Accès Rapide
S'identifier

L’intelligence artificielle et les données : retour sur la pratique du croisement de données

Par Catherine Arnaud, Maître de conférences, Université Paris 13

Puisant en grande partie sa source dans la pratique du croisement de données, l’intelligence artificielle (IA) invite à réexaminer un vieux débat qui s’inscrit dans une évolution commencée il y a plus d’un siècle.

L’IA désigne un ensemble de techniques et d’outils qui visent à imiter les activités intellectuelles humaines, particulièrement lorsque celles-ci atteignent un certain niveau de complexité, comme en matière de raisonnement ou de résolution de problèmes. Il s’agit ni plus ni moins que de reproduire le mécanisme de la pensée et de la réflexion (1).

Pour y parvenir, il faut donc reproduire les fonctions cognitives, c’est-à-dire les processus mentaux qui vont permettre à l’être humain d’acquérir des informations, des connaissances. Autrement dit, l’IA se place d’emblée dans un processus de création de la connaissance.

Globalement, le cerveau reçoit en permanence des données qu’il va combiner à d’autres données afin de produire cette connaissance. De la même façon, l’IA va donc avoir pour principal objectif de créer de la connaissance à partir de la combinaison d’une importante masse de données qu’on lui aura fournies ou qu’elle aura pu directement collecter.

Ainsi, le croisement de données est au cœur du fonctionnement de l’IA.

Or, si cette pratique est au moins aussi ancienne que le cerveau humain, elle a pris, avec l’intelligence artificielle, une dimension nouvelle puisque celle-ci est désormais capable de supplanter le cerveau humain en bien des aspects : capacité de collecte de données, quantité de données traitées, vitesse de traitement, efficacité de la mise en relation des données, etc.

Pour autant, la question du croisement de données n’est pas vraiment nouvelle dans le domaine juridique et constituerait presque aujourd’hui un vieux serpent de mer. Ce qui lui a valu cette relative notoriété, c’est son objet : en fait, le croisement de données a d’abord été principalement mis en œuvre afin d’acquérir davantage d’informations et de connaissances sur les individus.

Le croisement de données a ainsi été envisagé dès l’origine comme une véritable source de connaissances, notamment sur les individus, d’abord par les acteurs publics (I), puis un peu plus tardivement par les acteurs privés (II).

I – Le croisement de données, source de connaissances pour l’administration

Destinataire obligé d’un nombre important de données individuelles dans le cadre de ses fonctions régaliennes, l’État a très vite pris conscience du potentiel que pouvait lui permettre le croisement de ces données.

Drapé dans l’intérêt général et armé de ses prérogatives de puissance publique, il lui paraissait évident de pouvoir tranquillement profiter d’une telle source de connaissances sans rendre de compte à personne. Mais tel ne fut pas exactement le cas : son droit de savoir a été vivement contesté (A). Et s’il a été finalement reconnu par le législateur, c’était, au départ, pour pouvoir mieux le contrôler (B).

A – Un droit de savoir contesté

Très largement issu de la pratique administrative, le croisement de données est d’abord conçu comme un moyen d’action de l’administration et, comme tel, considéré comme relevant le plus souvent de son pouvoir discrétionnaire (2).

Si l’on examine cette pratique au travers des différents textes ayant officialisé le croisement de données, on constate que l’administration a exercé son droit de savoir au travers de trois grands types de procédés : la centralisation de données (1°), la transmission ou l’échange d’informations (2°) et l’utilisation d’une clef d’interconnexion unique (3°). Mais ces textes n’expriment qu’une vision purement pragmatique, sans donner corps à une théorie ou à un régime d’ensemble sur le croisement de données.

1°/ La centralisation de données

L’idée de réunir des informations jusque-là éparpillées n’est pas nouvelle : le casier judiciaire a été créé dès 1850 (3) et les sommiers judiciaires ont existé avant lui (4). Le fichier central de la sûreté nationale a, quant à lui, vu le jour dès l’entre-deux guerres (5).

Mais à la fin de la Seconde Guerre mondiale, l’administration a éprouvé le besoin d’améliorer son organisation pour gagner en efficacité dans certains domaines et a accéléré la mise en place de grands fichiers centralisés : c’est par exemple le cas du fichier national des électeurs (6) ou encore du fichier central de la prostitution (7). Certaines données de santé font également l’objet d’une centralisation, comme en matière de lutte contre le cancer (8).

L’arrivée de l’informatique dans les années 1970 a donné un nouvel élan à ce mouvement : furent alors centralisées les données relatives aux conducteurs (9), les données relatives aux entreprises (10), les informations relatives à la pollution par les hydrocarbures (11), aux incidents de paiement (12), aux risques et crédits bancaires13, aux candidatures à l’étranger (14).

Si de telles pratiques trouvent les faveurs du Conseil d’État (15), il n’en est pas de même du grand public et du Parlement. C’est ainsi par exemple que l’Assemblée nationale, jugeant inquiétant le projet visant à centraliser les données de santé au sein d’un « dossier individuel de santé », s’y opposera fermement (16).

