Quels risques pour le traitement automatisé de données à caractère personnel DATAJUST ?
La pandémie de coronavirus a contraint le gouvernement à entreprendre un certain nombre de mesures exceptionnelles, non seulement dans le domaine économique mais également dans le secteur juridique.
Cependant, certaines de ces réformes ne sont pas directement liées à l’aménagement du système juridique en vue de l’adapter à la crise sanitaire.
Parmi ces mesures figure le décret du 27 mars 2020 portant création d’un traitement automatisé de données à caractère personnel. Intitulé « DataJust », ce traitement vise à concevoir un algorithme permettant d’analyser la jurisprudence d’appel afin de répondre à plusieurs objectifs :
- Permettre l’évaluation rétrospective et prospective des politiques publiques en matière de responsabilité civile et administrative.
- Informer les parties.
- Elaborer un référentiel indicatif d’indemnisation des préjudices corporels.
- Contribuer à l’évaluation du montant de l’indemnisation à laquelle les victimes peuvent prétendre afin de favoriser un règlement amiable des litiges, et informer les juges concernés par ce type de demandes.
Il s’agit donc de procéder à une importante collecte de données issues de la jurisprudence d’appel en matière de préjudices corporels, puis de les analyser dans le but de parvenir aux finalités énoncées ci-dessus.
« DataJust » pourra être mis en œuvre par le ministre de la justice pendant une durée de deux ans. Il est pourtant loin de faire l’unanimité au sein des professionnels du droit, notamment des avocats et des magistrats, dont beaucoup y voient un risque potentiel de marginalisation de leurs rôles en raison du caractère automatisé du traitement.
Que faut-il penser de « DataJust » ?
Au-delà des risques inhérents à un traitement automatisé de données, il apparaît clairement que l’établissement d’un tel traitement s’accorde difficilement avec la protection des données à caractère personnel.
- Sur les risques du traitement automatisé de données
Du fait de sa nature, « DataJust » semble traduire la volonté du gouvernement d’instiguer le développement d’une forme d’instrument numérique apparenté à l’intelligence artificielle en vue de participer à l’essor d’une justice dite prédictive.
En ce sens, la principale problématique que pose ce type d’outil est sans doute le risque de biais qu’il implique, notamment en termes de discrimination, en particulier en raison de la sensibilité des informations potentiellement traitées.
La CNIL, qui a été amenée à produire des éléments de réflexion sur « DataJust » dans une délibération du 9 janvier 2020, y a relevé le risque de pratiques discriminatoires que présente ce traitement, mettant en exergue la nécessité de porter une attention particulière aux évolutions du projet.
- Sur l’incompatibilité de « DataJust » avec la protection des données à caractère personnel
Le fonctionnement de « DataJust » reposant sur l’extraction des données contenues dans des décisions de justice, le décret du 27 mars 2020 précise quelles catégories de données à caractère personnel sont visées. Il s’agit par exemple des noms et prénoms des personnes physiques mentionnées dans les décisions de justice, à l’exception de ceux des parties, ou encore d’autres éléments d’identification des personnes physiques comme la date de naissance, le genre ainsi que le lien de parenté avec les victimes et le lieu de résidence.
Des données nécessitant une protection particulière sont également concernées, comme celles relatives à des infractions et à des condamnations pénales.
Pourtant, le décret refuse l’application du droit à l’information des personnes concernées par le traitement de leurs données à caractère personnel, se fondant sur une exception prévue par le RGPD lorsque la fourniture des informations demandées représenterait un effort disproportionné.
De même, le droit d’opposition est mis à l’écart « afin de garantir l’objectif d’intérêt public général d’accessibilité du droit ».
Ainsi, bien que la CNIL n’ait émis que très peu de réserves de ce point de vue, le risque pour la protection des données à caractère personnel que présente « DataJust » semble réel, et les inquiétudes que suscite le projet légitimes.
