Conseil d’État, 30 décembre 2021, n° 440376 (N° 440376 Société Gerbi Avocat Victimes et préjudices et autres N° 440976 M. Yannick M… et autres N° 442327 Mme Ghislaine J… et autres N° 442361 La Quadrature du Net N° 442935 Association APF France handicap et autres).
Le Conseil d’État vient de valider l’algorithme d’évaluation des préjudices corporels DataJust. Son rôle est d’analyser la jurisprudence pour bâtir un référentiel indicatif d’indemnisation des victimes de préjudices corporels.
Le décret n° 2020-356 du 27 mars 2020 portant création d’un traitement automatisé de données à caractère personnel dénommé « DataJust » (NOR: JUST1930979D), avait donné lieu à débats. Ses détracteurs y voyaient les prémisses d’une justice prédictive.
Ce décret autorise le ministre de la justice à mettre en œuvre, pour une durée de deux ans, un traitement automatisé de données à caractère personnel, dénommé « DataJust », ayant pour finalité le développement d’un algorithme destiné à permettre l’évaluation rétrospective et prospective des politiques publiques en matière de responsabilité civile et administrative, l’élaboration d’un référentiel indicatif d’indemnisation des préjudices corporels, l’information des parties et l’aide à l’évaluation du montant de l’indemnisation à laquelle les victimes peuvent prétendre afin de favoriser un règlement amiable des litiges, ainsi que l’information ou la documentation des juges appelés à statuer sur des demandes d’indemnisation des préjudices corporels.
C’est une importante décision, signe de la montée en puissance des algorithmes et d’une justice quasi-prédictive permettant à chacun d’estimer ses indemnisations possibles en fonction des moyennes propres à chaque cas et, plus encore, selon chaque cour, chaque juridiction, voire chaque juge… le monde idéal quoi…
Ce référentiel va-t-il remplacer les juges ? Ou pire, les avocats ? Y aura-t-il encore place pour le cas par cas ? A quand un « tarif prédictif » pour les meurtres, les enlèvements les viols, etc. ?
Mais au fond.. Est-ce évitable ?… Ne peut-on penser que cette évolution sera de toutes façons réalisée par les assureurs ?
Tout le débat rebondit alors sur les garde-fous et sur le respect de la vie privé des « algorithmés ».
Voici ce qu’en dit le Conseil d’Etat :
« Sur la légalité interne du décret attaqué :
10. […] l’ingérence dans l’exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, de données à caractère personnel, ne peut être légalement autorisée que si elle répond à des finalités légitimes et que le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités.
En ce qui concerne les finalités du traitement :
11. En premier lieu, la formulation, par l’article 1er du décret attaqué, des finalités tendant à » la réalisation d’évaluations rétrospectives et prospectives des politiques publiques en matière de responsabilité civile ou administrative » ainsi qu’à la création d’un référentiel d’indemnisation est suffisamment précise. Le moyen tiré de ce qu’elle méconnaitrait l’article 4 précité de la loi du 6 janvier 1978 au motif qu’elle ne serait ni » déterminée « , ni » explicite » doit dès lors être écarté.
12. En deuxième lieu, les requérants contestent les finalités de ce traitement aux motifs que l’algorithme qu’il a pour objet de développer serait tout à la fois contraire aux principes de l’individualisation et de la réparation intégrale des préjudices, inutile à raison de l’existence d’autres outils ayant la même finalité, et biaisé faute pour le traitement de prendre en compte les indemnités amiables ainsi que l’évolution du droit. Toutefois, il ressort des pièces du dossier que le traitement autorisé par le décret attaqué a pour objet la mise au point d’un algorithme destiné à l’élaboration d’un référentiel indicatif d’indemnisation des préjudices corporels ayant vocation à être utilisé pour évaluer ces préjudices dans le cadre du règlement tant amiable que juridictionnel des litiges. Il tend ainsi à assurer un accès plus facile à la jurisprudence sur l’indemnisation des préjudices corporels afin de garantir l’accessibilité et la prévisibilité du droit. Au surplus et à ce stade, ce traitement, dont la durée est réduite à deux ans, est limité à la phase de développement d’un outil d’intelligence artificielle, n’a qu’un caractère expérimental et n’a pas vocation, à ce stade, à être mis à la disposition des magistrats ou des parties. Il s’ensuit que le moyen tiré de ce que les finalités poursuivies par le traitement ne seraient pas légitimes doit être écarté.
