physique concernée doit être informée lors de la collecte (si elle est effectuée auprès d’elle) du fondement juridique de la fourniture des données, c’est-à-dire si elle a lieu au titre d’une exigence réglementaire ou contractuelle. Ladite personne doit être tenue informée au sujet de la collecte dès lors que la fourniture de ses données personnelles est nécessaire à la conclusion du contrat, voire des conséquences « éventuelles » si elles ne pouvaient être fournies234.

Le responsable de traitement communique de plus à la personne concernée par une collecte non opérée auprès d’elle, la provenance des informations collectées et mentionne si elles sont issues ou non de sources accessibles au public »235. De plus, lorsque les données personnelles sont utilisées « aux fins de la communication avec la personne concernée », les renseignements sont à transmettre « au plus tard au moment de la première communication à ladite personne »236, ou « s’il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois »237.

Lorsque la collecte des données a lieu directement auprès de la personne concernée ou non, dès lors qu’elle dispose déjà de ces informations, le responsable de traitement n’est pas tenu de les communiquer ou de les transmettre de nouveau238.
Dans l’hypothèse où la collecte n’a pas été effectuée auprès de la personne physique, le responsable de traitement n’est pas dans l’obligation de communiquer les informations étudiées dès lors que « la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés »239 ou parce que « les données à caractère personnel doivent rester confidentielles en vertu d’une obligation de secret professionnel réglementée par le droit de l’Union ou le droit des États membre, y compris une obligation légale de secret professionnel »240. Il en est de même si le droit de l’Union ou un Etat membre impose la fourniture d’informations particulières pour certains traitements241.
Du coté des lignes directrices édictées par le G29, il est rappelé que le RGPD contient un conflit entre l’exigence de communication d’informations « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » et une information qui serait complète242, sachant que le responsable du traitement est le plus à même d’analyser quelles sont les informations qui rempliraient cette exigence. C’est d’ailleurs ce qui abonde dans le sens que le RGPD n’offre du point de vue de ces dispositions qu’un niveau très modéré d’explication ne permettant pas, même pour les plus aguerris en informatique, de vérifier la conformité du traitement mis en œuvre. A cet égard, l’information n’est pas de même degré, ni de même nature que celle concernant les algorithmes publics, qui demeure à ce jour, le régime juridique le plus précis en la matière, notamment car l’action administrative répond à des exigences supérieures de transparence243.
119. Quant à la convention modernisée 108 du Conseil de l’Europe244, elle stipule que « les données à caractère personnel faisant l’objet d’un traitement sont : traitées loyalement et de manière transparente ». Ce n’est que dans l’article 9 du protocole intitulé « droits des personnes concernées » que figure l’obligation d’explicabilité, et d’intelligibilité245 que nous étudierons au titre du droit d’accès des données traitées. Selon le protocole, en plus de ce qui est prévu à l’article 9, doit être communiqué à la personne concernée « toute autre information complémentaire nécessaire pour garantir un traitement loyal et transparent des données à caractère personnel »246, alors qu’en revanche le RGPD lui préfère sur ce point la notion d’équité ainsi qu’une liste limitative d’informations à communiquer247, bien que le Comité

Les décisions individuelles exclusivement automatisées, c’est-à-dire n’impliquant pas d’intervention humaine, sont amenées à connaître un essor croissant. Elles nécessitent une attention toute particulière puisqu’elles sont susceptibles d’avoir des effets juridiques ou d’impacter de manière significative les personnes concernées, voire des groupes sociaux. C’est ce titre qu’une information particulière doit être apportée à la personne concernée par le responsable du traitement au sujet de la logique sous-jacente (A). Dans certains cas, une intervention humaine est même exigée a posteriori par le RGPD, mais il ne peut totalement s’agir en l’état d’un droit à l’explicabilité de la décision. Cette information est de plus soumise à des limitations (B).

