Comments for Quel menu pour nourrir l’intelligence artificielle? Pouvez-vous passer la carte?

FONTAINE Quentin, GIUS Lisa, HOUNSOU Jean, MUMBU Jonathan, VILAS David

A. Deux points de mise à jour

1. Pouvez-vous résumer les développements en France quant à la transparence du système automatisé d’admission dans l’enseignement supérieur?

Avant 2009, l’admission dans l’enseignement supérieur en France se faisait en personne auprès des différents établissements, mais comportait dès lors un risque de manipulation de la norme générale par l’administration. Aucune mesure particulière de transparence n’était requise, et le mode décisoire des institutions était opaque.

En 2009, le système Admission Post-Bac (dit “APB”) est lancé au niveau national, dans le but de centraliser les candidatures et d’appliquer uniformément les règles de classement des étudiants – processus désormais automatisé par un algorithme. En pratique, chaque candidat est autorisé à postuler pour 24 filières (“choix”), classées par ordre de préférence. Les dossiers des étudiants ayant postulé sont transmis aux établissements d’enseignement, qui signalent quels étudiants ils souhaitent acueillir (“proposition”). Chaque étudiant ne reçoit que la proposition la mieux classée parmi ses choix.

Cependant les critères de classement des étudiants ne sont pas connus, et année après année, un nombre grandissant d’étudiants se retrouve sans proposition de formation en juillet. L’association Droit des Lycéens lance alors plusieurs actions en justice pour obtenir la publication de l’algorithme.

En juin 2016, la Commission d’accès aux documents administratifs (CADA) estime que les étudiants ont le droit d’obtenir des informations quant aux modalités d’utilisation de l’algorithme dans les décisions du système APB. Bien que la CADA ne soit qu’une autorité consultative sans pouvoir de sanction, le ministère de l’Education nationale rend public le code source du système en octobre 2016. Cependant celui-ci est peu lisible, et n’est accompagné d’aucune explication.

De son côté, la Commission nationale de l’informatique et des libertés (CNIL) contrôle la conformité du système APB avec la loi française du 6 janvier 1978 dite “Informatique et Libertés”, relative à la protection des données personelles dans le secteur de l’informatique.
Dans son avis du 30 août 2017, la CNIL pointe trois manquements grave du système :
A. Un manque de transparence quant à l’algorithme et à son fonctionnement dans la procédure APB, alors que les utilisateurs de la plateforme doivent légalement pouvoir obtenir « les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé » (L. 6 janvier 1978, art. 39).
B. Un manque de transparence quant au traitement des données des utilisateurs, car le portail APB ne met pas à disposition des utilisateurs certaines informations légalement requises, telles que l’identité du responsable du traitement, finalité du traitement, et droit des personnes (L. 6 janvier 1978, art. 12).
C. Le pouvoir exclusif de l’algorithme – pour les formations dites “non sélectives”, l’algorithme agit sans aucune intervention humaine, allant ainsi à l’encontre des dispositions légales prévoyant qu’aucune “décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité” (L. 6 janvier 1978, art. 10).

Décision exceptionnelle, la CNIL met alors publiquement le Ministère de l’Education en demeure de modifier le système pour s’assurer de sa conformité avec la loi endéans 3 mois.

Suite à cela, APB a été remplacé le 22 janvier 2018 par la plateforme Parcoursup. En pratique, les étudiants ne doivent désormais plus indiquer que 10 choix, non classés – et ensuite effectuer un choix parmi toutes les réponses positives et négatives qu’ils ont reçues. Puisque l’affectation n’est plus automatique, les choix sont nécessairement réduits, ce qui crée un risque accru d’auto-censure et d’absence de proposition. Cependant, les étudients conservent un sentiment de maîtrise du choix et des décisions, puisque la seule tâche du code informatique est désomais de mettre en relation filières et élèves, ainsi que de transmettre les documents pertinents.

En définitive, la CNIL n’excluait pas complètement l’utilisation d’algorithmes par le système d’admission dans l’enseignement supérieur – à condition que les utilisateurs disposent d’informations transparentes et que le processus de décision comprenne une intervention humaine en cas de problème. Par facilité, la réaction législative a donc été de rétropédaler : retirer tout pouvoir décisoire à l’algorithme au profit des chargés d’admission et publier immédiatement le code source de ce dernier.

2. Est-ce que l’on a progressé en ce qui concerne la transparence des algorithmes de Facebook, Google et Twitter et de l’usage de l’IA comme remède à la propagation des propos haineux sur ces réseaux sociaux ?

Pour répondre à la première de ces questions, il importe de s’entendre sur la signification du mot progrès : plus de transparence constitue-t-elle nécessairement un progrès ? Plusieurs études (comme celles conduites par R. Kizilcec et C. Nass) ont contribué à démontrer les effets néfastes d’un excès de transparence sur la confiance des utilisateurs ainsi que sur l’efficacité de l’algorithme lui-même.

Les algorithmes utilisés par Facebook, Google et Twitter à leurs débuts ont considérablement évolué. Prenons l’exemple de l’algorithme qui détermine ce qui apparaît sur le fil d’actualité des utilisateurs de Facebook : il se basait à l’origine sur des critères bien définis et explicables. Certaines activités d’amis proches considérées comme plus importantes étaient programmées pour apparaître en priorité. Les résultats du moteur de recherche de Google fonctionnaient similairement, au moyen de critères explicites et hiérarchisés. Ce genre d’algorithme est particulièrement propice à la transparence en raison de sa simplicité et de son apparente logique. Ils ont été en grande partie remplacés par des méthodes de « Deep Learning », qui se basent sur un nombre colossal de données pour « apprendre », par expérience, ce que les utilisateurs sont susceptibles de préférer en fonction de leurs réactions. Ce type d’algorithme est par nature beaucoup plus opaque, car il est difficile d’expliquer les conclusions tirées des habitudes de millions d’utilisateurs, même pour les programmeurs.

Force est donc de constater que la transparence des algorithmes des réseaux sociaux n’a pas connu de progrès significatif, en raison des réticences à les partager et de leur complexité croissante. Un compromis suggéré est que l’accès au code des algorithmes soit octroyé aux instances judiciaires pertinentes plutôt qu’en accès libre au public, et que celles-ci se portent garantes de la légalité de leur fonctionnement.

L’usage de l’IA comme remède à la propagation des propos haineux a, lui, progressé considérablement dans les derniers mois. L’union européenne a félicité en février dernier les plateformes de réseaux sociaux pour les aboutissements de leur combat contre le discours haineux et plus particulièrement Facebook, Twitter et YouTube. Signataires d’un code de conduite il y a trois ans, ils retirent 72% du contenu signalé comme discours haineux dans les 24h, ce qui constitue une amélioration de 40% depuis leur signature.

La technologie à la base de ce progrès connaît toutefois des limites. Mark Zuckerberg lui-même admet que des algorithmes basés sur la reconnaissance de mots-clés dépendent énormément de subtilités langagières, que les machines ne sont pas capables de saisir avec fiabilité. La détection de l’ironie ou du satire est elle aussi particulièrement difficile sans intervention humaine.

Certains activistes s’inquiètent des conséquences de ces progrès sur la liberté d’expression. Ils dénoncent la marge d’appréciation laissée aux réseaux sociaux pour définir le discours haineux, et de la censure politique qui pourrait s’accomplir sous son prétexte, en l’absence d’une transparence algorithmique complète. Le discours haineux le plus fréquemment censuré se dirige contre les migrants (17%), suivi de près par l’homophobie (15%) et l’islamophobie (13.6%). Mais la frontière entre opinion politique franche et expression de haine n’est pas toujours évidente à saisir, a fortiori pour des êtres dénués de l’un comme de l’autre.

B. Questions ouvertes pour discussion

1. Y a-t-il un droit à l’explication des algorithmes dans les règles en matière de vie privée?

La question du droit à l’explication des algorithmes est pertinente, car l’intelligence artificielle intervient aujourd’hui dans de nombreux domaines par le biais d’algorithmes, laissant parfois la machine décider à la place de l’homme – en matière de sélection pour l’accès à l’enseignement ou en matière de systèmes de conduite autonome, par exemple. Avec les progrès technologiques, la vie des consommateurs est régulée par des algorithmes éminemment complexes de façon croissante. Or, ces algorithmes se nourrissent d’informations à caractère personnel, et cette tendance présente un risque accru d’asymétrie d’information entre les ingénieurs, les responsables du traitement des algorithmes et la personne concernée. En effet, le citoyen moyen n’a aucune idée de la façon dont un algorithme fonctionne – alors que ce dernier prend des décisions sur base de ses informations personnelles.

Pour remédier à cela, le règlement général sur la protection des données (RGPD) de l’Union européenne met l’accent sur une nouvelle obligation essentielle : la transparence du traitement. Le règlement appelle notamment à créer « un cadre de protection des données solide et plus cohérent dans l’Union […] car il importe de susciter la confiance qui permettra à l’économie numérique de se développer dans l’ensemble du marché intérieur. Les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant. La sécurité tant juridique que pratique devrait être renforcée pour les personnes physiques, les opérateurs économiques et les autorités publiques » (RGPD, cons. 7).

Il prévoit également des dispositions particulières relatives à la prise de décision automatisée et au profilage – créant une obligation d’information renforcée en la matière à la charge du responsable du traitement des données. Les personnes concernées ont un droit aux « informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent, [en l’occurrence] des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée » (RGPD art. 13.2.f – voir également 14.2.g si les données sont collectées indirectement).

Cependant, de nombreux algorithmes échappent à une telle obligation : dès que la prise de décision n’est pas entièrement automatisée – c’est-à-dire dès qu’une intervention humaine est avérée – l’obligation d’information renforcée n’est plus applicable, avec un retour à l’obligation d’information classique.

Enfin, même lorsque cette obligation renforcée est applicable, le contenu exact de l’information à fournir reste flou – notamment dans les cas impliquant des algorithmes extrêmement complexes ou du machine learning (en raison de leur opacité naturelle). Le Groupe de travail de l’article 29 (G29), qui réunit les autorités de contrôle des Etats membres en matière de protection des données à caractère personnel, a tenté d’en définir les contours de façon pragmatique : « Le responsable de traitement devrait trouver des manières simples d’indiquer aux personnes concernées la logique derrière la décision, ou les critères sur laquelle elle est fondée, sans nécessairement essayer de donner une explication complexe des algorithmes utilisés, ou divulguer l’intégralité de ces algorithmes » (Lignes directrices, 3 octobre 2017). Il ne s’agirait donc pas du tout d’expliquer « mathématiquement » l’algorithme par une divulgation du code source, mais bien de dévoiler la nature et les enjeux de la décision prise automatiquement pour la personne concernée – en conformité avec les exigences de clarté et d’accessibilité prévues par le règlement (RGPD, art. 12.1).

2. Quelle est la pertinence des arguments juridiques invoqués par des opérateurs privés pour limiter l’accès aux algorithmes et/ou aux données?

Avant même de parler d’une quelconque limitation à l’accès aux algorithmes et/ou aux données, faut-il encore parler des droits qui permettent cet accès. En effet, c’est dans le nouveau « Règlement no 2016/679, dit règlement général sur la protection des données (RGPD), que se trouvent les règles applicables en la matière. Mais on peut également trouver des précisions, informations complémentaires, éclaircissements et approfondissements dans les « lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 » adoptées par le groupe de travail « article 29 » sur la protection des données.

Les règles relatives au droit d’information des personnes concernées sont entre autres reprises aux articles 13,14, 15 et 22 du RGPD. Les deux premiers concernent le droit d’information réservé à toute personne concernée par la collecte de données, avec une distinction selon que les données sont collectées auprès de cette personne ou non. Tandis que l’article 15 traite du droit d’accès de la personne concernée aux données collectées mais aussi comme nous le verrons, au fonctionnement des algorithmes permettant la prise de décisions automatisées. Finalement l’article 22 traite plus spécifiquement d’un droit négatif, en effet, il prévoit le droit pour toute personne de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, sauf respect de certaines conditions.

Après avoir situé certaines règles concernant les droits accordés aux personnes concernées, il paraît utile de définir ce qu’est une donnée à caractère personnel, la définition nous vient directement de l’article 4, (1) du RGPD : « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » (RGPD).