13. En dernier lieu, en vertu du b) du 1 de l’article 5 du RGPD, […]
14. En l’espèce, si le décret attaqué prévoit que les données sont extraites des décisions de justice transmises par la Cour de cassation et le Conseil d’Etat parmi les décisions qu’ils ont été autorisés à collecter pour les besoins de leur activité juridictionnelle, les fins prévues par le décret attaqué sont liées aux finalités poursuivies par la collecte initiale dès lors que sont en cause, dans les deux cas, le règlement des litiges. Le décret prévoit en outre que les données relatives aux parties sont pseudonymisées. Le traitement prévu qui ne fait pas l’objet d’un déploiement n’est enfin pas susceptible d’avoir d’incidence sur l’indemnisation personnelle de ces dernières. Il s’ensuit que le nouveau traitement n’est en tout état de cause pas incompatible avec les finalités initiales au sens des dispositions rappelées au point précédent.
En ce qui concerne les données collectées :
Quant aux principes de minimisation et d’exactitude des données :
15. Les requérants ne peuvent utilement soutenir que le champ des données collectées serait insuffisant pour permettre la mise en oeuvre d’un instrument opérationnel, ni que le décret serait, par suite, entaché d’une erreur manifeste d’appréciation.
16. La circonstance que les décisions annulées en cassation ne sont pas exclues de celles qui seront recueillies ne suffit pas à porter atteinte au principe d’exactitude des données collectées. Par ailleurs, le traitement d’un grand nombre de décisions étant nécessaire à la fiabilité de l’algorithme, le décret attaqué ne porte pas atteinte au principe de minimisation des données.
Quant aux données de santé :
17. L’article 9 du RGPD et l’article 6 de la loi du 6 janvier 1978 interdisent le traitement de données dites sensibles, dont font partie les données de santé, sauf, notamment, aux termes du g) du paragraphe 2 de l’article 9 du RGPD, lorsqu’il est nécessaire pour des motifs d’intérêt public important sur la base d’un droit proportionné à l’objectif d’intérêt public poursuivi.
18. Il ressort des pièces du dossier qu’eu égard à son objet portant sur le développement d’un algorithme devant faciliter l’accès à la jurisprudence, le traitement autorisé par le décret attaqué répond à une nécessité justifiée par des motifs d’intérêt public important. Par ailleurs, aux termes de l’article 2 du décret attaqué, les noms et prénoms des personnes physiques parties aux instances ayant fait l’objet des décisions de justice rendues en appel entre le 1er janvier 2017 et le 31 décembre 2019 à partir desquelles les données nécessaires à la mise au point de l’algorithme sont extraites, doivent être occultés préalablement à leur transmission au secrétariat général du ministère de la justice. Compte-tenu de cette pseudonymisation des données collectées relatives aux parties aux décisions juridictionnelles objet du traitement, la collecte des données de santé sur les préjudices corporels subis, qui au demeurant n’est pas susceptible d’avoir d’incidence sur les personnes concernées dont le préjudice a déjà été indemnisé, ne saurait être regardée comme disproportionnée au regard de l’objectif d’intérêt public poursuivi.
Quant aux autres données :
19. D’une part, si les requérants critiquent l’adéquation et la pertinence de la collecte des données relatives aux dépenses de santé, à la situation financière des victimes et des responsables, aux honoraires des médecins et experts ainsi qu’aux infractions et condamnations pénales auxquelles les arrêts civils et administratifs peuvent faire référence, ces éléments, qui font l’objet, ainsi qu’il a été dit, d’une pseudonymisation lorsqu’ils concernent les parties à l’instance, sont nécessaires à l’évaluation de l’indemnisation des préjudices corporels.
20. D’autre part, si sont aussi collectées les données d’identité des personnes physiques mentionnées dans les décisions de justice, autres que les parties, l’article 2 du décret attaqué dispose que » Il est interdit de sélectionner dans le traitement une catégorie particulière de personnes à partir de ces seules données. » Ces données ne feront ainsi pas l’objet d’un traitement et il ressort des pièces du dossier que leur recueil répond à des contraintes techniques. Comme les autres données à caractère personnel, elles seront effacées au plus tard au bout de deux ans en vertu de l’article 4 du décret attaqué et, conformément à son article 3, elles ne seront accessibles qu’à un nombre restreint d’agents précisément désignés, à raison de leurs attributions et dans la limite du besoin d’en connaître.
21. Enfin, dès lors que les décisions de justice font l’objet d’une pseudonymisation des données personnelles des parties à l’instance, la collecte de leur numéro a uniquement pour objet de répondre aux demandes des personnes dont les données ont été collectées tendant à l’exercice de leur droit d’accès, de rectification ou de limitation.
22. Il résulte de ce qui précède que le choix, la collecte et le traitement des données enregistrées dans le traitement autorisé par le décret attaqué sont effectués de manière adaptée, nécessaire et proportionnée au regard des finalités poursuivies par le traitement et ne portent pas atteinte à l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.