2°/ La transmission et l’échange d’informations

C’est probablement avec la création de l’Insee en 1946 (17) que le procédé de la transmission d’informations a été officialisé pour la première fois (18). Il s’agissait de tenter de mettre en place le principe d’un transfert de données des administrations vers l’Insee afin que celui-ci puisse en faire une exploitation à des fins statistiques. Là encore, le procédé n’a pas été vu d’un très bon œil : à la sortie de la guerre, l’inquiétude restait vive quant à l’institution de fichiers de population pouvant être utilisés à des fins illégitimes (19).

Dans les années 1970, l’échange d’informations a commencé à voir le jour mais, cette fois-ci, au niveau européen : il s’agissait d’assurer une certaine coopération entre les États membres dans certains domaines, par exemple en matière fiscale (20).

Mais c’est surtout le troisième procédé a concentré le plus de critiques : l’utilisation d’une clef d’interconnexion unique.

3°/ L’utilisation d’une clef d’interconnexion unique

Alors que la France était sur le point de ratifier la Convention européenne des droits de l’homme (21), l’administration est allée un cran plus loin : elle a alors prévu tout bonnement de généraliser la pratique du croisement de données en l’appliquant à toutes les données potentiellement détenues par ses administrations. Pour ce faire, rien de plus simple, il suffisait de généraliser l’usage d’une clef d’interconnexion unique qui est toute trouvée : le numéro unique attribué à chaque individu et qui a déjà été utilisé pour l’immatriculation à la toute nouvelle sécurité sociale. Il s’agit du numéro d’inscription au répertoire national d’identification des personnes physiques, plus connu sous le nom de « numéro de sécurité sociale ».

Ce projet du ministère de l’Intérieur fit grand bruit lorsqu’il fut porté à la connaissance du public par un article de presse resté célèbre : « SAFARI » ou la chasse aux Français (22). « SAFARI » pour « système automatisé pour les fichiers administratifs et le répertoire des individus » Le scandale fut tel que le Premier ministre fut contraint d’intervenir pour interdire à l’avenir toute interconnexion entre les fichiers des administrations (23), et une commission fut immédiatement instituée afin d’étudier la question sous l’angle protecteur des libertés individuelles.

On sait que c’est cet épisode qui a été à l’origine de la création de la Commission nationale de l’informatique et des libertés (CNIL) et de la fameuse loi de 1978 sur la protection des données personnelles (24). C’est donc principalement pour protéger les personnes contre les ingérences de l’administration qu’une telle protection a été instituée. Autrement dit, si le droit de savoir de l’administration a finalement été reconnu (25), c’était pour mieux le contrôler.

B – Un droit de savoir contrôlé

En réalité, le contrôle mis en place a été très vite limité, permettant ainsi à l’administration d’élargir son droit de savoir.

1°/ Un contrôle limité

La loi de 1978 (26) a soumis le droit de savoir de l’administration à un contrôle relativement strict : tout traitement de données personnelles doit faire l’objet d’une autorisation légale ou réglementaire préalable précédée d’un avis conforme de la CNIL.

Mais en réalité ce contrôle a priori jugé indispensable à la protection des libertés individuelles fut de courte durée. En effet, la directive européenne de 1995 sur les données personnelles l’a remplacé par un régime de simple déclaration, jugé plus compatible avec l’impératif de fluidité du marché (27). Le législateur encouragea, en outre, cette pratique dans certains domaines.

C’est dans ce contexte que l’administration a poursuivi sa pratique du croisement de données.

2°/ Un droit de savoir élargi

L’œuvre de centralisation s’est poursuivie jusqu’à aujourd’hui et donnant lieu à la création de grands fichiers nationaux : données liées à la sécurité, données répressives (28), données biométriques (29), données médicales, données de sécurité sociale (30), données fiscales, données bancaires, données éducatives, etc.

Si certaines de ces actions ont été effectuées dans le cadre de la loi de 1978 (31), d’autres ont été plus clandestines et donné lieu à d’autres scandales. Ainsi, par exemple, avec l’affaire des « Irlandais de Vincennes », qui donna lieu à la création d’une cellule anti-terroriste en 1982 (32), celle-ci ayant procédé clandestinement à de très nombreuses écoutes téléphoniques de différents individus dont des avocats et journalistes et plus d’un millier d’interlocuteurs ainsi qu’à la centralisation de toutes ces données (33).

D’autres tentatives ont mis longtemps à voir le jour devant l’opposition rencontrée. Ce fut notamment le cas de la centralisation des données médicales, qui ne vit le jour qu’en 2016 (34) et mise en place qu’en 2018.

En matière de transmission et d’échange d’informations, « intensification » est le maître mot. Après l’institution d’échanges « sectoriels » (35), les pouvoirs publics ont obtenu la généralisation de l’échange d’informations entre administrations (36). Malgré l’existence de certaines limites, le législateur semble bien en faire un véritable principe (37).