Il est connu de tous que de longue date les opérateurs privés collectant des données à caractère personnel poursuivent essentiellement un but économique. Ces données permettent à ces derniers de proposer par exemple des publicités ciblées, de faire du profilage, de vendre, plus rarement, ces données, ou plutôt de les échanger, etc. Mais il faut savoir que les données collectées permettent aussi par le biais d’algorithmes assez sophistiqués, de prendre des décisions individuelles automatisées. C’est notamment le cas en France, pour le système d’Admission Post Bac (ABP). Il s’agit d’un « système automatisé d’admission dans l’enseignement supérieur ».

Aujourd’hui les « données sont devenues des ressources valorisées, et le droit commence à arbitrer entre les demandes variées, et souvent contradictoires, visant à contrôler les données et à garantir l’accès aux données ».

C’est ainsi qu’on en arrive à un stade de « conflit » entre revendications d’opérateurs privés et les droits de tout un chacun. En effet, la question traitée chevauche à la fois les droits intellectuels et contractuels des opérateurs privés et les droits d’information et d’accès des particuliers.

Les opérateurs privés tendent à vouloir limiter l’accès aux algorithmes, à mon avis à juste titre. En effet il ne faut pas perdre de vue que ces derniers ont eux aussi des droits comme indiqué infra. Ainsi comme l’a dit Adrien AULAS ; « qu’une telle divulgation, d’abord, se heurterait au respect du secret des affaires et de la propriété intellectuelle, dans un monde où l’actif immatériel que constitue un algorithme performant peut représenter l’essentiel de la valeur d’une entreprise ». Permettre un accès à toute personne concernée, aux algorithmes utilisés dans les prises de décisions individuelles automatisées, porterait donc atteinte, comme repris dans le considérant 63 du RGPD, « aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel ».

À lui d’ajouter encore à juste titre qu’une « retranscription intégrale de l’algorithme, voire son explication mathématique, est à l’évidence insusceptible de satisfaire aux conditions de clarté et d’accessibilité posées par le texte, dont l’article 12.1 dispose que l’information doit être donnée aux personnes concernées “d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant“. ».

Il conclut ainsi, en disant qu’il s’agit « d’informer ni trop, ni trop peu – soit, mais au regard de quel étalon ? La meilleure approche nous semble être à cet égard une approche fonctionnaliste : l’information fournie doit être suffisante pour remplir les objectifs qui en dépendent, du point de vue de la protection des personnes concernées ». Une approche qui irait dans le même sens que les objectifs du RGPD et des lignes directrices adoptées par le G29.

Mais au-delà des difficultés liées à la protection des algorithmes par des droits spécifiques, le droit d’information et le droit d’accès à celles-ci est souvent « rendu compliqué par le fait que les concepteurs (des algorithmes) ignorent parfois pourquoi un modèle est parvenu à une décision spécifique ».

En France, il existe cependant une possibilité d’avoir droit à une explication détaillée contenant la « méthode ayant servi à développer l’algorithme, aux contraintes et aux besoins ayant guidé ce développement, aux taux d’erreur par catégorie de données, aux critères de test et d’évaluation, ou encore, “si l’algorithme est le produit d’un apprentissage machine, [aux] sources de données qui ont été utilisées pour [le] concevoir“ ». Cette possibilité est notamment réservée aux hypothèses de recours.

Nous retiendrons donc de tout cela que les algorithmes doivent en principe faire l’objet d’un droit d’accès, droit d’information pour la personne concernée mais que le considérant 63 du RGPD « prévoit une certaine protection pour les responsables du traitement qui s’inquiètent de révéler des secrets d’affaires ou liés à la propriété intellectuelle, ce qui peut être particulièrement pertinent en ce qui concerne le profilage. Il indique que ce droit d’accès ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Toutefois, les responsables du traitement ne peuvent pas invoquer la protection de leurs secrets d’affaires comme excuse pour refuser l’accès ou refuser de fournir des informations à la personne concernée » (Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679).

En ce qui concerne l’accès aux données à caractère personnel recueillies par les opérateurs privés, celles-ci ne peuvent en principe souffrir aucune limitation. Mais comme noté sur le site de la CNIL (La Commission nationale de l’informatique et des libertés de France) certaines limitations peuvent être prévues. Et notamment en France on prévoit des limitations « pour certains fichiers de police ou intéressant la sûreté de l’État ». Mais il existe aussi des limitations liées aux « droits ou libertés d’autrui, l’exercice du droit d’accès d’une personne ne doit pas porter atteinte au droit des tiers. Seules les données de la personne concernée peuvent être communiquées au titre du droit d’accès ». Et une dernière limitation déjà citée au sujet des algorithmes, « la propriété intellectuelle : par exemple le droit d’auteur, lorsqu’il protège le logiciel, ou encore le secret d’affaires, etc. ».

Tout cela nous mène à une question fondamentale en droit de la propriété intellectuelle et notamment dans le domaine des données personnelles. Se dirige-t-on vers un droit de la propriété des données à caractère personnel ? L’avenir nous le dira bien assez tôt, au vu des évolutions ultra-rapides en la matière. Le droit arrivera-t-il à suivre les avancées numériques et technologiques ? La question reste en suspens dans une époque où le numérique semble être le nouveau monde.  

3. Faut-il revoir les exceptions aux secrets d’affaires et/ou à l’accès aux documents administratifs pour assurer la transparence des outils d’IA?

Il est nécessaire, avant de pouvoir parler de secret d’affaire, que trois conditions soient remplies (Loi du 30 juillet 2018 relative à la protection des secrets d’affaires). En effet, il faut :
A. Que le procédé ne soit pas généralement connu par les personnes qui exercent dans le milieu en question ou que le procédé ne leur soit pas facilement accessible et cela, dans sa globalité, dans sa configuration et dans l’assemblage précis de ses éléments.
B. Ensuite, il faut que ce procédé ait une valeur commerciale
C. Enfin, les mesures mises en place par la personne qui le détient doivent être raisonnables en vue de l’objectif de garder le secret.

Si la transparence algorithmique est souhaitée pour les consommateurs, les entreprises préfèreraient garder leurs algorithmes secrets pour conserver leurs avantages concurrentiels. Le secret d’affaire semble être l’outil de protection idéal pour les algorithmes.

Les algorithmes permettent de traiter des données personnelles mais également d’en collecter. Par conséquent, les consommateurs doivent être au courant de ce qui est fait avec leurs données personnelles. Mark Zuckerberg l’a concédé lors de son interrogatoire de dix heures au Sénat Américain : l’une des prochaines étapes est de progresser dans la transparence, notamment en permettant aux consommateurs d’avoir accès aux algorithmes.

Toutefois la question est légitime : la protection du secret d’affaire est-elle conciliable avec la transparence recherchée ? Selon Yacine Si Abdallah, chargé de mission « éthique et numérique » à la CNIL, « (…)  pour concilier transparence et secret, on peut publier une spécification du code, autrement dit ce que doit faire le programme, et non comment il le fait. De même, l’auteur d’un algorithme peut s’appuyer sur un tiers certificateur, comme cela se fait dans l’industrie aéronautique ». Par conséquent, les exceptions aux secrets d’affaires existant jusqu’à présent peuvent servir de justification pour laisser place à plus de transparence.

Qu’en est-il pour les documents administratifs où les algorithmes sont de plus en plus présents ? La question est de savoir si le manque de transparence algorithmique est contraire à l’obligation de transparence et à l’obligation de motivation de l’acte administratif.

En France, le Conseil constitutionnel a exposé clairement sa position. S’il y a faute de transparence, les actes administratifs pourront être annulés.

Un texte de loi, pas encore promulgué par Emmanuel Macron, énonce que les décisions administratives relevant exclusivement du traitement automatisé seront officiellement autorisées sous réserve du respect de ces trois conditions :
A. Qu’une « mention explicite » avertisse l’usager qu’une décision a été prise à son encontre par le biais d’un algorithme, et qu’il a le droit de se faire expliciter le fonctionnement de celui-ci « sous une forme intelligible ».
B. Que les « règles » définissant le traitement ainsi que ses « principales caractéristiques » de mise en œuvre soient communiquées – sur demande – à la personne concernée, « à l’exception des secrets protégés par la loi ».
C. Que l’algorithme ne fonctionne pas à partir de données jugées sensibles (orientation sexuelle, convictions religieuses, origine ethnique, données biométriques…).

En ce qui concerne la « mention explicite », la haute juridiction  a ajouté : «  Lorsque les principes de fonctionnement d’un algorithme ne peuvent être communiqués sans porter atteinte à l’un des secrets ou intérêts énoncés au 2° de l’article L. 311-5 du Code des relations entre le public et l’administration, aucune décision individuelle ne peut être prise sur le fondement exclusif de cet algorithme. »

Autrement dit, sans transparence, les décisions administratives ne peuvent pas entièrement être prises de manière automatisée. Les acteurs publics ne pourront pas se justifier par des exceptions pour le faire. (Des exceptions existent : secret de la défense nationale, risques d’atteinte à la sécurité des systèmes d’information des administrations, au déroulement des procédures judiciaires, à la monnaie et au crédit public, etc.)

Par cela, nous voyons que tant pour les actes privés que pour les actes publics, les exceptions existantes suffisent actuellement à ce que plus de transparence soit faite dans le monde algorithmique. Néanmoins, si les exceptions venaient un jour à ne plus suffire pour imposer la transparence nécessaire à la protection des données personnelles du consommateur, nul doute qu’il faudrait les revoir afin que la technologie puisse toujours servir l’homme conformément aux principes légaux et conformément à la dignité humaine.

A) 1) Pouvez-vous résumer les développements en France quant à la transparence du système automatisé d’admission dans l’enseignement supérieur ?
Une tension est née entre d’une part le droit à l’enseignement pour chaque étudiant et d’autre part l’admission dans un enseignement supérieur réglé un algorithme qui procède à une sélection d’admission en cas de surnombre de demande.
Ce système a été mis en place en vue d’assurer davantage de transparence lors de cette procédure de sélection, alors qu’avant c’était un fonctionnaire personne physique qui en était chargé. Cela est censé être plus égalitaire puisque l’algorithme applique uniformément les règles de droit.
Toujours dans un souci de transparence, ces règles utilisées par ailleurs par l’algorithme peuvent être connues des étudiants puisque le code source est considéré par la Commission d’accès aux documents administratifs comme un document administratif et doit donc être communiqué sur demande, même à des fins autres que d’une mission de service public, sous réserve de la protection des droits intellectuels des tiers sur le code.
Un décret a par ailleurs été pris en 2017 concernant le droit des personnes faisant l’objet de décisions individuelles prises sur le fondement d’un traitement algorithmique. Ce décret permet aux personnes visées d’avoir un droit d’accès à différentes informations.
La difficulté a été de créer un algorithme qui n’agissait pus dans le but d’un tirage au sort mais qui traduit les dispositions d’une loi. Ce système de prise de décision complexes doit être vu comme une promesse d’objectivité dans la prise de cette décision administrative qui va affecter la vie individuelle de chacun. Le fait que les étudiants aient accès au système algorithmique permet la transparence ainsi qu’un contrôle sur les critères et leur équité. Alors qu’un algorithme peut paraitre flou pour le citoyen, car sans intervention humaine, et donc source de manipulation.
Il est donc facile de prévoir des règles de transparence, mais parfois plus difficile de les mettre en œuvre.

