La transparence des systèmes d’intelligence artificielle employés en tant qu’outils d’aide à la décision administrative. Perspectives comparées entre la France et l’Italie.
Le philosophe B. K. Skinner affirme que le vrai problème n'est pas de savoir si les machines pensent, mais si les hommes le font[1]. À cela, nous ajoutons que s’il est désormais possible d’énoncer que les machines « pensent », comprendre comment elles le font reste l'un des sujets cruciaux dans toute réflexion juridique portant sur les systèmes d’intelligence artificielle (ci-après « SIA »).
Grâce à l’exploitation massive de données et à la neutralité du procédé algorithmique, les SIA garantiraient une adaptation optimale des décisions aux cas d’espèce, le principe d’égalité de traitement ainsi qu’une rapidité formidable dans l’exécution de tâches complexes[2].
Les SIA sont de plus en plus employés en tant qu’outils d’aide à la décision administrative, qui est une expression des prérogatives de puissance publique. En d’autres termes, ces systèmes interviennent dans la conception d'un acte pouvant être imposé de la seule volonté de l’administration (l’unilatéralité) et donnant le pouvoir de procéder à une exécution forcée (le pouvoir exécutoire)[3].
L’utilisation des SIA peut donc avoir un impact sur des aspects très sensibles de la vie des citoyens. Actuellement, les SIA sont employés, par exemple, pour prédire une situation ou un risque de fraude fiscale ; pour apparier une offre et une demande dans l’admission en premier cycle universitaire ; pour attribuer des droits par la Caisse d’allocations familiales[4].
Cependant, ces SIA « publics » conservent encore de nombreuses zones d’ombres. C’est pourquoi il y a une nécessité impérieuse de comprendre leur fonctionnement, voire d’en garantir la transparence.
Cette étude comparée va essayer d'analyser la façon dont les régimes français et italien garantissent la transparence des SIA publics. L’étude va porter spécifiquement sur l’acte administratif individuel, car l’emploi des SIA dans l’élaboration d’actes règlementaires est encore très peu développé dans les deux pays[5].
À cette fin, nous nous intéresserons tout d’abord à une consécration du principe de transparence des SIA publics dans le droit européen, en passant par l’analyse du Règlement général sur la protection des données (ci-après « RGPD ») ainsi que la proposition de Règlement européen sur l’IA (I).
Dans un deuxième temps, nous aborderons les différentes approches quant aux obligations de transparence pour les administrations française et italienne, et notamment les articles du Code des relations entre le public et l'administration français (ci-après « CRPA ») et la loi du 7 août 1990 n° 241 sur la procédure administrative non contentieuse italienne (ci-après « loi n° 241/1990 ») (II).
Enfin, nous terminerons notre analyse avec une référence à la proactivité de la jurisprudence administrative qui a permis la concrétisation du principe de transparence dans les deux pays (III).
I. Une approche pro-innovation des obligations de transparence dans le droit européen: du RGPD au règlement européen sur l’IA
L’Union Européenne a fait de la transparence un mot d’ordre avec son RGPD.
Les données personnelles doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée, en vertu de l'article 5 du Règlement. Il faut rappeler, au préalable, que toutes les administrations publiques des États membres sont soumises au RGPD dans le traitement des données à caractère personnel des administrés, a fortiori quand ils utilisent des SIA en tant qu’outils d’aide à la décision.
Par ailleurs, l’article 22 du RGPD pose l’interdiction de soumettre l’intéressé à une décision entièrement automatisée, mais non pas sans exceptions. En effet, le traitement automatisé peut être imposé dans trois hypothèses : dans la mesure où l’automatisation est nécessaire dans la mesure où l’automatisation est nécessaire à l’exécution des missions d’intérêt public, avec le consentement explicite de la personne concernée ou lorsque le droit de l’UE ou de l’État membre envisagent une telle possibilité. Dans cette dernière hypothèse, la législation interne doit s’accompagner d’une série de mesures pour garantir les droits et libertés de la personne concernée.
En d'autres termes, les droits nationaux seraient en mesure d’imposer une décision entièrement automatisée, étant donné que le RGPD ne met en œuvre qu'un droit à l'information lors de l'emploi d'un SIA public sans pour autant créer des obligations de transparence communes aux États membres, en se bornant à rappeler le droit pour l'usager d'exprimer son point de vue et de contester une telle décision[6].
