La décision individuelle automatisée est une nouveauté, introduite dans la nouvelle loi fédérale sur la protection des données (nLPD ; FF 2020 7397) qui devrait entrer en vigueur (espérons-le) en septembre 2023. Elle est déjà connue du droit européen.

Le responsable du traitement informe la personne concernée de toute décision qui est prise exclusivement sur la base d’un traitement de données personnelles automatisé et qui a des effets juridiques pour elle ou l’affecte de manière significative (décision individuelle automatisée) (art. 21 al. 1 nLPD).

Si la personne concernée le demande, le responsable du traitement lui donne la possibilité de faire valoir son point de vue. La personne concernée peut exiger que la décision individuelle automatisée soit revue par une personne physique (art. 21 al. 2 nLPD).

La personne concernée doit recevoir les informations nécessaires pour qu’elle puisse valoir ses droits selon la nLPD et que la transparence du traitement soit garantie ; cela inclut l’existence d’une décision individuelle informatisée ainsi que la logique sur laquelle se base cette décision (art. 25 al. 2 let. f nLPD). Cette dernière notion n’entraîne pas qu’il faille révéler les algorithmes utilisés, qui sont couverts par le secret d’affaire, mais bien les hypothèses de base qui sous-tendent la logique algorithmiques sur laquelle repose la décision individuelle automatisée (FF 2017 6684).

Le devoir d’informer ne s’applique toutefois pas (i) si la décision individuelle automatisée est en relation directe avec la conclusion ou l’exécution d’un contrat entre le responsable du traitement et la personne concernée et la demande de cette dernière est satisfaite ou (ii) la personne concernée a expressément consenti de manière libre et éclairée à ce que la décision soit prise de manière automatisée.

Le consentement doit bien évidemment être libre et éclairé, et ne sera pas opposable au détriment du travailleur ou du candidat à un emploi, par exemple, en raison du rapport de force entre les parties. Le point est ici important car, de plus en plus, les procédures de sélection passent, en tout cas pour les premières étapes, par des processus automatisés, ce qui devrait entraîner l’impossibilité, pour les candidats, de renoncer à l’avance à la révision de la décision par une personne physique.

Le projet de nouvelle ordonnance sur la protection des données (qui est en révision ensuite d’une première procédure de consultation) ajoute par ailleurs que la personne concernée par une décision individuelle automatisée, qui demande à faire valoir son point de vue ou un réexamen de la décision par une personne physique, ne peut pas être désavantagée pour ce motif (art. 17 P-OLPD). La précision n’est pas sans importance, même si elle semblait déjà découler de principes généraux, et s’appliquera sans doute utilement en matière d’octroi de crédits, d’examens, etc.

L’information relative à la possibilité de procéder par décisions individuelles automatisées doit être également donnée au stade de la récolte des données (art. 19 nLPD), par exemple dans le cadre d’une déclaration sur la protection des données (Privacy Notice).

Enfin, la violation des dispositions relatives à la décision individuelle informatisée est susceptible de donner lieu à des prétentions civiles en dommages-intérêts (41 ss CO, parfois 97 ss CO), à des mesures administratives du Préposé fédéral à la Protection des données (art. 51 al. 1 nLPD) et au prononcé d’amendes pénales jusqu’à CHF 250’000.—par les autorités de poursuite ordinaires (art. 60 alé 1 let. a nLPD).

En droit européen, et contrairement au droit suisse, l’art. 22 RGPD pose une interdiction de principe assortie d’exceptions.

Selon l’art. 22 par. 1 RGPD (Décision individuelle automatisée, y compris le profilage), la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.

L’art. 22 par. 2 RGPD ajoute que le paragraphe 1 ne s’applique toutefois pas (exceptions à l’interdiction de principe) lorsque la décision:

a) est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement;

b) est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou

c) est fondée sur le consentement explicite de la personne concernée.

Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement doit mettre en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.

Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l’article 9, paragraphe 1 RGPD (ce que nous appellerions en Suisse les données sensibles), à moins que l’article 9, paragraphe 2, point a) ou g) (consentement, intérêt public), ne s’applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place.

L’art. 13 par. 2 let. f RGPD prévoit qu’en cas de décision informatisée, le responsable de traitement informe la personne concernée de l’existence d’une telle décision, ainsi que des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée. Une ordonnance de la Cour de cassation italienne du 25.05.2021 (résumée et présentée par Eva Cellina, Nécessité d’un algorithme transparent pour un consentement valable, 31 août 2021 in www.swissprivacy.law/88) précisait, à propos de la « logique sous-jacente », que l’exigence de connaissance de la logique derrière l’algorithme ne peut être considérée comme satisfaite « lorsque le schéma de mise en œuvre de l’algorithme et les éléments qui le composent restent inconnus ou ne peuvent être connus des personnes concernées. »

L’art. 35 par. 3 let. a RGPD requiert également qu’une analyse d’impact soit effectuée dans l’hypothèse d’une évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondé sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affecte de manière significative.

Selon le consid. 72 RGPD, la personne concernée devrait ainsi avoir le droit de ne pas faire l’objet d’une décision, qui peut comprendre une mesure, impliquant l’évaluation de certains aspects personnels la concernant, qui est prise sur le seul fondement d’un traitement automatisé et qui produit des effets juridiques la concernant ou qui, de façon similaire, l’affecte de manière significative, tels que le rejet automatique d’une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention humaine. Ce type de traitement inclut le «profilage» qui consiste en toute forme de traitement automatisé de données à caractère personnel visant à évaluer les aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements, dès lors qu’il produit des effets juridiques concernant la personne en question ou qu’il l’affecte de façon similaire de manière significative.

Toutefois, la prise de décision fondée sur un tel traitement, y compris le profilage, devrait être permise lorsqu’elle est expressément autorisée par le droit de l’Union ou le droit d’un État membre auquel le responsable du traitement est soumis, y compris aux fins de contrôler et de prévenir les fraudes et l’évasion fiscale conformément aux règles, normes et recommandations des institutions de l’Union ou des organes de contrôle nationaux, et d’assurer la sécurité et la fiabilité d’un service fourni par le responsable du traitement, ou nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement, ou si la personne concernée a donné son consentement explicite. En tout état de cause, un traitement de ce type devrait être assorti de garanties appropriées, qui devraient comprendre une information spécifique de la personne concernée ainsi que le droit d’obtenir une intervention humaine, d’exprimer son point de vue, d’obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation et de contester la décision. Cette mesure ne devrait pas concerner un enfant.

Afin d’assurer un traitement équitable et transparent à l’égard de la personne concernée, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées, le responsable du traitement devrait utiliser des procédures mathématiques ou statistiques adéquates aux fins du profilage, appliquer les mesures techniques et organisationnelles appropriées pour faire en sorte, en particulier, que les facteurs qui entraînent des erreurs dans les données à caractère personnel soient corrigés et que le risques d’erreur soit réduit au minimum, et sécuriser les données à caractère personnel d’une manière qui tienne compte des risques susceptibles de peser sur les intérêts et les droits de la personne concernée et qui prévienne, entre autres, les effets discriminatoires à l’égard des personnes physiques fondées sur la l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions, l’appartenance syndicale, le statut génétique ou l’état de santé, ou l’orientation sexuelle, ou qui se traduisent par des mesures produisant un tel effet. La prise de décision et le profilage automatisés fondés sur des catégories particulières de données à caractère personnel ne devraient être autorisés que dans des conditions spécifiques.

La violation des dispositions de droit européen relatives aux décisions individuelles informatisées est susceptible de fonder des prétentions civiles en dommages-intérêts (art. 82 RGPD) et le prononcé d’une amende administrative (art. 83 par. 5 let. c RGPD).

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)