A) 2) Est-ce que l’on a progressé en ce qui concerne la transparence des algorithmes de Facebook, Google et Twitter et de l’usage de l’IA comme remède à la propagation des propos haineux sur ces réseaux sociaux ?
La protection des données en ligne est protégée entre-autre via l’utilisation d’algorithmes. A entendre Marck Zuckerberg parler, l’IA serait une véritable solution pour assurer cette protection, même si à l’heure actuelle cette méthode n’est pas encore optimale étant donné que de nombreux de nombreux problèmes de messages haineux et diffamatoires sont encore présents sur les réseaux sociaux. Toutefois s’en remettre à la seule utilisation de l’IA, ne présenterait-elle pas un risque de déresponsabiliser ces plateformes en cas de mauvaise protection des données ? Ce n’est surement pas une solution miracle à tous les problèmes de protection de données en lignes et de propagation de contenu. Les contenus haineux par exemple sont très difficiles à repérer pour une technologie d’intelligence artificielle, la limite pouvant être très mince avec l’humour, l’ironie ou en fonction du contexte.
Toutefois, parler de progression est un grand mot aux vues de la situation encore floue de cette question de transparence. En effet, certes l’IA peut permettre de pallier au problème d’une telle propagation de haine, mais le souci reste que la transparence de cette méthode n’est pas encore optimale. En effet, les grandes plateformes d’internet sont encore réticentes à l’idée de donner les informations concernant les algorithmes à diverses personnes, invoquant principalement comme argument la protection du secret des affaires. Alors que le meilleur moyen de déterminer si en effet l’IA est assez efficace pour empêcher des dérives, est que ces plateformes rendent plus transparente la manière dont les algorithmes fonctionnent. Cela s’illustre bien avec Google qui laisse penser qu’il occupe un rôle de législateur en limitant très clairement cet accès à l’information, rôle que la plateforme joue sans mal étant donné son poids mondial.
En se renseignant, on a pu apprendre que Facebook allait partager pour la première les secrets de ses algorithmes à une équipe de régulateurs français, notamment des défenseurs des données personnelles, afin de combattre la propagation de contenus haineux sur son réseaux (pendant 6 mois à partir du 1er janvier 2019).

B) 1) Y a-t-il un droit à l’explication des algorithmes dans les règles en matière de vie privée ?
Il y a un énorme risque à ce qu’une personne concernée par une décision pris e par un algorithme ne comprenne pas comment ses données sont traitées et comment la décision qui la concerne est prise. C’est compliqué d’explique run algorithme mais cela n’empêche pas de donner des informations claire set utiles dans la compréhension, comme les paramètres qui déterminer la décision. Mais jusqu’où doit aller l’exigence d’explication ?
Un groupe de travail qui réunit l’ensemble des autorités de contrôle des Etats membres (2017) s’est penché sur la question avec pour objectif fondamental de contrôle par le citoyen de ses données ainsi que s compréhension du système de prise de décision (RGPD). Cependant le contenu de l’information à fournir est assez flou (surtout pour la manière dont on doit expliquer un algorithme ?). Cette obligation d’information renforcée n’est valable que pour les cas de prise de décision, fondée exclusivement sur un traitement automatisé de données, qui produit des effets juridiques. Tout dépendra donc de l’intervention humaine ou non dans l’utilisation de l’algorithme ainsi que de la décision à laquelle aboutira l’utilisation. Toutefois une personne doit être informée de l’existence d’un profilage ainsi que de ses conséquences. Il reste à attendre l’adoption de directives pour mettre en œuvres cette obligation renforcée de transparence.

B) 2) Quelle est la pertinence des arguments juridiques invoqués par des opérateurs privés pour limiter l’accès aux algorithmes et/ou aux données ?
Les opérateurs privés qui sont les grandes plateformes d’internet tels que Facebook ou encore Google ne semblent pas encore prêts à accorder autant de transparence et de liberté d’accès concernant les algorithmes utilisés.
En effet, cela se voit par l’argument principal avancé par ces plateformes à savoir la protection de leur propriété intellectuelle, et plus particulièrement celui de la protection du secret des affaires.
Par cette volonté de sauvegarder au maximum leurs droits intellectuels en la matière, il est certain que la conséquence première sera ainsi la limitation de l’accès aux données et aux algorithmes. En effet dans l’élaboration de l’algorithme, il y a une étape de conception et d’apprentissage. Ce sont des éléments essentiels de leur stratégie marketing. C’est un élément de leur patrimoine immatériel. Par exemple avec Facebook et Google, les algorithmes déterminent quelles publication et informations nous paraitront en premier lieu. Cela devient des éléments centraux de leur valeur. Mais n’est-ce pas plus l’ensembles des données qu’ils possèdent traitées par l’algorithmes qui sont la réelle valeur ? En effet les données sont le carburant de l’outil, plus la base de données est grande, mieux il fonctionnera.
Bien entendu, cela peut se comprendre puisque la protection de la propriété intellectuelle est un droit qui peut être valablement exercé par ses plateformes. Toutefois d’autres droits tout aussi importants entrent en concurrence avec celui-là comme en première ligne le droit à la vie privée.
Dès lors une telle restriction à l’accès aux données et aux algorithmes telle qu’opérée par Google par exemple à l’heure actuelle semble disproportionnée comparé à la marge de manœuvre possible du droit à la vie privée dans un tel contexte. Légiférer sur base d’une balance des intérêts entre es différentes prérogatives semble dès lors primordial.

B)3) Faut-il revoir les exceptions aux secrets d’affaires et/ou à l’accès aux documents administratifs pour assurer la transparence des outils d’IA ?
Le but serait de contrôler si en effet l’utilisation des algorithmes est réellement efficace, notamment dans le contrôle des informations publiées sur certaines plateformes ou de contrôler si l’utilisation d’outils de IA permettent en effet la non-discrimination et l’égalité. Un équilibre doit être trouver entre encourager l’innovation et la protection de ceux qui sont soumis à l’utilisation de ces outils.
En effet, l’utilisation de ces outils peut manquer d’objectivité dans les résultats, car ils dépendent de certaines données (mais de toutes celles qui peuvent être prises en compte ?).
Il faut donc rendre intelligible pour chaque citoyen d’où viennent les données qui sont utilisées ainsi que le but de l’outil IA. De plus, cela semble essentiel pour les concepteurs d’acquérir la confiance des utilisateurs dans les outils d’IA qu’ils développent.
Mais comme dit plus haut, c’est surtout la base de données à laquelle l’outils aura accès, qui déterminera sont efficacité. Là est la réelle valeur, et donc le réel enjeu. Car l’accessibilité à un ensemble de données personnelles doit avoir droit à une protection. Il faudrait également une transparence quant aux informations dont l’outil dispose.

A. 1) Avec l’ancien système d’accès à l’enseignement supérieur, beaucoup de critiques ont été soulevées pour son manque de transparence et risque de subjectivité. Le système fonctionnait sur base de critère tel le domicile du candidat ou encore sur une base d’un ordre de souhait de ce candidat. En dernier recourt, un tirage au sort était organisé pour départager les candidats.

La France, consciente des nombreux problèmes liés à cette technique, décida de remanier le système. Dorénavant, le système se base sur une « application uniforme des règles de droit ». C’est à dire que ne sont plus prit en compte les critères personnels des candidats. L’algorithme est beaucoup plus impartial que l’administration lorsque cette dernière était en charge du choix.

Le code source de l’algorithme est considéré comme étant un document administratif, et donc dans un souci de transparence, celui-ci doit être accessible en tout temps par tout le monde, à première demande. La transparence conférée à cet algorithme permet également à l’administration de pouvoir justifier par ce biais sa décision quant à la situation d’un candidat.

La transparence est une nécessité et un droit pour chacun, mais dans la pratique, celle-ci peut-être difficile à garantir pleinement. Dans le cas de l’algorithme, celui-ci est devenu beaucoup plus transparent qu’antérieurement, cependant subsistent certaines zones d’ombres.

A. 2) L’opinion publique est désireuse de connaitre comment fonctionnent les différents algorithmes de ces plates-formes, dans un souci de contrer les effets pervers tels les fausses informations, les propos haineux,… Cependant, les plateformes ne veulent pas divulguer trop d’informations sur leurs algorithmes, ils invoquent le secret d’affaire, mais également la propriété intellectuelle, à juste titre. Par conséquent, on ne peut pas dire qu’il y a vraiment une évolution dans la transparence jusque maintenant, de part cette protection par la propriété intellectuelle. Le temps nous dira si la situation va évoluer, la pression risque sans doute d’être de plus en pus grande sur ces plateformes, étant donné que la problématique des propos haineux est très actuelle.

B. 1) Le droit à l’explication consacre l’idée selon laquelle « une évaluation automatisée des caractéristiques d’une personne conduisant à une prise de décision ne peut être réalisée sur la seule base du traitement automatisé » (Philippe Besse, Céline Castets-Renard, Aurélien Garivier, Jean- Michel Loubes. L’IA du Quotidien peut elle être Éthique ? : Loyauté des Algorithmes d’Apprentissage Automatique. 2018.)

De fait, ce droit permet ainsi de cadenasser les dérives du profilage. Ce droit a été consacré dans le RGPD à l’article 22. Cet article a donc pour conséquence de protéger la vie privée.
Il permet l’intervention humaine lors du traitement des données par l’algorithme. Les données considérées comme sensibles seront exclues du traitement à moins qu’il ait le consentement de l’individu ou bien un intérêt public.

Donc il y a bien un droit à l’explication des algorithmes pour les règles en matière de vie privée.

B. 2) Le principal argument des opérateurs privés pour limiter l’accès aux algorithmes est le droit au secret. Ce droit est prévu à l’art 22 §3 du RGPD. Qui plus est, la directive 2016/943 traite de cette notion. L’article 2 définit le secret d’affaire. Dès lors, il faudra tout d’abord que l’algorithme respecte les conditions de l’article. Les articles 15 et suivants de la directive permettront d’envisager un dédommagement en cas de violation du secret.

B. 3) La transparence des algorithmes est primordiale. En France, ce principe a été consacré par la loi Lemaire en son article 49. Il est dit qu’un opérateur d’une plateforme en ligne doit livrer au consommateur : une information loyale, claire et transparente. Certes, des exceptions sont prévues via les lois, directives, … Mais, nous pensons qu’il faudrait aller encore plus loin dans les exceptions. Pourquoi ne pas prendre exemple sur le système américain ? Aux Etats-Unis, il y a un contrôle des algorithmes. Les universités, ainsi que la FTC contrôlent la transparence des logiciels. Mettre en place un bureau qui sera spécialisé dans ce contrôle pourra avoir un impact positif sur les outils d’IA. (https://perso.math.univ-toulouse.fr/aoc/files/2017/04/Castets-Renard_cadre-l%C3%A9gal-et-%C3%A9thique-des-algorithmes.pdf)

A. Deux points de mise à jour
1. Pouvez-vous résumer les développements en France quant à la transparence du système automatisé d’admission dans l’enseignement supérieur ?
Dans un premier temps, la Commission d’accès aux documents administratifs (la CADA) a rendu un avis en juin 2016 dans lequel elle estimait que le code source de l’algorithme d’Admission Post Bac était un document administratif devant être communiqué aux personnes désirant y avoir accès, moyennant demande, la communication se faisant soit par e-mail, soit sur papier. En mars 2017, un décret a été adopté afin de légiférer sur le droit des personnes faisant l’objet d’une décision individuelle prise sur le fondement d’un traitement algorithmique. La personne a ainsi le droit d’accéder à divers éléments à l’issue du traitement par l’algorithme.
Cependant, en août 2017, soit cinq mois après l’adoption du décret susmentionné, la CNIL (Commission nationale de l’informatique et des libertés de France) publie un communiqué dans lequel elle reproche au Gouvernement français, et plus particulièrement au Ministère de l’Enseignement supérieur, d’utiliser un système dont la transparence n’est pas assurée, d’autant plus qu’il s’agit d’un système utilisé afin de prendre des « décisions produisant des effets juridiques à l’égard d’une personne », et que de telles décisions « ne [peuvent] être [prises] sur le seul fondement d’un traitement automatisé de données » (art 10 de la loi Informatique et Libertés) (1).
Enfin, le Règlement RGPD adopté en 2016 et entré en vigueur en 2018, prévoit en son considérant 63 que « toute personne concernée [par le traitement de données personnelles] devrait avoir le droit de connaître […] la logique qui sous-tend leur éventuel traitement automatisé » (2). Cependant, cette information n’est imposée que dans le cadre d’un traitement entièrement automatisé, ce que n’est pas ParcourSup (nouveau nom d’APB). La CNIL encourage cependant la transmission d’une telle information. (3)
La transparence quant au système automatisé d’admission à l’enseignement supérieur est donc encouragée et revendiquée par certains organismes et associations, mais elle n’est pas obligatoire malgré l’adoption du RGPD.
(1) Pasquier, M., « Les secrets de la protection des algorithmes », (https://www.eurojuris.fr/categories/marques-et-brevets-8300/articles/protection-algorithme-37422.htm#_ftn19)
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
(3) « Parcoursup et les établissements d’enseignement supérieur » (26 décembre 2018) (https://www.cnil.fr/parcoursup-et-les-etablissements-denseignement-superieur)

