Transparence de l’algorithme, information et consentement : la Cour suprême fait le point
La Cour de cassation s’est prononcée sur la transparence de l’algorithme. Dans l’ordonnance numéro 28358, publiée le 10 octobre 2023, elle aborde la question de l’information fournie aux utilisateurs dans les cas où leur consentement est nécessaire conformément à l’article 13 du RGPD.
Résumer, l’utilisateur doit être informé du schéma d’exécution de l’algorithme, mais pas des opérations mathématiques qui déterminent les résultats.
L’histoire procédurale
L’ordonnance découle d’un double jugement déterminé par l’appel d’une disposition de l’Autorité garante pour le traitement des données personnelles de 2016.
Le premier jugement d’appel avait vu une victoire partielle de l’association requérante (le nom est anonymisé), qui avait mis en place un système qui « visait à créer une plateforme web, avec les archives informatiques associées, dans le but de développer des profils de réputation concernant les ressources naturelles ». et les personnes morales, afin de contrer les phénomènes basés sur la création de profils artificiels ou faux et de calculer, de manière impartiale, la « cote de réputation » des sujets enregistrés, permettant à des tiers de vérifier la réelle crédibilité ».
Le garant confidentialité s’était pourvu en cassation ; la Cour Suprême avait annulé la décision du Tribunal de Rome avec report, « le considérant vicié quant aux conditions de légitimité du traitement des données personnelles des membres du système sur la base du consentement, qui, conformément à l’art. 23 Décret législatif n. 196 de 2003, doit être « valablement fourni », c’est-à-dire « exprimé librement et spécifiquement » en référence à un traitement « clairement identifié », et tel n’est que celui dans lequel le sujet a été préalablement informé par rapport à un traitement bien défini dans son éléments essentiels : alors que, dans ce cas, il manque en raison du manque de transparence de l’algorithme utilisé dans le but spécifique, et il ne détecte pas non plus, comme le juge au contraire le tribunal, la réponse du marché. «Et – a conclu ce Tribunal – on ne peut pas logiquement dire que l’adhésion des associés à une plateforme inclut également l’acceptation d’un système automatisé, qui utilise un algorithme, pour l’évaluation objective des données personnelles, là où elles ne sont pas portées à la connaissance du système exécutif. dans lequel est exprimé l’algorithme et les éléments considérés à cet effet » ».
Le deuxième jugement sur le fond avait vu la société appelante succomber, faute d’information et donc de consentement des intéressés.
Selon le Tribunal de Rome, en effet, le règlement sur lequel repose l’algorithme « n’explique pas les méthodes, ni le schéma exécutif, avec lesquels la notation du membre est générée, mais décrit uniquement en termes comparatifs l’impact des données individuelles collectées ». en compte; il n’est pas expliqué comment un résultat est traité, mais seulement comment les variables sont évaluées par rapport aux autres, ou si elles affectent plus ou moins, dans un sens favorable ou défavorable, le calcul. Il aurait fallu plutôt indiquer le « poids spécifique » des composantes prises en compte par l’algorithme pour déterminer le résultat et les manières dont il est atteint, y compris les mécanismes d’interaction entre les différents facteurs ; cependant, précise le juge, « le règlement contient une évaluation comparative du poids que chaque paramètre/donnée fourni par l’intéressé a pris en considération par l’algorithme pour parvenir à une évaluation ».
D’où le rejet par le Tribunal de Rome : « après avoir analysé certains points du règlement, le Tribunal a conclu que « (i)finalement le règlement n’explique pas le schéma d’exécution de l’algorithme, mais fournit seulement une liste des facteurs pris en compte » prise en compte de la notation des différentes catégories, sans préciser comment ces données sont ensuite traitées par l’algorithme », et cette conclusion demeure malgré l’assistance du consultant, comme le prévoit la réglementation, car son intervention n’est pas programmée au moment de la manifestation du consentement, mais uniquement lors de la création du profil ».
Transparence de l’algorithme : l’ordonnance
L’association perdante a donc fait appel devant la Cour suprême ; Le thème principal du pourvoi, selon la Cour, est le constat qu’« il est nécessaire de comprendre la notion de « schéma exécutif de l’algorithme », dont la définition générale est la suivante : « Les étapes qui constituent le schéma doivent être « élémentaire », c’est-à-dire non décomposable davantage (atomicité); les étapes qui composent le schéma doivent être interprétables de manière directe et sans ambiguïté par l’exécuteur, qu’il soit humain ou artificiel (non-ambiguïté) ; l’algorithme doit être fini, c’est-à-dire composé d’un nombre défini d’étapes liées à une quantité définie de données d’entrée (finitude) ; l’exécution du projet doit avoir lieu dans un délai déterminé (résiliation) ; l’exécution du schéma algorithmique doit conduire à un résultat unique (efficacité) ».