Dans la sphère numérique, la transparence est le fait de rendre visible l’invisible. C’est tout l’enjeu de la conformité, qui vise à empêcher que les informations communiquées au titre des articles 12, 13, 14, 15 et 22 du RGPD344, c’est-à-dire du droit à l’information et à l’explicabilité des décisions individuelles automatisées, ne soient erronées, car la personne concernée est de facto en situation de vulnérabilité par rapport aux responsables du traitement345, voire des sous-traitants, à raison notamment d’une asymétrie informationnelle. Le RGPD repose donc sur des pouvoirs traditionnels de conformité par les autorités de contrôle, dont la CNIL au plan national. Ils permettent à la fois d’améliorer la transparence avant que le traitement ne soit mis en œuvre, puis de le contrôler le cas échéant a posteriori (Section I).
Au-delà de ces considérations, cette réglementation modifie l’approche de la protection sur les données personnelles en ayant fait basculer un régime d’autorisation et de formalités préalables346 à un régime de responsabilisation des responsables de traitement et de leurs sous-traitants à des fins de simplification. En contrepartie, de nouveaux mécanismes dits de conformité ont été rendus obligatoires. Selon Margot E. Kaminski347, le RGPD instaure pour certains d’entre-deux une gouvernance collaborative à travers des mécanismes plus novateurs, le plus souvent de droit non contraignant de façon à ce qu’il existe une complémentarité entre la puissance publique, intervenant en tant que régulateur, et les responsables du traitement, leur permettant de prendre part à l’élaboration de la réglementation. Il s’agit donc de la mise en œuvre du principe de responsabilité consistant à ce que les acteurs concernés par les obligations du RGPD démontrent leurs conformités, par eux-mêmes, et qui concourt à l’effectivité de la réglementation, dont celui du principe de transparence en matière de données personnelles, même si celui demeure imparfait (Section 2).

La CNIL est la première AAI désignée en tant que tel par le législateur de l’histoire du droit français348. Cela démontre que le législateur souhaitait que cette commission soit indépendante du pouvoir politique dans le cadre de sa composition et de son fonctionnement. Compte tenu des nouveaux enjeux, et de l’exacerbation des problématiques relatives au numérique, il n’est pas déraisonnable de penser qu’une telle autorité, avec des compétences élargies, et un budget à la hauteur de ses missions, soit désormais instituée avec un statut qui va au-delà de ce que les autorités administratives indépendantes permettent aujourd’hui. Mais avant d’aborder ce sujet dans la deuxième partie de ces travaux349, il est nécessaire d’analyser dans leur généralité les prérogatives dont dispose la CNIL pour parvenir à l’effectivité de la transparence des traitements algorithmiques de données à caractère personnel. Il est par ailleurs noter que la CNIL, depuis l’immixtion du droit de l’Union dans ce domaine, est également sous la supervision du CEPD afin d’uniformiser l’application de ce nouveau droit au sein des Etats membres, mais aussi de la Commission européenne.
La CNIL dispose de pouvoirs susceptibles de concourir à la transparence des traitements de données personnelles en amont de leur mise en œuvre. Toutefois, au-delà de la mission préventive de cette institution (Paragraphe 1), qui demeure par ailleurs insuffisante pour les raisons que nous évoquerons, elle jouit d’un important pouvoir coercitif permettant de contrôler les traitements une fois déployés par les responsables du traitement et de leurs sous-traitants (Paragraphe 2).

Au-delà des mécanismes de responsabilité des acteurs que nous aborderons ultérieurement, et à laquelle la CNIL participe, les pouvoirs traditionnels de cette autorité, et susceptibles de concourir ex ante à la transparence des traitements algorithmiques de données à caractère personnel, repose davantage sur un droit souple (A) que règlementaire, ce qui aboutit, notamment du fait de la fin du régime d’autorisation de nombreux traitements sous l’empire de l’ancienne règlementation, à un affaiblissement de cette dernière en tant que contre-pouvoir technique (B).

La CNIL dispose d’un rôle en matière d’informations auprès des personnes physiques afin de les informer au sujet de leurs droits, mais également auprès des responsables du traitement, qu’ils soient privés ou publics dans le but de les renseigner sur leurs obligations, y compris sur le respect des droits des personnes parmi lesquels la transparence des données personnelles traitées bénéficie d’une place centrale350. L’article 8 § 1 1° de la LIL dispose en ce sens qu’« elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ». La commission peut aussi être sollicitée par de nombreux acteurs publics auprès desquels elle exerce une mission de conseil351. Elle répond également aux demandes d’avis formulés par les pouvoirs publics352, y compris des autres autorités administratives indépendantes.
Au-delà de l’avis obligatoire au titre des articles 31 et 32 de la LIL353, elle est consultée pour tout projet de loi ou de décret portant sur le traitement de données personnelles ou sur leur protection au sens large354. Nous regrettons sur ce point que cette consultation ne porte que sur les projets, qui certes sont importants afin que les parlementaires puissent le cas échéant bénéficier de son expertise lors des débats, alors qu’il serait en revanche plus constructif qu’elle intervienne tout le long du processus parlementaire ou règlementaire en vue de prodiguer les meilleurs conseils possibles. En effet, les projets ressemblent rarement à la version définitive qui pourtant s’imposera. Elle est également susceptible d’être force de proposition concernant l’évolution des régimes juridiques comme cela est le cas au sujet du projet de règlement européen de la Commission européenne relatif à l’IA355.