2. Est-ce que l’on a progressé en ce qui concerne la transparence des algorithmes de Facebook, Google et Twitter et de l’usage de l’IA comme remède à la propagation des propos haineux sur ces réseaux sociaux ?
En 2016, la commission avait signé un accord (Code of Conduct) avec Facebook, Twitter, YouTube et Microsoft afin de lutter contre la diffusion en ligne de discours de haine illégaux en Europe. Ces Entreprises de technologie de l’information s’étaient engagées à être plus proactive en mettant en place des procédures efficaces d’examen afin de signaler et bloquer, dans un délai approprié, ces propos illégaux. (1)
A l’heure actuelle, la commission révèle que cette coopération entre les autorités nationales, les plateformes informatiques et la société civile a atteint des résultats intéressants. En effet, 89 % des contenus signalés sont évalués dans un délai de 24 heures et 72% sont par la suite supprimés contre 40% et 28 % en 2016. De plus, cette coopération s’est agrandie puisque Instagram, Google+, Dailymotion, Snapchat et Webedia ont également adhéré au Code of Conduct. (2) Cependant l’Europe encourage davantage les plateformes à faire preuve de plus de zèle en ce qui concerne la transparence, notamment en publiant des rapports annuels contenant les types de demande, le temps de traitement, les sources, les avis de contestation et la réponse finale. (3)
Ces géants de l’internet utilisent des outils de détection basés sur l’apprentissage automatique (machine learning) afin de détecter des propos haineux mais une étude a démontré que ces programmes seraient faciles à berner simplement en supprimant les espaces entre les mots ou en ajoutant des termes inoffensifs. (4)
De janvier à juin 2019, Facebook a déclaré qu’il allait partager le secret de ses technologies d’intelligence artificielle dont les algorithmes avec le CNIL, ARCEP et l’autorité de la concurrence en France afin de combattre la prolifération des propos haineux. Il s’agit d’une véritable « expérimentation inédite » puisque cette coopération est la clé afin de trouver un remède efficace contre la cyberhaine qui nage dans un grand flou législatif jonglant entre les contenus véritablement offensants et le « deuxième degré » (5).
(1) Commission européenne – Communiqué de presse du 31 mai 2016 « La Commission européen et les entreprises des technologies de l’information annoncent un code de conduite relatif aux discours haineux illégaux en ligne », http://europa.eu/rapid/press-release_IP-16-1937_fr.htm
(2) Commission européenne – Fiche d’information “Le code de conduite visant à combattre les discours de haine illégaux en ligne : questions et réponses sur la quatrième évaluation », http://europa.eu/rapid/press-release_MEMO-19-806_fr.htm
(3) Communication from the Commission to the European Parliament, the Council, the European economic and social Committee and the Committee of the Regions, « Tackling Illegal Content Online, Towards an enhanced responsibility of online platforms », Brussels, 28.9.2017 COM (2017) 555 final, https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=47383
(4) ZAFFAGNI, Marc (2018,17 sept.), « Contenus haineux sur Internet : les IA qui les traquent sont faciles à tromper », Futura Tech, https://www.futura-sciences.com/tech/actualites/intelligence-artificielle-contenus-haineux-internet-ia-traquent-sont-faciles-tromper-72860/
(5) ROLLAND, Sylvain (2018, 12 nov.), “Facebook ouvre pour la première fois ses algorithmes à l’Etat pour lutter contre les contenus haineux », La Tribune, https://www.latribune.fr/technos-medias/internet/facebook-ouvre-pour-la-premiere-fois-ses-algorithmes-a-l-etat-pour-lutter-contre-les-contenus-haineux-797199.html

B. Questions ouvertes pour discussion
Une multitude d’outils intelligents sont en train d’être déployés dans divers secteurs. Les logiciels de jeu ne posent bien entendu pas les mêmes problèmes que les systèmes de conduite autonome. De même, l’usage d’algorithmes dans la décision administrative soulève d’autres questions de transparence que leur implémentation pour proposer des recommandations ou classer les informations en ligne sur les réseaux sociaux. A chaque fois, l’accès aux données ou aux recettes de fabrication des décisions algorithmiques sont centrales.
Voici trois questions à se poser :
1. Y a-t-il un droit à l’explication des algorithmes dans les règles en matière de vie privée ?
Le Règlement général sur la protection des données d’avril 2016 (Règlement (UE) 2016/679) relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (1), fixe aussi des normes qui concernent l’utilisation des algorithmes dans la collecte de données dont, éventuellement, un « droit à l’explication » au regard des processus de prise de décision. Il s’agit d’un élément important afin de comprendre si le droit à la vie privée est respecté ou pas. Ce droit d’explication est tout de même contesté.
Il est important de d’abord comprendre qu’elle est la portée de ce droit d’explication. Ce droit dérive de trois bases légales distinctes (3). La première base légale est la sauvegarde contre la prise de décision automatique selon l’article 22 paragraphe 3, et considérant 71. Suite à la prise de décision, le titulaire de ses données personnelles a au moins le droit de demander au responsable qui traite les données « d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision » mais non d’obtenir un droit d’explication. Ce droit est explicitement prévu dans le considérant 71, qui n’est qu’un commentaire, un guide des articles non contraignant. La deuxième base légale porte sur les informations qui doivent être fournies selon les articles 13 et 14 et les considérants 60 à 62. Ceci est contesté étant donné qu’il ressort d’une lecture plus approfondie des articles que ce droit à l’explication de l’existence et du fonctionnement de la procédure utilisée peut être exercé avant la prise de décision en tant que telle, et uniquement sur la procédure en général, et non pour chaque décision individuelle. La troisième base légale porte sur le droit d’accès selon l’article 15, considérant 63 du RGPD. Encore une fois ce droit se limite au fonctionnement du système et non sur l’analyse d’une décision spécifique étant donné que ce droit est limité par le secret d’affaire.
La contestation du droit à l’explication du RGPD est due au fait que l’accès au traitement algorithmique est limité par la protection apportée par le secret d’affaire. Plus précisément, le code de l’algorithme est protégé par la directive européenne sur le secret d’affaires adopté en 2016 (4). Selon le considérant 34 de cette directive, cette dernière « respecte les droits fondamentaux et observe les principes reconnus notamment par la Charte, en particulier le droit au respect de la vie privée et familiale, le droit à la protection des données à caractère personnel (…) tout en respectant le secret des affaires ». Le considérant 35 précise que la directive sur les secrets d’affaire « ne devrait pas avoir d’incidence sur les droits et obligations fixés par la directive 95/46/CE, notamment le droit de la personne concernée d’accéder aux données à caractère personnel la concernant qui font l’objet d’un traitement (…) ». Il ressort de cela que le droit à la vie privée prévaut sur le droit à la protection du secret d’affaire (5).
Ce droit à l’explication joue donc un rôle important pour la garantie du droit à la vie privée. Il devient de plus en plus important pour les utilisateurs de comprendre le système utilisé par chaque algorithme qui traite des données car il devient de plus en plus difficile de protéger non seulement la vie privée mais également d’autres libertés individuelles. Les résultats d’un algorithme ont un impact sur la vie des individus, les algorithmes ne se limitant pas seulement au filtrage du contenu mais aussi aux résultats fournis. L’algorithme contrôle d’une façon le comportement des utilisateurs qui eux deviennent de plus en plus dépendants à ces algorithmes. La violation de l’autonomie individuelle rentre donc en lien directe avec la violation de la vie privé des individus (6).

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
(2) Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites
(3) Malgieri, G. and Comandé, G., « Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation » (November 13, 2017). International Data Privacy Law, vol. 7, Issue 3, p.31. (https://ssrn.com/abstract=3088976)
(4) Malgieri, G. and Comandé, G., « Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation » (November 13, 2017), in International Data Privacy Law, vol. 7, Issue 3, p.34. (https://ssrn.com/abstract=3088976)
(5) De Filippi, P., « Gouvernance algorithmique : Vie privée et autonomie individuelle à l’ère des Big Data », in De Filippi, P. et Bourcier, D., Open Data & Data Protection : Nouveaux défis pour la vie privée, Mare & Martin, 2016, p. 19
(6) Strowel, A., « Big Data and Data Appropriation in the EU », in Aplin, T., (ed.), « Research Handbook on Intellectual Property and Digital Technologies », Edward Elgar : Camberley, 2018

2. Quelle est la pertinence des arguments juridiques invoqués par des opérateurs privés pour limiter l’accès aux algorithmes et/ou aux données ?
Plusieurs stratégies sont mises en place afin d’assurer un avantage concurrentiel pour les entreprises qui créent des systèmes d’intelligence artificielle. Les deux stratégies les plus répandues sont le contrôle de l’accès aux données et aux algorithmes (1).
Afin de limiter l’accès, ces opérateurs privés invoquent principalement le secret d’affaire ainsi que la protection de leur propriété intellectuelle. Il s’agit d’un conflit entre la transparence du traitement des données et le droit à la protection du secret d’affaire. Comme déjà évoqué à la question précédente ce secret d’affaire résulte de la restriction au droit à l’explication, plus précisément ici au droit à l’accès aux algorithmes et données. Il a également déjà été vu que l’algorithme est protégé par une directive européenne de 2016 (2). Les opérateurs privés disposent donc d’une base légale pour soutenir cette restriction mais il est nécessaire de voir quelle est la portée de cette protection.
Il ressort du considérant 63 du RGPD (3) que le droit d’accès aux données personnelles « ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel » mais précise que « ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée ». On en déduit donc que le droit d’accès peut être limité mais pas complétement refusé (4). Concernant la limitation de l’accès aux algorithmes par la propriété intellectuelle, celui-ci peut être protégé par le droit d’auteur s’il répond aux conditions nécessaires.
Un argument invoqué par les opérateurs privés afin de limiter l’accès des données qu’ils collectent est le droit de propriété qui résulte de l’appropriation des données. Très souvent cette appropriation peut être le résultat d’une relation contractuelle (5), par un contrat de vente par exemple entre entreprises. Il est également possible de protéger la propriété de ces données par le secret d’affaire si les conditions prévues à l’article 2 de la Directive de 2016 sont réunies, mais cela est contesté. L’idée de s’approprier des données fait débat et crée des avis opposés. Les grands opérateurs commerciaux privés exercent un contrôle important sur ces données et créent ce droit de propriété. On est loin d’un système d’open data dans le secteur privé. Enfin, il est intéressant de voir que le modèle du libre accès aux algorithmes et à l’accès refusé des données, « the proprietary data model », est le modèle le plus répandu dans le marché (6).
(1) The role of data in Artificial Intelligence, Jared Robert Keller, p.10 (https://theodi.org/article/the-role-of-data-in-ai-business-models/)
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
(3) Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites
(4) Malgieri, G., and Comandé, G., « Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation » (November 13, 2017), International Data Privacy Law, vol. 7, Issue 3, p.34.
(5) Strowel, A., « Big Data and Data Appropriation in the EU », in Aplin, T., (ed.), Research Handbook on Intellectual Property and Digital Technologies, Edward Elgar : Camberley, 2018 (http://hdl.handle.net/2078.3/141667)
(6) The role of data in Artificial Intelligence, Jared Robert Keller, p.13 et16 (https://theodi.org/article/the-role-of-data-in-ai-business-models/)

3. Faut-il revoir les exceptions aux secrets d’affaires et/ou à l’accès aux documents administratifs pour assurer la transparence des outils d’IA ?
Le secret d’affaire constitue un obstacle à la transparence des outils d’intelligence artificielle. Il est nécessaire afin d’assurer une transparence optimale d’avoir un droit à l’explication des systèmes de traitement. Toutefois, il a été vu plus haut que ce droit n’est finalement qu’un simple droit à être informé qui fournit un accès limité à ces systèmes. Cet accès est très limité par le secret d’affaire qui est protégé par une directive européenne de 2016 (1), utilisé par les opérateurs afin de protéger leur code est garantir un avantage concurrentiel étant donné qu’il constitue pour plusieurs la base de leur stratégie commerciale. Il s’agit en principe un problème qui se pose surtout concernant les opérateurs privés.
Afin de garantir une plus grande transparence, il faut que l’on procède à un véritable droit à l’explication permettant aux individus de comprendre en profondeur le fonctionnement d’un algorithme. Outre la simple accessibilité, il serait plus judicieux de recevoir une « motivation formelle » (2), qui permet aux individus de véritablement comprendre comment fonctionne chaque algorithme pour chaque décision concernée indépendamment. Cette motivation sera rédigée dans un langage clair et compréhensible par des individus non spécialisés dans le domaine. Ils auront alors une vision plus claire de la portée, des objectifs commerciaux et des implications socio-économiques des algorithmes entre autres (3). Plus précisément, le fait d’avoir la capacité de comprendre certaines informations, « readability » (4), ne signifie pas qu’un individu est en position de comprendre le raisonnement algorithmique en profondeur. Ceci signifie que même si l’accès à certaines informations donne le moyen aux individus de mieux comprendre, la transparence n’est pas atteinte, étant donné que la compréhension n’est pas totale mais très limitée (5).
Il y a un mouvement de plus en plus répandu concernant l’adoption d’un système de data et d’algorithmes librement accessible afin de mieux garantir la transparence surtout dans le secteur de l’administration publique. Ce mouvement conduit à l’adoption de plus en plus de lois qui portent sur la liberté d’information ou l’accès aux documents administratifs. C’est le résultat de cette évolution qu’on voit se dérouler en France portant sur l’algorithme utilisé afin de prendre la décision concernant le choix des universités.