Cette souplesse est justifiée par le fait que le RGPD a été conçu à la fois en tant qu’instrument de protection du droit à la vie privée et outil au service de la libre circulation des données, dans un objectif de développement économique lié au big data.
Dans cette même approche s’inscrit la proposition de règlement européen sur l’IA. L’Union Européenne classe, dans sa taxonomie, la plupart des SIA publics parmi les systèmes présentant un risque élevé pour l’utilisateur en termes de sécurité et de protection des libertés individuelles. En vertu de l’art. 13 de la proposition, ces SIA publics devraient faire l’objet d’un enregistrement dans une base de données européenne et suivre des règles de transparence avec un suivi constant, des informations complètes et plus précises pour l’utilisateur[7].
Cependant, ces obligations s’avèrent toujours limitées quant à l’« explicabilité », c’est-à-dire à la capacité de mettre en relation et de rendre compréhensibles les éléments pris en compte par le SIA pour la production d’un résultat[8].
L’obligation de conformité et représentativité ex ante des données qui nourrissent l’algorithme n’est qu’une obligation atténuée et, par conséquent, requise dans la mesure du possible. De même que pour le RGPD, la proposition de règlement sur l’IA a comme objectif non seulement de poser un cadre pour l’IA afin d’en limiter les risques, mais aussi de projeter l’Europe sur la scène internationale sur cet enjeu[9].
Dans le droit de l’UE, franchir l’étape de consacrer un principe de transparence décliné dans un droit à l’explicabilité n’est pas envisageable. Le risque serait de limiter l’innovation, de ne pas respecter d’autres intérêts légitimes comme les droits de propriété intellectuelle. De plus, selon la théorie des « boîtes noires », il n’est pas toujours possible d’expliquer pour quelle raison un système a donné un résultat en particulier sans en diminuer les performances[10].
Pour ce faire, l’UE propose une nouvelle approche concernant la transparence se fondant sur des procédés d’audit et de vérification aléatoires. Une approche penchant en faveur de l’innovation qui, à nouveau, n’indique que de manière assez peu exigeante le cadre juridique aux droits administratifs nationaux qui seront de plus en plus confrontés aux systèmes auto-apprenants dans l'avenir.
II. L’encadrement législatif des devoirs de transparence des SIA publics en France (le CRPA) et le silence du législateur italien (loi n° 241/1990)
Comme illustré ci-dessus, le RGPD pose des conditions du recours aux SIA pour la prise de décisions administratives individuelles assez souples. Les droits internes français et italien ont, par conséquent, pu s'adapter différemment à l'émergence des SIA publics.
Les programmes français à ce sujet vont tous prôner une « IA de confiance » et prévoir des devoirs de transparence pour éclaircir la teneur des traitements effectués par la machine. Ils paraissent assez avancés par rapport à la stratégie italienne sur l’IA (2022-24) qui, par exemple, dresse des objectifs mis en place en France depuis de 2018, comme le projet d’un logiciel pour la lutte contre les fraudes fiscales[11]. Un décalage considérable dans un domaine en constante mutation comme celui des SIA.
Cette différence n’est pas surprenante dans la mesure où la France disposait déjà d’une législation sur l’utilisation d’outils d’aide à la décision dès 1978, alors qu’en Italie, ce n'est qu'à partir du début des années ‘90 que le processus d'informatisation de l'administration a commencé à être conçu de manière plus organique. Ce n’est qu’avec le plan de relance post-Covid que le gouvernement italien a commencé à s’intéresser au sujet des SIA publics[12].
Sur un plan de technique normative, cet écart concernant les obligations de transparence des SIA publics est bien manifeste à l’égard du RGPD. Le législateur français s’est réservé la possibilité de confier à la machine davantage de décisions administratives en application de l’art. 22 du RGPD[13]. Au contraire, le droit italien s'est contenté de transposer le règlement sans imposer plus de précisions concernant la décision administrative.
En Italie, les références aux SIA et à leur transparence n'apparaissent que dans le code de la privacy sans que le droit administratif ait évolué entretemps.
Le législateur français a consacré un titre entier du CRPA et l’art. 47 de Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (ci-après « LIL »), telle que modifiée en 2016, à l'exigence de transparence de la décision administrative individuelle prise sur le fondement d'un traitement algorithmique.