En ce qui concerne les restrictions apportées aux droits des personnes dont les données sont traitées:
Quant au consentement :
23. Selon le point 1 de l’article 6 du RGPD, le traitement de données sans le consentement de la personne peut être autorisé lorsque, notamment, le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique. Selon le dernier alinéa du point 3 de ce même article, le droit appliqué doit répondre à un objectif d’intérêt public et être proportionné à l’objectif légitime poursuivi.
24. Dès lors que le traitement autorisé par le décret attaqué a pour objet, afin de faciliter l’accès à la jurisprudence, la mise au point d’un algorithme destiné à l’élaboration d’un référentiel indicatif d’indemnisation des préjudices corporels pouvant être utilisé pour évaluer ces préjudices dans le cadre du règlement tant amiable que juridictionnel des litiges, il est nécessaire à l’exécution d’une mission d’intérêt public au sens de l’article 6 du RGPD. Par ailleurs, ainsi qu’il a été dit plus haut, les données relatives aux parties seront pseudonymisées. Le moyen tiré de l’illégalité de l’absence de consentement des personnes dont les données sont collectées doit par suite être écarté.
Quant au droit d’information :
25. Il résulte des dispositions du b) du point 5 de l’article 14 du RGPD que l’obligation d’informer la personne concernée par la collecte des données ne s’applique pas notamment lorsque et dans la mesure où la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés. Dans ce cas, le responsable du traitement doit rendre les informations publiquement disponibles.
26. Eu égard au grand nombre des décisions juridictionnelles à traiter, il ne peut pas être soutenu que l’information individuelle de chaque personne concernée n’exigerait pas d’efforts disproportionnés. Ainsi, le moyen tiré de ce que l’exclusion du droit à l’information serait excessive ou méconnaitrait l’article 8 de la Charte des droits fondamentaux de l’Union européenne doit être écarté. Si les dispositions citées au point précédent mettent à la charge du responsable du traitement l’obligation de rendre l’information publiquement disponible, elles n’imposent pas que l’acte portant création du traitement rappelle cette obligation ni qu’il détermine les modalités de sa mise en oeuvre.
Quant au droit d’opposition :
27. Le 1 de l’article 23 du RGPD prévoit que le droit national peut apporter des limitations au droit d’opposition reconnu par son article 21 lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir, notamment, des objectifs importants d’intérêt public général.
28. En premier lieu, contrairement à ce que soutiennent les requérants, les dispositions susrappelées n’imposent pas l’intervention d’une loi pour autoriser l’exclusion du droit d’opposition aux données faisant l’objet d’un traitement. En l’espèce, son application a été écartée par une disposition expresse de l’acte instaurant le traitement conformément à ce que prévoit l’article 56 de la loi du 6 janvier 1978.
29. En second lieu, la dérogation au droit d’opposition est justifiée par la nécessité de disposer d’une base de données d’indemnisation aussi représentative et complète que possible pour répondre à des finalités qui, ainsi qu’il a été dit au point 12, sont légitimes.
Quant aux droits d’accès, de rectification et de limitation :
30. L’article 6 du décret attaqué prévoit que les droits d’accès, de rectification et de limitation s’exercent auprès du ministre de la justice dans les conditions prévues respectivement aux articles 15, 16 et 18 du RGPD. Si les requérants soutiennent que, faute d’avoir été informées de la collecte de leurs données, les personnes concernées ne seront pas en mesure d’exercer ces droits, ce moyen doit être écarté dès lors que le responsable du traitement est tenu, ainsi qu’il a été rappelé au point 25, d’assurer l’information publique nécessaire sur la collecte des données.
En ce qui concerne les destinataires et la sécurité des données collectées :
31. L’article 3 du décret attaqué dispose : » Seuls ont accès, à raison de leurs attributions et dans la limite du besoin d’en connaître, aux données à caractère personnel et informations enregistrées dans le présent traitement : / 1° Les agents du ministère de la justice affectés au service chargé des développements informatiques du secrétariat général du ministère de la justice, individuellement désignés par le secrétaire général ; / 2° Les agents du bureau du droit des obligations individuellement désignés par le directeur des affaires civiles et du sceau « . Ainsi, les personnes ayant accès aux données collectées sont limitativement énumérées. Le décret interdit en outre à ces agents de les utiliser à d’autres fins que celles prévues. Par ailleurs et ainsi qu’il a déjà été dit, ils ne recevront que des données pseudonymisées s’agissant des parties à l’instance. Par suite, les requérants ne peuvent pas soutenir que des agents auraient un accès trop large à leurs données, ni que le secret médical serait méconnu.
32. Les conditions du respect des règles de sécurité des données relèvent des obligations du responsable du traitement et ne peuvent dès lors être utilement invoquées contre l’acte d’autorisation. »
Il y a donc encore largement matière à contrôle…