(1) Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites
(2) Gérard, L., « Titre 5 – Robotisation des services publics : l’intelligence artificielle peut-elle s’immiscer sans heurt dans nos administrations ? » in L’intelligence artificielle et le droit, Bruxelles, Éditions Larcier, 2017, p. 431
(3) Malgieri, G. and Comandé, G., « Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation, International Data Privacy Law », Volume 7, Issue 4, 1 November 2017, p. 245, (https://doi.org/10.1093/idpl/ipx019)
(4) idem
(5) idem

A- Mise à jour

1. Pouvez-vous résumer les développements en France quant à la transparence du système automatisé d’admission dans l’enseignement supérieur?

Le Code de l’éducation nationale français garantit à tout bachelier l’accès à l’enseignement supérieur.

Sous le régime d’APB, les étudiants rendaient une liste hiérarchisée de voeux représentant les filières vers lesquelles ils souhaitaient s’orienter.

L’algorithme octroyait à chacun son premier voeu dans la mesure du possible mais pour les formations en tensions, c’est-à-dire celles pour lesquelles il y a trop de candidats, un tirage au sort était effectué (1). Ce système a été fortement critiqué pour deux raisons: les étudiants recevaient leur résultat de filière sans aucune explication quant à la procédure effectuée par l’algorithme, ce qui démontre un grand manque de transparence et le système de tirage au sort était considéré comme trop aléatoire pour une décision d’une telle importance et a d’ailleurs été jugé illégal depuis lors (2).

En juillet 2017, 87 000 étudiants n’avaient toujours pas eu leur choix d’études supérieures.

Le système APB a ainsi été fermé au cours de la même année et remplacé par une nouvelle plateforme, Parcoursup, sur une promesse de campagne d’Emmanuel Macron (3).

Parcoursup se veut novateur en ce sens qu’il n’y a plus de hiérarchisation des voeux et qu’il se veut plus en transparence.

Basé sur l’algorithme de Gale-Shapley, Parcoursup établi une interaction entre le programme et l’étudiant en contactant ce dernier lorsque l’algorithme a besoin d’informations pour avancer dans la procédure d’attribution des filières.
Pour assurer la transparence promise, l’algorithme en question a été publié dans un rapport et une équipe s’occupe de la certification du code (4).

Malgré ces progrès, un désaccord subsiste quant à l’efficacité de Parcoursup par rapport à son prédécesseur APB. En outre, il n’est désormais plus possible de connaître le pourcentage d’étudiants ayant obtenu leur premier choix étant donné que les voeux ne sont plus hiérarchisés (5).

La mathématicienne Claire Mathieu rappelle avec justesse que même avec le meilleur algorithme du monde, il ne serait pas possible d’attribuer à chacun son premier voeu à cause des formations en tension (6). C’est à ce niveau qu’intervient donc la procédure complémentaire qui organise une sorte de deuxième tour en ouvrant uniquement les filières encore capables d’accueillir des candidats (7).

2. Est-ce que l’on a progressé en ce qui concerne la transparence des algorithmes de Facebook, Google et Twitter et de l’usage de l’IA comme remède à la propagation des propos haineux sur ces réseaux sociaux?

Les chercheurs ont pour objectif que l’IA puisse combattre les fake news, la diffamation, les discours de haine et la discrimination sur internet. Mais ils se heurtent à un problème de taille : les algorithmes de diffusion de l’information ne sont pas toujours publics, les grands de l’internet invoquent le secret d’affaire pour protéger leur technologie. Google a même interdit aux chercheurs de créer des faux profils pour tenter d’analyser les codes de diffusion de l’information.

En France, la Loi numérique impose une certaine transparence des logiciels mais ce n’est pas toujours facile à mettre en oeuvre. Les codes sont seulement publiés partiellement, ce qui ne permet pas de pouvoir extraire toutes les informations souhaitées et de comprendre comment ils fonctionnent. Pourtant les ONG réclament toujours plus de transparence (8). L’intérêt des utilisateurs réside surtout dans le fait de démontrer la loyauté de ces algorithmes. Il faut dresser la liste des biais possibles de ces codes. Aux Etats-Unis, des études ont déjà été menées à ce sujet (9).

Le Règlement européen sur la protection des données amène plus de protection légale à l’échelle européenne. Il permet à chacun de refuser la décision qui aurait été prise par une machine et de demander une intervention humaine (10).

Récemment, Facebook s’est engagé à partager à partir du 1er janvier 2019 ses méthodes de lutte contre la discrimination sur internet avec une équipe de chercheurs issus de diverses autorités françaises. Le but est de travailler sur une régulation commune (11). Cependant la transparence est loin d’être acquise, et ce pour une raison simple : les géants de l’internet ne céderont pas de sitôt leur principal atout économique (12). La voie vers la transparence est ouverte mais est encore loin d’être garantie.

B- Questions ouvertes

1. Y a-t-il un droit à l’explication des algorithmes dans les règles en matière de vie privée?

En France la Loi numérique protège le droit à l’accès des algorithmes mais n’est pas facile à mettre en oeuvre. Dans le Code des relations entre le public et l’administration, le nouvel article R. 311-3-1-2 consacre un véritable droit d’accès à l’information prise par décision algorithmique pour la personne concernée (13).

Dans le Règlement européen pour la protection des données, tout intéressé a le droit d’avoir accès aux données collectées sur lui, d’en connaître la finalité. Il existe donc un “right to explanation”. Les articles 13, 15 et 22 traitent de ce droit, ainsi que le Considérant 63. Le Règlement impose également de réaliser une étude sur l’impact des données collectées par ces algorithmes (14).

Il existe donc bien un droit à l’explication des algorithmes à l’échelle européenne ou en France par exemple, mais celui-ci n’est pas toujours facile à implémenter.

2. Quelle est la pertinence des arguments juridiques invoqués par des opérateurs privés pour limiter l’accès aux algorithmes et/ou aux données?

Les opérateurs privés invoquent bien souvent le secret d’affaire pour limiter l’accès aux algorithmes et données.

Ils utilisent cet argument car les algorithmes ne peuvent concrètement être protégés par le droit d’auteur et le brevet (15). D’une part, le droit d’auteur ne peut bénéficier qu’au logiciel en tant que support de l’algorithme, et pas l’algorithme en tant que tel. Ainsi, un tiers serait libre d’utiliser l’algorithme contenu dans le logiciel s’il réussit à l’y extraire. D’autre part, si le concepteur d’algorithme décide de faire breveter celui-ci, il devra obligatoirement divulguer son algorithme qui sera « figé » par le brevet. Or, comme l’algorithme a vocation à évoluer, il faudrait alors déposer sans cesse des brevets de perfectionnement.

Reste alors le secret afin de protéger les entreprises. Le secret ne nécessite pas de formalités de procédures et offre une durée de protection illimitée. Une directive de l’UE de 2016/943 du 8 juin 2016 dite « secrets des affaires » peut s’appliquer aux algorithmes sous trois conditions.

Tout d’abord, les informations relatives aux algorithmes sont secrètes. Cela veut dire qu’elles ne sont pas connues de personnes qui sont en relation avec ce milieu précis. Ensuite, de par leur secret, elles ont une valeur commerciale. Finalement, les informations font l’objet de mesures prises afin de les gardées secrètes.

Avec ces trois conditions réunies, l’algorithme est effectivement protégé par le secret des affaires (16).

Toutefois, de nombreux auteurs essayent de démontrer l’absence de pertinence du secret des affaires lorsqu’il s’agit d’algorithmes régulant des sentences criminelles. Les concepteurs d’algorithmes refusent de divulguer des détails à propos de la façon dont leur algorithmes fonctionnent, même sous injonction, aux avocats de la défense. Pour l’instant, en 2015, une Cour d’Appel de Californie a donné raison à l’entreprise qui prônait le secret d’affaires pour ne pas divulguer le fonctionnement de son algorithme (17).

3. Faut-il revoir les exceptions aux secrets d’affaires et/ou à l’accès aux documents administratifs pour assurer la transparence des outils d’IA?

Plusieurs auteurs s’accordent pour dire qu’il faut assurer une plus grande transparence des outils d’IA.

Selon un rapport du député-mathématicien français Cédric Villani, il faudrait créer des droits collectifs sur les données. Il faudrait de plus accroître la transparence des systèmes autonomes et assurer que les organisations utilisant ces systèmes soient considérés comme responsables des éventuels dommages subis par des tiers à cause de ces systèmes. (A moins que l’on crée un régime de responsabilité personnel de l’IA) (18).

Ce même rapport démontre que les IA reproduisent des biais (notamment racistes et sexistes), car les IA de Deeplearning se basent sur des données avec une approche purement statistique et, dès lors, reproduisent ces statistiques. Les IA donnent des réponses, sans fournir d’explication de ces réponses (19).

Les entreprises elles-mêmes admettent leur incapacité à fournir une explication quant aux résultats donnés par les IA (20).

Avoir plus d’accès, d’explications et de transparence sur le fonctionnement des IA peut dès lors être considéré comme un enjeu démocratique (21). D’autant plus que la capacité des IA de nous analyser et de pénétrer dans notre vie privée peut être immense (22).

Il faut aussi revoir les exceptions des secrets d’affaires et/ou d’accès aux documents administratifs simplement afin que les entreprises soient conformes aux GDPR. Elles admettent aisément ne pas savoir comment y arriver (23).

En effet, pour l’instant, le RGPD indique dans son considérant 63 et ses articles 13 et 22 que le responsable du traitement, lors d’une procédure de décision automatisée, doivent être capables de fournir les « informations utiles concernant la logique sous-jacente » de cette décision automatisée, « ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée. Il a été considéré qu’il s’agirait d’une obligation de révéler une partie de leur algorithme (24).

Dans cette même vague, des auteurs poussent à une utilisation plus grandes d’IA transparente (avec cependant le risque de reverse engineering) que d’IA opaque (par exemple, lorsqu’il y a du machine learning) afin que les personnes lambda puissent mieux comprendre les décisions qui sont prises à leur propos (25).
C’est dans cette optique de transparence que Google a récemment, en juin 2018, lancé une Charte sur l’IA, disant notamment que « L’opacité des programmes d’intelligence artificielle rend leurs décisions parfois impossibles à expliquer par leurs propres concepteurs. Google travaille donc à la transparence de ses algorithmes, «nos technologies d’IA feront l’objet d’une direction et d’un contrôle humains appropriés» (26) (27).