Les obligations posées par ces textes sont très éloignées de la législation italienne qui manque totalement de consistance : il n'existe pas à ce jour de cadre législatif national réglementant la prise de décision administrative algorithmique en Italie[14].
Pour donner quelques exemples de l'approche volontariste à la française, l'article L311-3-1 CRPA impose à l’administration de communiquer à l’usager les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en œuvre. Cette disposition fait écho aux devoirs posés par l’art. 22 RGPD, similairement à l’art. 47 LIL. Il existe aussi l'obligation pour l’administration de réaliser un inventaire des principaux traitements algorithmiques utilisés, anticipant ainsi la base de données souhaitée par la proposition de règlement européen sur l’IA[15].
En Italie, l'article 3-bis de la loi n° 241/1990 est la seule disposition qui fait référence, bien qu'indirectement, aux outils informatiques et numériques utilisés par les différentes administrations entre elles, mais aussi dans les relations avec les usagers. L’art. 3-bis laisserait vacante la question spécifique de la transparence des SIA publics. Elle serait prise en charge, selon l’interprétation doctrinale et jurisprudentielle, par l’article relatif à la motivation de l’acte administratif, l’art. 3 de la loi n° 241/1990[16].
Le droit administratif italien reste, pour l'heure, globalement insuffisant en la matière. Cependant, le juge administratif a pris conscience du vide juridique et s'est intéressé à une plus forte garantie du droit à l’accès et à la transparence dans l’emploi des SIA.
III. Une jurisprudence proactive au secours du principe de transparence des SIA publics
Dans les deux pays, la jurisprudence est venue éclairer sur le contenu du principe de transparence appliqué aux SIA publics, apportant ainsi des réponses adéquates à l’émergence des traitements .
Quant au droit à l’explicabilité, bien que le code source, aussi bien en France qu’en Italie, soit considéré comme un document administratif faisant l’objet d’un droit d’accès, les approches jurisprudentielles sont parfois variables.
Il serait judicieux de comparer deux décisions pour expliquer ce propos : la Décision Parcoursup du Conseil Constitutionnel français[17], et celle du Conseil d’État italien concernant le recrutement des enseignants[18].
Par l’intermédiaire de la décision Parcoursup, le Conseil Constitutionnel français a consacré l'existence d'un droit constitutionnel à l'accès aux documents administratifs en lien avec les SIA. Le Conseil s’est fondé sur l’art. 15 de la Déclaration des droits de l'homme et du citoyen, tout en rappelant qu’il ne s’agit pas d’un droit absolu et qu’il peut être soumis à l’intérêt général défini par le législateur. La jurisprudence demeure soucieuse de concilier tous les intérêts en cause (par exemple, le secret entourant les travaux du jury) face à une possible atteinte au principe de transparence des SIA publics.
Dans un arrêt de 2020, le Tribunal Administratif de Rome avait fait droit à l’ouverture de l’intégralité du code source du SIA public afin de permettre aux administrés d’avoir connaissance du fonctionnement du système informatique auxquels ils étaient soumis[19]. L’arrêt a été confirmé par le Conseil d’État italien, qui a voulu ainsi favoriser l’emploi de l’IA comme outil d’aide à la décision en vertu du principe d'économicité de l’action administrative ». Il a également confirmé la « théorie de l'acte administratif », comme expression d’une volonté personnelle, d’un être humain et non pas d’une « machine »[20].
Comme le juge administratif italien l'a affirmé dans une autre décision de 2022, le respect du principe de transparence doit être renforcé lorsque la décision administrative est prise sur la base d’une opération de calcul complexe, c’est-à-dire lors de l’emploi d’un SIA[21].
Au fur et à mesure, la jurisprudence italienne a tenté d’établir un principe de transparence face à la machine qui est entendu largement vis-à-vis des « algorithmes déterministes », des SIA peu perfectionnés qui ne vont pas s'emparer du pouvoir discrétionnaire de l'administration, comme dans le cas d'un calculateur des aides de la politique agricole commune [22].
L’approche législative française, également confirmée par la jurisprudence, tient plus en compte des défis découlant des caractéristiques de l'IA et de l’impossibilité de garantir au maximum la transparence à cause de la complexité des systèmes qui peuvent appartenir à la catégorie bien plus complexe des « algorithmes prédictifs », par exemple.
