[Données personnelles]

Décision de la CNIL n° MED-2017-053 du 30 août 2017

La prise de décision automatisée occupe une grande partie de la littérature juridique consacrée aux développements récents de systèmes doués d’une forme – plus ou moins avancée – d’intelligence artificielle. A un moindre niveau, les décisions prises par des machines sont appréhendées par le droit des données à caractère personnel depuis 2004 en France, et depuis 1995 en Europe. C’est principalement sur ce point que la CNIL a mis en demeure le ministère de l’Enseignement Supérieur de mettre en conformité son outil de sélection aux fins de préinscription des bacheliers en première année d’études supérieures (« Admission Post-Bac »), dans une décision datée du 30 août 2017.

En l’espèce, à la suite d’une plainte en date du 25 novembre 2016, la CNIL a mené des contrôles dans les locaux du sous-traitant en charge du portail APB : l’Institut national polytechnique de Toulouse. A l’issue de ses contrôles, la CNIL a constaté plusieurs manquements à la loi informatique et libertés :

  • Manquements relatifs au mode de fonctionnement du portail APB :

La CNIL a constaté que le processus de sélection des candidats, effectué en fonction de différents critères (domicile, situation familiale et ordre des vœux pour les formations non sélectives ; les formations sélectives pouvant ajouter d’autres critères parmi une liste prédéfinie) était entièrement automatisé.

Aucune intervention humaine n’était prévue, en particulier pour réexaminer les décisions finales contestées par les candidats qui étaient simplement informés que la capacité d’accueil des établissements demandés était atteinte.

En conséquence, la CNIL a estimé que le ministère de l’Education Supérieur contrevenait à la loi informatique et libertés sur deux points : (i) l’interdiction des décisions produisant des effets juridiques prises uniquement sur la base d’un traitement automatisé de données destiné à définir le profil de la personne concernée – article 10 ; et (ii) la non prise en compte du droit d’accès des candidats par l’administration, qui aurait dû communiquer les informations permettant de connaître et de contester la logique sous-tendant la prise de décision automatisée – article 39-I-5.

  • Autres manquements :

Dans le prolongement de ce qui précède, la CNIL a également constaté que l’information préalable obligatoire des candidats n’était pas présente sur le site internet du portail APB, et que le contrat de sous-traitance entre le ministère de l’Enseignement Supérieur et l’Institut national polytechnique de Toulouse ne comportait pas les clauses obligatoires relatives à la sécurité.

En conséquence, la CNIL a mis en demeure le ministère de l’Enseignement Supérieur de mettre en conformité le traitement APB dans un délai de trois mois. Cette mise en demeure de la CNIL restera cependant sans suite, car le ministère de l’Enseignement Supérieur a annoncé le 3 septembre que le système actuel serait abandonné dès la rentrée 2018.

Le nouveau système devra néanmoins éviter de reproduire les erreurs identifiées par la CNIL, et même aller un peu plus loin, car la conformité sera alors appréciée au regard du RGPD entré en application quelques mois plus tôt (le 25 mai 2018). Concernant notamment les décisions automatisées, le RGPD prévoit désormais expressément le très futuriste « droit d’obtenir une intervention humaine ».