Sources:

1. France Info, “L’article à lire pour comprendre ce qui ne marche pas avec le logiciel APB”, 20 juillet 2017.
2. Le Monde, “La transparence des algorithmes en question, 9 avril 2018.
3. Wikipédia, Admission Post Bac.
4. Le Monde, “Parcoursup, les dessous de l’algorithme”, 28 janvier 2019.
5. 20 Minutes, “Alors au final, Parcousup fait-il mieux qu’APB ?”, 20 septembre 2018.
6. Le Monde, “Parcoursup, les dessous de l’algorithme”, 28 janvier 2019.
7. Studyrama, “Parcoursup, la phase complémentaire, mode d’emploi”, 28 juin 2018.
8. Le Monde, “La transparence des algorithmes en question, 9 avril 2018.
9. Sciences et Avenir, “TransAlgo, une plate-forme scientifique pour juger de la transparence des algorithmes”, 22 décembre 2016.
10. Le Vif, “Fake news : les algorithmes des réseaux sociaux et des sites web incriminés”, 15 juillet 2018.
11. La Tribune, “Facebook ouvre pour la première fois ses algorithmes à l’état pour lutter contre les contenus haineux”, 12 novembre 2018.
12. Le Vif, “Fake news : les algorithmes des réseaux sociaux et des sites web incriminés”, 15 juillet 2018.
13. IP Digit, “Quel menu pour nourrir l’intelligence artificielle ? Pouvez-vous passer la carte ?”, 8 mai 2018.
14. ZD Net, “Machine learning : le droit à l’explication de l’utilisateur à l’épreuve du RGPD”, 19 septembre 2018.
15. Eurojuris, “Les secrets de la protection d’un algorithme, 12 octobre 2017.
16. Linkedin, “La protection juridique des algorithmes est-elle possible ?”, 15 septembre 2018.
17. NY Times, “When a Computer keeps you in jail”, 13 juin 2017.
18. L’écho, “Faut-il réglementer l’intelligence artificielle ?”, 19 avril 2018 .
19. Le Figaro, “Pour éviter le danger des boites noires, l’intelligence artificielle doit devenir explicable”, 29 mars 2018.
20. We Live Security, “Transparency of machine-learning algorithms is a double-edged sword”, 13 novembre 2017.
21. Le Figaro, “Pour éviter le danger des boites noires, l’intelligence artificielle doit devenir explicable”, 28 mars 2018.
22. Le Big Data, “ITW Pegasystems : pourquoi l’intelligence artificielle doit être transparente”, 21 février 2019.
23. We Live Security, “Transparency of machine-learning algorithms is a double-edged sword”, 13 novembre 2017.
24. Eurojuris, “Les secrets de la protection d’un algorithme, 12 octobre 2017.
25. Relation client Mag, “Intelligence artificielle : opacité ou transparence ?”, 16 avril 2018.
26. Le Figaro, “Google se dote de 7 grands principes pour faire bon usage de l’intelligence artificielle”, 22 juin 2018.
27. Pichai S., AI at Google: our principles, 7 juin 2018.

Réponses aux questions réalisées par Céline Brauns, Marine Carbon et Julie Michels :

A. Deux points de mise à jour
1). Pouvez-vous résumer les développements en France quant à la transparence du système automatisé d’admission dans l’enseignement supérieur ?

L’ancien système utilisé en France pour répartir les étudiants français entre les différents établissements d’études supérieures était géré par la plateforme Admission Post-Bac (APB). Il a été conçu de manière à réunir en un site toutes les formations supérieures offertes et permettre ainsi aux étudiants d’en prendre connaissance. Ce système manquait de transparence, a été fortement critiqué et finalement, remplacé par la plateforme ParcourSup.

Le système APB utilisait un algorithme de sélection impliquant qu’un tirage au sort départageait les étudiants entre les différents établissements. D’une part, les candidats étaient classés selon leur domicile. Si quelqu’un résidant à Paris souhaitait étudier à Paris, il était prioritaire par rapport à un étudiant habitant Lyon et qui souhaitait aussi étudier à Paris. D’autre part, les candidats émettaient 24 voeux de formation qu’ils hiérarchisaient. Cet ordre de priorité était pris en compte par l’algorithme. Si le premier choix d’un candidat (A) correspondait au deuxième choix d’un autre candidat (B), le candidat (A) était considéré comme prioritaire sur l’autre candidat dans l’attribution de cette formation. Le système APB ainsi conçu mettait en place un système de tours qui a été critiqué.

Ce système a également été critiqué car l’attribution des formations aux candidats sur base d’une décision algorithmique ne faisait l’objet d’aucun contrôle humain et était, ainsi, contraire à l’article 10 alinéa 1er de la loi du 6 janvier 1978 Informatique et Libertés. Ce dernier dispose qu’« aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ». De plus, en 2017, après sa mise en oeuvre, un nombre élevé d’étudiants ne s’était vu attribuer aucun établissement.

Pour ces différentes raisons, le gouvernement français a décidé de procéder à une modification du système APB qui manquait de transparence. Cet ancien système est devenu la plateforme Parcoursup, un système qui se veut plus transparent et plus juste.

Les futurs étudiants français du supérieur sont invités à formuler différents choix de formations proposées par les établissements scolaires supérieurs jusqu’au 14 mars 2019. Pour chaque formation proposée, différentes informations sont indiquées telles que le contenu de l’enseignement, les connaissances et compétences attendues, les critères généraux d’examen des voeux, le nombre de places proposées en 2019 ou encore le nombre de candidats en 2018 et le nombre d’entre eux qui ont été admis.

Le candidat est invité à formuler jusqu’à 10 voeux de formation et à motiver ses choix. Il ne doit procéder à aucun classement hiérarchique parmi ses différents choix. Ainsi, il n’est pas poussé à choisir des formations par défaut. Chaque voeu est examiné par les universités et non plus par un algorithme. De plus, l’examen est opéré “ au regard de la cohérence entre, d’une part, le projet de formation du lycéen, apprenti ou étudiant en réorientation, ses acquis et ses compétences et, d’autre part, les attendus de la formation et critères généraux d’examen définis par la formation”. Ensuite, dans un souci et objectif de transparence, le site Parcoursup indique pour chaque formation spécifique, les différents critères pris en compte pour l’examen d’une candidature. Enfin, lors de l’examen de la candidature, dans un souci d’égalité entre les candidats, différentes données seront anonymisées telles que le nom, le prénom, l’âge et le domicile du candidat.

Entre le 15 mai et le 19 juillet 2019, les candidats recevront des réponses à leurs différents voeux soit positives, soit négatives ou alors elles indiqueront le fait que le candidat est sur liste d’attente et sa place dans celle-ci. En cas de réponse positive, un certain délai sera indiqué pour que le candidat puisse répondre à la proposition d’admission.

Le caractère détaillé de chaque étape de la procédure sur le site de Parcoursup démontre un souci de transparence et une volonté que les étudiants aient accès à toutes les informations pertinentes pour procéder à leur choix d’études. Ce système est donc beaucoup plus transparent que l’ancien système qui reposait uniquement sur la seule volonté algorithmique puisqu’il permet aussi une intervention humaine en laissant les établissements d’Enseignement supérieur, les lycées et les rectorats procéder à l’examen des voeux.

Sources :
https://www.neoresid.com/parcoursup/
https://www.rtl.fr/actu/debats-societe/admission-post-bac-2017-comment-ca-marche-7787739322
https://interstices.info/dapb-a-parcoursup-quelles-methodes-daffectation-post-bac/
https://www.ladepeche.fr/article/2017/11/17/2686564-nouvelle-plateforme-apb-tout-va-changer-bacheliers.html
https://www.parcoursup.fr/

2). Est-ce que l’on a progressé en ce qui concerne la transparence des algorithmes de Facebook, Google et Twitter et de l’usage de l’IA comme remède à la propagation des propos haineux sur ces réseaux sociaux?

Au fil du temps, les réseaux sociaux sont devenus un lieu de diffusion de messages haineux qui peuvent prendre différentes formes telles que le racisme, la xénophobie, l’homophobie, le cyberharcèlement, le sexisme, la diffamation ou encore l’antisémitisme. Dès lors, en 2016, les quatre grands acteurs du Web: Facebook, Microsoft, YouTube et Twitter et la Commission européenne ont adopté un Code de conduite pour lutter contre les discours haineux illégaux. En 2018, ils ont été rejoints par Google+, Instagram, Snapchat et Dailymotion.

L’objectif du code est d’éviter qu’Internet ne devienne un lieu de “propagation virale des discours haineux illégaux diffusés en ligne”. Par ce code de conduite, ces grandes entreprises des technologies de l’information se sont engagées à “mettre en place des procédures claires et efficaces d’examen des signalements de discours haineux illégaux diffusés via leurs services de manière à pouvoir retirer les contenus concernés ou à en bloquer l’accès”. Ils se sont engagés à agir de la sorte dans les 24 heures du signalement d’un contenu haineux par un utilisateur Internet.
Depuis son adoption, le respect des engagements contenus dans le Code est régulièrement évalué par des ONG et des instances publiques. Une quatrième évaluation effectuée en février 2019 a montré que 89% des contenus considérés comme des discours haineux illégaux signalés sont évalués par les entreprises des technologies de l’information dans les 24 heures et que 72% de ces contenus sont supprimés. Cela témoigne d’une progression de respectivement 40% dans l’évaluation des contenus et de 44% dans la suppression des contenus depuis le lancement du Code. On peut constater par là que les réseaux sociaux et différentes plateformes internet sont très actifs dans la lutte contre les contenus haineux.

Un autre élément qui témoigne de cela est le développement notamment par Facebook, Google et Twitter d’outils basés sur l’intelligence artificielle dont le but est de détecter et supprimer les contenus à caractère haineux présents sur Internet. Cependant, ces outils sont encore à un stade peu avancé de développement car les algorithmes ne sont pas encore assez entraînés pour détecter de manière certaine un contenu haineux.

En ce qui concerne la transparence des algorithmes de Facebook, il semble il y a avoir eu une certaine avancée. Depuis le 1er janvier 2019 et pour une durée de 6 mois, Facebook a accepté de partager avec différents représentants des régulateurs français, à savoir la “CNIL”, l’“ARCEP” et l’Autorité de la Concurrence, la manière dont ses algorithmes travaillent pour “ identifier, catégoriser et éventuellement supprimer les contenus haineux”. Ces experts français seront néanmoins soumis au secret d’affaires.

À l’inverse d’un contenu présentant un caractère terroriste ou pédopornographique qui est aisément détectable par les outils d’intelligence artificielle, il est beaucoup plus difficile pour un algorithme de détecter et d’identifier un contenu à caractère haineux. Avec les messages haineux, l’on se trouve à la frontière avec la liberté d’expression et il n’est pas aisé pour un outil d’intelligence artificielle de détecter s’il s’agit d’humour, second degré, ironie rentrant dans cette forme de liberté ou bien si le message est à caractère haineux et doit alors être supprimé. Cela constitue une difficulté évidente dans l’usage de l’intelligence artificielle comme moyen de lutter contre la propagation de la haine sur le Web.

Un entraînement conséquent des algorithmes pour que l’intelligence artificielle devienne un outil efficace dans cette lutte est nécessaire. À l’heure actuelle, une intervention humaine pour réguler les propos haineux et les supprimer est toujours indispensable. C’est ce que font les grands réseaux sociaux qui engagent ce que l’on appelle des modérateurs de contenu.

En ce qui concerne la transparence des algorithmes de Google concernant les messages haineux, il ne semble pas il y avoir de l’avancée en la matière. Cela s’explique sans doute par le secret industriel entourant le fonctionnement de ses algorithmes.

Toutefois, Jigsaw, la branche spécialisée en innovation technologique de Google, a mis au point, “une nouvelle solution de modération des commentaires en ligne mettant l’intelligence artificielle au service de la chasse aux propos haineux”, par le biais d’un outil nommé Perspective. Celui-ci est utilisé pour lutter contre “les commentaires discriminatoires ou incitant à la haine postés sur internet”.
Plus spécifiquement, Perspective est une “API” c’est-à-dire une interface de programmation qui utilise le modèle du “machine learning” ou en français, apprentissage automatique afin de percevoir l’impact que pourrait avoir un commentaire dans une conversation. Ce premier modèle a pour effet de mesurer à quel point un commentaire pourrait être considéré comme “haineux”. Néanmoins, cet outil doit encore être amélioré puisqu’il confond des messages haineux avec des messages positifs. De plus, cet outil pourra constituer une aide importante pour les modérateurs, car il pourra les aider à détecter plus rapidement les commentaires haineux. Enfin, Perspective permettra aux utilisateurs d’être alertés quant à un potentiel risque de suppression de leur message avant même que celui-ci n’ait été publié si celui-ci devait présenter un caractère haineux.