Ce passage est déterminant pour comprendre les raisons pour lesquelles la Cour de cassation a cassé l’arrêt au fond, à partir du paragraphe 4 de l’ordonnance : « Il a été demandé au juge du fond de vérifier, sur la base des règles de l’initiative en cause , si le traitement effectué par des moyens informatiques était suffisamment transparent au regard de l’algorithme de calcul de ce que l’on appelle l’évaluation de la réputation, pivot de tout le système conçu à cet égard.
Selon la sentence d’annulation, en effet, l’évaluation factuelle nécessaire – afin d’examiner la validité du consentement en raison de l’existence d’une connaissance et d’une conscience effectives des finalités et des modalités de réalisation du traitement – concernait la transparence et la connaissance des caractéristiques fonctionnelles de l’algorithme. Ce qu’il fallait, en effet, ce n’est pas que l’associé connaisse ex ante avec certitude le résultat final des évaluations effectuées par le système d’intelligence artificielle – car sinon cela serait pour le moins inutile – mais la procédure qui conduit à l’évaluation même.
« 4.2. – En mathématiques, une procédure à suivre est décrite synthétiquement par une équation composée de variables et de fonctions qui les relient.
L’algorithme est une procédure permettant de résoudre un problème : les solutions (sortie) sont dérivées de certaines données d’entrée. Le « schéma exécutif » d’un algorithme précise donc les étapes à effectuer en séquence pour atteindre le résultat.
Les spécialistes du sujet précisent qu’un algorithme peut être construit si les données et la procédure répondent à certaines exigences ».
À partir de l’analyse conceptuelle de ce qu’est un algorithme et de son fonctionnement, la Cour de cassation a ensuite précisé ce qui doit être clairement indiqué dans l’information pour que le consentement de l’intéressé soit valable, car ce n’est pas le résultat final qui doit être prévisible. , mais le critère d’évaluation.
La Cour s’est donc exprimée dans les termes suivants au paragraphe 4.3 de l’ordonnance : « Le fait est en effet que, dans l’affaire en question – comme dans d’autres, où la connaissance des prédictions confiées à un algorithme est également pertinente dans le cadre juridique système – ce n’est pas la question mathématique qui entre en jeu : sauf dans la mesure où elle sert à comprendre si le consentement donné par le sujet peut être dit conscient et éclairé ; c’est-à-dire si, comme l’indique l’ordonnance d’annulation de la Cour, le consentement était, conformément à l’art. 23 Décret législatif n. 196 de 2003, « valablement fourni ». Selon l’art. 23 Décret législatif n. 196 de 2003, applicable ratione temporis en ce qui concerne la fourniture du garant opposant, le consentement rend licite le traitement des données personnelles par des personnes privées et, continue la règle, peut concerner l’ensemble du traitement ou une ou plusieurs opérations de celui-ci. Elle « n’est valablement fournie que si elle est exprimée librement et spécifiquement en référence à un traitement clairement identifié, si elle est documentée par écrit et si les informations visées à l’article 13 ont été fournies à l’intéressé » ».
Conclusions
Transparence et droit à l’information ne sont pas synonymes d’indication expresse des opérations mathématiques qui constituent l’algorithme, bien au contraire.
Si l’information était écrite dans un langage mathématique, elle serait exposée à la violation inverse : elle serait en fait incompréhensible pour la plupart des gens, même avec un maximum de transparence.
Étant donné que pour obtenir un consentement valable aux fins du RGPD, il est nécessaire que le propriétaire s’exprime dans des termes largement compréhensibles pour l’intéressé, y compris au moyen d’icônes, les informations sur les algorithmes sont atteintes lorsque les termes des fonctions et les mécanismes de l’algorithme.
Cela ne signifie pas que, dans des conditions données, les parties intéressées ne puissent pas également être informées des opérations mathématiques qui sous-tendent l’algorithme : par exemple en matière de droit d’accès à l’Administration Publique dans le cas d’algorithmes utilisés pour des procédures sélectives.
Mais dans le cas des particuliers, la transparence algorithmique n’entre en jeu que si elle est liée aux informations fournies par le propriétaire à l’intéressé – et au consentement y afférent.
La Cour suprême a bien clarifié le point, même si la question semblait déjà claire sur la base des principes de droit déjà exprimés précédemment.