Quant aux algorithmes auto-apprenants qui s'apparentent aux « boîtes noires », le Conseil Constitutionnel français avait déjà affirmé en 2018, avec lucidité, que leur utilisation en tant que seul fondement d'une décision administrative individuelle est interdite en France[23].
En conclusion, si le cadre législatif français pro-innovation tente d’offrir une plus grande sécurité juridique, en Italie, le débat sur les SIA publics est loin d’être posé dans les mêmes termes. Le législateur italien s’est désintéressé du sujet jusqu’à présent et va très probablement devoir s'occuper ex abrupto des garanties de transparence des SIA employés par son administration, face à l’application future du règlement européen sur l’IA.
[1] B. K. SKINNER, « Contingencies of Reinforcement: A Theoretical Analysis », Appleton-Century-Crofts, p. 265 (1970).
[2] G. LOISEAU, A. BENSAMOUN, « Droit de l'intelligence artificielle », LGDJ Editions, 2e edition, pp. 507-508 (2022).
[3] Article L200-1 du Code des relations entre le public et l'administration.
[4] G. LOISEAU, A. BENSAMOUN, « Droit de l'intelligence artificielle », LGDJ Editions, 2e edition, p. 508 (2022).
[5] Etalab, Les algorithmes publics : enjeux et obligations : https://guides.etalab.gouv.fr/algorithmes/guide/.
[6] S. WACHTER, B. MITTELSTADT, L. FLORIDI, « Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation » International Data Privacy Law, Volume 7, Issue 2, pp. 76–99 (2017).
[7] Art. 13 Proposition de Règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union.
[8] Définition de la Commission Nationale « Informatiques et libertés » (CNIL) du mot explicabilité : https://www.cnil.fr/fr/definition/explicabilite-ia.
[9] Z. LI, « Why the European AI Act transparency obligation is insufficient », Nat Mach Intell 5, pp. 559-560 (2023).
[10] Étude de faisabilité sur un cadre juridique pour l’IA basé sur les standards du Conseil de l'Europe, adoptée par le CAHAI le 17 décembre 2020, CAHAI(2020)23, pp. 34-36.
[11] Programma strategico Intelligenza Artificiale 2022-2024, Governo Italiano. A cura del Ministero dell’Università e della Ricerca, del Ministero dello Sviluppo Economico e del Ministro per l’Innovazione tecnologica e la Transizione Digitale, p. 17 https://assets.innovazione.gov.it/1637937177-programma-strategico-iaweb-2.pdf.
[12] L. MUSELLI, « La decisione amministrativa nell’età degli algoritmi: primi spunti » MediaLaws, 2020, p. 4 (2020).
[13] J. ROCHFELD, « Données à caractère personnel – Droit de ne pas subir une décision fondée sur un traitement automatisé », Répertoire IP/IT et Communication Dalloz, p. 11 (2020).
[14] E. CASETTA , « Manuale di diritto amministrativo », Giuffré Francis Lefebvre, p. 357 (2022).
[15] Article L312-1-2 Code des relations entre le public et l'administration. Guide Etalab sur l’ouverture des algorithmes publics : https://guides.etalab.gouv.fr/algorithmes/inventaire/#comment-realiser-m....
[16] D.U. GALETTA, G. PINOTTI, « Automation and Algorithmic Decision-Making Systems in the Italian Public Administration », R.I.D.A.P., pp. 13-23 (2023).
[17] Conseil Constitutionnel, Décision n° 2020-834 QPC, 3 avril 2020 (France).
[18] Conseil d’État, section VI, 8 avril 2019, n° 2270 (Italie).
[19] Tribunal Administratif Régional de Rome, 30 juin 2020, n° 7370/2020 (Italie)
[20] Conseil d’État, section VI, 8 avril 2019, n° 2270/2019 (Italie).
[21] Tribunal Administratif Régional de la Campanie, 14 novembre 2022, n° 7003/2022 (Italie).
[22] E. FALLETTI, « Mai accettare caramelle né atti amministrativi da sconosciuti », Il diritto dell'informazione e dell'informatica, n° 1/2023, pp. 97-107 (2023).
[23] Conseil Constitutionnel, Décision n° 2018-765 DC, 12 juin 2018. Loi relative à la protection des données personnelles (France).