En ce qui concerne la diffusion de messages haineux sur Twitter, l’on peut souligner l’initiative de la société Possible qui a décidé de lutter contre ceux-ci dans le cadre d’une campagne baptisée “We Counter Hate”. Celle-ci agit par le biais d’un outil d’intelligence artificielle qui détecte les retweets contenant un message haineux et les transforme en dons pour une organisation à but non lucratif appelée Life After Hate. Concernant le fonctionnement de ses algorithmes, Twitter n’en a rien dévoilé à l’heure actuelle.

De manière générale, l’on se rend compte que les géants du Web ne sont pas près de rendre publics leurs algorithmes utilisés dans leurs outils d’intelligence artificielle pour détecter et supprimer les contenus haineux diffusés sur le Net. Ceux-ci se cachent derrière le secret industriel pour justifier ce manque de transparence. On constate différentes initiatives mises en place par ces derniers pour traquer les messages haineux sans toutefois connaître véritablement la manière dont les outils algorithmiques fonctionnent intrinsèquement.

Sources :
https://www.latribune.fr/technos-medias/internet/facebook-ouvre-pour-la-premiere-fois-ses-algorithmes-a-l-etat-pour-lutter-contre-les-contenus-haineux-797199.html
https://ec.europa.eu/commission/news/countering-illegal-hate-speech-online-2019-feb-04_fr
Code de conduite pour la lutte contre les discours haineux illégaux en ligne
https://www.lemonde.fr/pixels/article/2016/05/31/moderation-facebook-twitter-youtube-et-microsoft-s-engagent-devant-la-commission-europeenne_4929739_4408996.html
https://www.futura-sciences.com/tech/actualites/intelligence-artificielle-contenus-haineux-internet-ia-traquent-sont-faciles-tromper-72860/
http://plus.lapresse.ca/screens/28a6a682-81a9-4349-ab76-545ad515d5cc__7C___0.html
https://www.lemonde.fr/entreprises/article/2018/04/09/la-transparence-des-algorithmes-en-question_5282750_1656994.html
https://www.ouest-france.fr/high-tech/google/google-perspective-nouvelle-arme-contre-les-propos-haineux-en-ligne-4819693
http://www.perspectiveapi.com/#/
https://siecledigital.fr/2018/09/12/ia-google-confond-messages-haine-avec-messages-amour/
https://www.cnetfrance.fr/news/google-perspective-un-outil-contre-les-commentaires-toxiques-dope-a-l-ia-39848970.htm
https://www.lecho.be/economie-politique/europe/general/facebook-google-et-twitter-ne-respectent-pas-leur-promesse-en-matiere-de-desinformation/10102936.html
https://www.usinenouvelle.com/article/google-prevoit-plus-de-transparence-pour-les-europeennes-de-2019.N772814
http://www.lefigaro.fr/secteur/high-tech/2016/05/13/32001-20160513ARTFIG00016-des-associations-critiquent-la-mauvaise-moderation-de-facebook-twitter-et-youtube.php

B. Questions ouvertes pour discussion
Voici trois questions à se poser :
1). Y a-t-il un droit à l’explication des algorithmes dans les règles en matière de vie privée?

Dans notre société actuelle où nous partageons beaucoup sur les réseaux sociaux et que ces derniers nous “épient” en permanence, le respect de la vie privée devient vraiment une question d’importance. Le droit à l’information est vraiment devenu un impératif de taille. De plus en plus d’aspects de notre vie privée sont pris en charge par des algorithmes de plus en plus complexes. Dès lors face à ces avancées, l’adoption de mesures est nécessaire. L’une d’entre elle est l’adoption du règlement sur la protection des données personnelles entré en vigueur le 25 mai 2018.

Nous faisons face à une grande asymétrie. En effet, le consommateur moyen voit sa vie analysée par des algorithmes complexes dont il ne comprend pas les tenants et aboutissants. Le consommateur est dans la plupart du temps incapable de comprendre comment ses données sont traitées, analysées et ensuite, utilisées. Le nouveau règlement insiste sur le contrôle par les utilisateurs de leurs données. Ainsi, “tout traitement de données à caractère personnel doit être conçu et entrepris dans des conditions permettant aux personnes concernées d’en comprendre les tenants et les aboutissants, afin précisément de pouvoir exercer utilement le contrôle de leurs données, dans les conditions prévues par le texte lui-même”. On parle ainsi d’un droit à l’information renforcée. Ce droit à l’information implique que le consommateur puisse obtenir “des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues [du] traitement“.

Simplement transmettre l’algorithme aux consommateurs ne serait pas utile à cet égard. Premièrement, le secret d’affaires se heurte à cette possibilité. Ensuite, comme nous l’avons déjà souligné, les consommateurs ne sont pas en mesure de comprendre un algorithme. Aussi, surtout, une retranscription intégrale de l’algorithme, voire son explication mathématique, est à l’évidence insusceptible de satisfaire aux conditions de clarté et d’accessibilité posées par le texte, dont l’article 12.1 dispose que l’information doit être donnée aux personnes concernées “d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant“.

La seule solution est d’expliquer au consommateur dans des termes simples comment ses données seront utilisées. En ce sens, nous pensons, qu’en effet, le consommateur dispose, en vertu du règlement européen, d’un droit à l’explication.

Sources :
https://www.franceculture.fr/conferences/college-des-bernardins/transparence-et-vie-privee
https://aeonlaw.eu/expliquer-lalgorithme-droit-a-linformation-profilage-gdpr/

2). Quelle est la pertinence des arguments juridiques invoqués par des opérateurs privés pour limiter l’accès aux algorithmes et/ou aux données?

Il existe quelques arguments juridiques donnés par les opérateurs privés afin d’éviter de fournir certaines informations aux consommateurs.

1er argument : Respect du secret d’affaires. C’est qu’une telle divulgation, d’abord, se heurterait au respect du secret des affaires et de la propriété intellectuelle. Et ce, dans un monde où l’actif immatériel que constitue un algorithme performant peut représenter l’essentiel de la valeur d’une entreprise. Le considérant 63 du Règlement européen relatif à la protection des données précise d’ailleurs lui-même, concernant le droit d’accès, que celui-ci “ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel“.

Cet argument est parfaitement valable d’un point de vue juridique vu qu’il est prévu par le considérant 63 du règlement. Il est également tout à fait compréhensible d’un point de vue économique. Il semble logique que des sociétés ne souhaitent pas divulguer ce genre d’informations qui pourraient se retrouver auprès de leurs concurrents.

2e argument : Si ces demandes sont objectivement abusives par leur nombre, leurs répétitions ou leur caractère systématique. Par exemple, si un citoyen exerce son droit d’accès à de multiples reprises très rapprochées dans le temps et qu’il demande toujours le même document qui a déjà été fourni. Néanmoins, une deuxième demande de la part de la même personne ne doit pas être considérée comme abusive. Il faut bien étudier et apprécier le délai entre les deux requêtes.

À nouveau, cet argument semble pertinent. Même si le consommateur se voit attribuer un droit à l’information, il ne peut en abuser comme tout droit. Il semble logique que si le consommateur abuse de son droit, les opérateurs privés ne soient plus obligés de lui répondre.

3ème argument : Si la demande intervient après le délai légal de conservation des données personnelles. Dans ces deux derniers cas, il est impossible de fournir les données demandées. Par exemple, les dispositifs de vidéosurveillance dont le délai légal de conservation est de trente jours. Cet argument semble à nouveau justifié. En effet, l’entreprise est dans son droit de refuser vu que la loi lui autorise de supprimer les données et elle est donc dans l’impossibilité de les fournir au consommateur. Qui plus est, il semble impossible d’imposer aux entités privées de conserver les données pour une durée indéfinie. Toutefois, même si le consommateur se voit refuser son droit à l’information de manière justifiée, il faudra toujours lui expliquer les raisons motivées de ce refus.

Sources :
https://www.franceculture.fr/conferences/college-des-bernardins/transparence-et-vie-privee
https://dpoexpert.fr/droits-dacces-a-ses-donnees-personnelles/

3). Faut-il revoir les exceptions aux secrets d’affaires et/ou à l’accès aux documents administratifs pour assurer la transparence des outils d’IA?

Pour pouvoir répondre adéquatement à la question, il y a lieu d’avoir égard d’une part, aux exceptions aux secrets d’affaires et d’autre part, aux exceptions relatives à l’accès aux documents administratifs.

En ce qui concerne le secret d’affaires, l’article 5 de la directive (UE) 2016/943 prévoit des dérogations au secret d’affaire : “ Les États membres veillent à ce qu’une demande ayant pour objet l’application des mesures, procédures et réparations prévues par la présente directive soit rejetée lorsque l’obtention, l’utilisation ou la divulgation alléguée du secret d’affaires a eu lieu dans l’une ou l’autre des circonstances suivantes:
a) pour exercer le droit à la liberté d’expression et d’information établi dans la Charte, y compris le respect de la liberté et du pluralisme des médias;
b) pour révéler une faute, un acte répréhensible ou une activité illégale, à condition que le défendeur ait agi dans le but de protéger l’intérêt public général;
c) la divulgation par des travailleurs à leurs représentants dans le cadre de l’exercice légitime par ces représentants de leur fonction conformément au droit de l’Union ou au droit national, pour autant que cette divulgation ait été nécessaire à cet exercice;
d) aux fins de la protection d’un intérêt légitime reconnu par le droit de l’Union ou le droit national ”.

Le législateur belge a transposé la directive par une loi du 30 juillet 2018 relative à la protection du secret d’affaires. Cette loi a introduit un titre 8/1 relatif au secret d’affaires dans le Code de droit économique. L’article XI 332/5 reproduit l’article 5 de la directive mot à mot.
En son article XI 332/2 (transposition de l’article 1er de la directive européenne), le Code de droit économique prévoit que :
“ § 1er. Les dispositions relatives aux secrets d’affaires ne portent pas atteinte à:
1° l’exercice des droits fondamentaux consacrés par les règles de droit international et supranational et la Constitution, notamment le droit à la liberté d’expression et d’information, y compris le respect de la liberté et du pluralisme des médias;
2° l’application de règles du droit de l’Union européenne et du droit national exigeant des détenteurs de secrets d’affaires qu’ils révèlent, pour des motifs d’intérêt public, des informations, y compris des secrets d’affaires, au public ou aux autorités administratives ou judiciaires pour l’exercice des fonctions de ces autorités;
3° l’application de règles du droit de l’Union européenne et du droit national obligeant ou autorisant les institutions et organes de l’Union européenne ou les autorités publiques nationales à divulguer des informations communiquées par des entreprises que ces institutions, organes ou autorités détiennent en vertu des obligations et prérogatives établies par le droit de l’Union européenne ou le droit national et conformément à celles-ci;
4° l’autonomie des partenaires sociaux et leur droit de conclure des conventions collectives, conformément au droit de l’Union européenne, au droit national et aux pratiques nationales.
§ 2. Les dispositions relatives aux secrets d’affaires ne peuvent pas être interprétées comme permettant de restreindre la mobilité des travailleurs. En particulier, en ce qui concerne l’exercice de cette mobilité, ces dispositions ne permettent aucunement:
1° de limiter l’utilisation par les travailleurs d’informations qui ne constituent pas un secret d’affaires tel que défini à l’article I.17/1, 1° ;
2° de limiter l’utilisation par les travailleurs de l’expérience et des compétences acquises de manière honnête dans l’exercice normal de leurs fonctions;
3° d’imposer aux travailleurs dans leur contrat de travail des restrictions supplémentaires autres que celles imposées conformément au droit de l’Union européenne ou au droit national ”.

Par conséquent, on voit que le secret des affaires n’est pas absolu et que pour des motifs légaux tels que les besoins d’une enquête, la protection d’un “intérêt légitime” et l’exercice du droit d’expression ou d’information, les informations des entreprises peuvent être divulguées ou utilisées.

Tout citoyen est titulaire d’un droit à la consultation de ses documents administratifs. Il peut formuler une demande en sens auprès de la CADA qui est l’organe chargé d’examiner toute demande de consultation. Il y a donc un principe de publicité des documents administratifs.

Mais, dans des circonstances bien précises qui touchent: à la sécurité, l’ordre public, à la protection des libertés et droit fondamentaux, à la protection des intérêts économiques, ou à la recherche de crimes et délits, la CADA doit apprécier si l’intérêt protégé l’emporte sur le principe de publicité et permet alors de refuser au citoyen l’accès au document administratif.

Dans trois cas précis, la CADA est obligée de refuser l’accès au document administratif. L’exception au principe de publicité l’emporte lorsque sont en jeu des questions relatives au respect de la vie privée, aux obligations de secret imposées par la loi ou au secret des délibérations gouvernementales.

Au niveau des exceptions au secret d’affaires, on voit qu’il est possible d’y déroger afin de révéler une faute, un acte répréhensible ou une autre activité illégale. Cette exception permettrait donc de révéler le fonctionnement des algorithmes de certains sites s’ils utilisent les données du consommateur de manière fautive. Cette exception est cependant peu utile, car on peut présumer que les grosses plateformes dont il est question disposent d’un service juridique performant. Il serait donc difficile de contourner le secret d’affaire pour cause d’activité illégale.

Une exception qui pourrait nous intéresser est celle “pour intérêt légitime”. En effet, pour autant qu’on reconnaisse le droit à l’information des consommateurs comme un intérêt légitime, il est possible de contourner le secret d’affaires afin d’informer le consommateur.

L’accès aux documents administratifs peut être refusé pour des questions d’intérêts économiques. C’est ce que les plateformes vont avancer comme argument pour refuser de fournir certaines informations. En effet, leur algorithme a une valeur économique et ne doit pas se trouver aux mains des concurrents. À une époque où l’on pense de plus en plus à remplacer certains fonctionnaires par des outils d’IA cela peut être problématique, car cette exception peut être invoquée par l’administration. On voit donc que cette exception permet difficilement le partage du fonctionnement des algorithmes.

On peut voir qu’à l’heure actuelle, les exceptions sont assez strictes et ne permettent pas vraiment le respect du droit à l’information du consommateur. Il serait donc intéressant de revoir ces règles en les adaptant aux réalités d’aujourd’hui dans laquelle les outils d’IA prennent une place prépondérante.

Sources
Code de droit économique
Directive (UE) 2016/943
https://be.brussels/a-propos-de-la-region/commission-dacces-aux-documents-administratifs/quels-sont-vos-droits

1) Y a-t-il un droit à l’explication des algorithmes dans les règles en matière de vie privée ?

Avec les progrès récents et continus de l’intelligence artificielle (IA), il semble que l’on s’oriente de plus en plus vers un monde où des algorithmes de traitement assez complexes peuvent prendre en charge la plupart des aspects de la vie du citoyen et du consommateur. Nos données personnelles font aujourd’hui l’objet d’algorithmes qui permettent de les relier entre elles et de créer ainsi une masse énorme de données identifiant les individus ou les rendant identifiables, ce qui risque de nuire à notre vie privée. Le danger d’un tel mécanisme n’est autre que celui de voir s’aggraver une “asymétrie”, une “distorsion” toujours plus importante entre le responsable du traitement, le concepteur de l’algorithme (c’est-à-dire celui qui en détermine la logique et les objectifs), et la personne concernée. Cette dernière se retrouve souvent incapable de comprendre les conditions dans lesquelles ses données sont traitées et comment les décisions qui correspondent à ses désirs et à ses besoins sont prises.

A cet égard, le nouveau règlement général sur la protection des données, qui entrera en application ce 25 mai (ci après, RGPD), se donne pour principe fondamental celui du contrôle des individus sur leurs données. Le considérant 39 stipule que “le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples”. L’accent est donc mis sur la transparence du traitement des données à caractère personnel qui doit être conçu et entrepris dans des conditions permettant aux personnes concernées d’en comprendre les tenants et les aboutissants, afin précisément de pouvoir exercer utilement le contrôle de leurs données.

On perçoit donc bien la difficulté à laquelle le responsable du traitement des données se trouve confronté. Il se doit, en vertu de ce principe de transparence, de fournir les informations “d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant” (voy. art. 12, 1, RGDP). Si, dans les cas les plus banals, ces informations ne devraient pas être trop difficiles à exprimer, un lourd obstacle pratique risque en revanche de se poser à l’égard des traitements qui mettent en jeu de puissants outils algorithmiques, et à plus forte raison encore, des mécanismes d’intelligence artificielle de type machine-learning, en permanente évolution. Or, il semble que ces traitements complexes soient les plus fréquents. Comment dès lors assurer une information valable sur la “logique sous-jacente du traitement” ? Faudra-t-il aller jusqu’à dévoiler aux personnes concernées les codes sources de ces outils et de ces mécanismes ? La question reste pour l’instant sans réponse. On l’a donc dit : un droit à l’explication des algorithmes existe mais sa mise en oeuvre reste pour l’instant incertaine. Il faudra attendre l’entrée en application du RGPD pour voir la manière dont les responsables du traitement des données vont tenter de s’y conformer.

2) Quelle est la pertinence des arguments juridiques invoqués par des opérateurs privés pour limiter l’accès aux algorithmes et/ou aux données ?

Avec la nouvelle réglementation, une information fondée sur la divulgation des algorithmes de traitement semble être imposée. Cependant, outre sa difficulté de mise en oeuvre, certains estiment qu’une telle divulgation n’est tout simplement pas nécessaire au regard des exigences du RGDP. Elle serait même, dans la majorité des cas, contre-productive. En effet, il semble qu’une telle divulgation se heurterait au respect du secret des affaires (cfr. question 3) et de la propriété intellectuelle. De plus, un algorithme performant est, de nos jours, un actif immatériel qui représente une valeur essentielle pour une entreprise. Sur ce point, on peut dès lors comprendre la position de certains opérateurs privés en faveur d’une limitation à l’accès aux algorithmes et aux données.

Le considérant 63 du règlement précise, concernant le droit d’accès, que “lorsque c’est possible, le responsable du traitement devrait pouvoir donner l’accès à distance à un système sécurisé permettant à la personne concernée d’accéder directement aux données à caractère personnel la concernant. Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. Lorsque le responsable du traitement traite une grande quantité de données relatives à la personne concernée, il devrait pouvoir demander à celle-ci de préciser, avant de lui fournir les informations, sur quelles données ou quelles opérations de traitement sa demande porte”.

De plus, certains sont d’avis qu’une retranscription intégrale de l’algorithme (ou son explication mathématique) est insusceptible de satisfaire aux conditions de clarté et d’accessibilité posées par le texte (voy. art. 12).

Ainsi, la meilleure approche nous semble être à cet égard une approche “fonctionnaliste”. Il s’agirait de fournir une information suffisante pour expliquer aux personnes concernées le fonctionnement de l’algorithme. C’est-à-dire une explication des objectifs poursuivis dans le traitement des données par l’algorithme, sans pour autant dévoiler les informations techniques de celui-ci. (Voy. A. AULAS, “Expliquer l’algorithme : droit à l’information et profilage sous le GDPR”, 8 novembre 2017, disponible sur https://aeonlaw.eu/expliquer-lalgorithme
-droit-a-linformation-profilage-gdpr/).

Les opérateurs privés peuvent-ils invoquer un droit de la propriété intellectuelle pour refuser “l’accès” à leurs algorithmes ? Les algorithmes ne disposent d’aucun régime juridique propre, par conséquent, il convient de recourir à des principes juridiques très divers.
Pour ce qui est du droit d’auteur, l’algorithme, en tant que simple principe mathématique, fait partie du domaine des idées et ne dispose d’aucune protection par le droit d’auteur, sauf si l’algorithme est intégré au code source d’un logiciel ou d’un programme protégeable par le droit d’auteur, pour autant que la condition d’originalité soit remplie. Toutefois, la principale limite de cette “protection par le droit d’auteur”, est que, en réalité, c’est le logiciel qui peut en bénéficier, en tant que “support” de l’algorithme, et non l’algorithme lui-même. Aussi, si un tiers réussit à extraire de façon légale l’algorithme contenu dans le logiciel même lorsque ce logiciel est protégé par droit d’auteur, il sera libre de l’utiliser (reverse-engineering). Il n’y a pas non plus de protection à partir de la directive sur les programmes d’ordinateur. Son article 1, 2 dispose que « les idées et principes qui sont à la base de quelque élément que ce soit d’un programme d’ordinateur, y compris ceux qui sont à la base de ses interfaces, ne sont pas protégés par le droit d’auteur en vertu de la présente directive ».

Au titre du brevet, le droit de la propriété intellectuelle exclut expressément de la brevetabilité “les théories scientifiques, les méthodes mathématiques ainsi que les programmes d’ordinateur de la brevetabilité” (art. XI. 4 CDE). L’algorithme serait alors exclu de la brevetabilité lorsqu’il n’est qu’une méthode mathématique destinée à traiter l’information. Cependant, à l’ère du numérique, l’algorithme est plus qu’une simple méthode mathématique appartenant au domaine des idées. Le plus souvent, l’algorithme est intégré à une invention brevetable. D’ailleurs, selon l’O.E.B., un algorithme peut être breveté indirectement dans la mesure où il est intégré à une invention et lui apporte une contribution technique. On le voit, il n’est pas simple de protéger un algorithme par un droit de propriété intellectuelle. Le secret d’affaires semble être l’alternative.

3) Faut-il revoir les exceptions aux secrets d’affaires et/ou à l’accès aux documents administratifs pour assurer la transparence des outils d’IA ?

Le savoir-faire d’une entreprise, ses secrets de fabrique ou d’affaires ou certaines informations qu’elle détient ne peuvent pas toujours faire l’objet d’un brevet ou d’un autre droit de propriété intellectuelle. Dans ce cas, la seule protection qui s’offre aux entreprises est le secret.
L’algorithme peut constituer un secret d’affaires de l’entreprise. La directive 2016/943 entend par « secret d’affaires », des informations qui répondent à toutes les conditions suivantes: (Article 2)
« a) elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l’assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles;
b) elles ont une valeur commerciale parce qu’elles sont secrètes;
c) elles ont fait l’objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes ».

Alors que le RGPD prévoit un principe de transparence, la directive sur la protection des secrets d’affaires permet d’empêcher la divulgation de l’algorithme protégé. Néanmoins, il existe certaines exceptions aux secrets d’affaires. L’article 5 de la directive prévoit que :
“États membres veillent à ce qu’une demande ayant pour objet l’application des mesures, procédures et réparations prévues par la présente directive soit rejetée lorsque l’obtention, l’utilisation ou la divulgation alléguée du secret d’affaires a eu lieu dans l’une ou l’autre des circonstances suivantes:
a) pour exercer le droit à la liberté d’expression et d’information établi dans la Charte, y compris le respect de la liberté et du pluralisme des médias;
b) pour révéler une faute, un acte répréhensible ou une activité illégale, à condition que le défendeur ait agi dans le but de protéger l’intérêt public général;
c) la divulgation par des travailleurs à leurs représentants dans le cadre de l’exercice légitime par ces représentants de leur fonction conformément au droit de l’Union ou au droit national, pour autant que cette divulgation ait été nécessaire à cet exercice;
d) aux fins de la protection d’un intérêt légitime reconnu par le droit de l’Union ou le droit national.”
Les dérogations prévues à cet article restent cependant très floues et donc difficiles à appliquer (Voy. notamment le problème de la protection des lanceurs d’alerte).

Est-il nécessaire de revoir les exceptions aux secrets d’affaires afin de permettre la transparence des algorithmes ? Nous ne le pensons pas. En effet, l’article 3 (2) prévoit que : “l’obtention, l’utilisation ou la divulgation d’un secret d’affaires est considérée comme licite dans la mesure où elle est requise ou autorisée par le droit de l’Union ou le droit national”. Cette exception nous semble donc offrir les outils nécessaires afin de garantir le respect de l’exigence de transparence prévue par le RGPD. Effectivement, une disposition qui oblige la divulgation du fonctionnement d’un algorithme dans le cadre de la protection de données personnelles pourra s’imposer aux opérateurs privés et rendre l’utilisation ou la divulgation du secret d’affaires licite.