Les échanges d’informations s’intensifient également au niveau européen : échanges de données de police et de justice, de données géographiques et environnementales (38), de données fiscales (39), de données relatives aux déplacements automobiles (40), aux transports aériens (41), etc.

Enfin, les échanges d’informations se concrétisent également au niveau international : échange automatique de données fiscales sous l’égide de l’OCDE (42), échange de données relatives aux déplacements aériens (43).

Quant à l’usage du numéro de sécurité sociale comme clef unique d’interconnexion, les demandes de l’administration se sont multipliées à partir des années 1990 : dans le domaine de l’éducation nationale, de la sécurité sociale ou encore le domaine fiscal. Autant dire que l’avis de la CNIL n’a pas toujours été suivi : ainsi, par exemple, s’agissant de la loi de finances pour 1999 (44), qui a permis aux diverses administrations fiscales et douanières et aux organismes sociaux de recourir à ce numéro pour faciliter leur échange d’informations (45).

Parachevant cette évolution, c’est aujourd’hui l’intelligence artificielle qui fait son entrée dans l’administration pour permettre lui permettre d’élargir son droit de savoir : au ministère de l’Economie et des Finances pour détecter les candidats potentiels aux procédures collectives ou au sein de l’administration fiscale pour mieux détecter les fraudes, ou encore au ministère de l’Intérieur (47). L’administration fiscale ne croise plus seulement des données administratives mais utilise désormais les données du web : réseaux sociaux mais aussi plateformes de e-commerce. C’est cet usage que le projet de loi de finances pour 2020 souhaite généraliser et automatiser (48). La CNIL elle-même ne peut que constater le changement d’échelle ainsi opéré (49) et les dangers que de telles pratiques présentent pour les libertés.

En définitive, cette évolution montre la remise en cause progressive du principe de cloisonnement des données au sein des administrations comme outil de protection des libertés individuelles.

Un constat similaire peut être fait à propos des acteurs privés.

II – Le croisement de données, source de connaissance pour les entreprises

Contrairement à l’administration, les entreprises ne bénéficient pas a priori d’un statut privilégié leur permettant de revendiquer et de légitimer l’existence d’un droit de savoir vis-à-vis des individus. C’était sans compter sur le pouvoir du marché. Elles se sont vu ainsi reconnaître un véritable droit de savoir (A) dont elles ont fait largement usage (B).

A – La reconnaissance d’un droit de savoir

D’abord reconnu de manière implicite (1°), le droit de savoir des entreprises a été assez rapidement consacré par le législateur européen (2°).

1°/ La reconnaissance implicite du droit de savoir

On se souvient que la loi « informatique et libertés » de 1978 (50) a trouvé sa source dans la volonté de réagir contre les ingérences de l’administration dans la sphère privée. Pour autant, les acteurs privés n’étaient pas oubliés. Mais le danger semblait moindre et il paraissait important de ne pas entraver le développement de l’informatique. Les entreprises ont alors bénéficié d’un régime beaucoup plus souple : celui de la simple déclaration préalable. Cette déclaration devait simplement comporter « l’engagement que le traitement satisfait aux exigences de la loi » (51).

Autrement dit, les entreprises ont bénéficié d’emblée d’un régime d’autorisation implicite. Car, en effet, il ne s’agissait nullement de poser une interdiction, mais seulement d’ouvrir au citoyen un simple droit de contrôle a posteriori prenant la forme d’un droit d’opposition (52). Seules certaines informations dites « sensibles » parce que laissant apparaître les origines raciales ou les opinions religieuses ou politiques étaient plus strictement encadrées.

Si l’on examine la jurisprudence de l’époque, les besoins de croisement de données des acteurs privés étaient principalement axés sur deux objectifs :

– la réunion d’informations relatives aux débiteurs : par exemple le croisement de données opéré par une société de recouvrement de créances (53), ou par un groupement d’intérêt économique spécialement créé par les sociétés financières et les banques pour centraliser les informations relatives aux « mauvais payeurs » (54) ;

– la prospection de nouveaux clients, qui passait généralement par un croisement avec le fichier de l’annuaire de La Poste (55).

2°/ La reconnaissance explicite du droit de savoir

C’est paradoxalement avec la directive de 1995 sur la protection des données personnelles (56) que ce droit de savoir a trouvé une première consécration officielle. En réalité, par cette directive le législateur a entendu d’abord consacrer un principe de libre circulation des données, et notamment des données personnelles. Or, il est clair que ce principe est conçu largement et couvre toutes sortes de finalités dont notamment la circulation aux fins de croisement. Autant dire que la protection des individus au titre de leurs données personnelles n’est conçue que comme un simple accessoire du principe de libre circulation, voire comme une simple exception (57). On assiste donc à un véritable renversement de perspective par rapport à la loi de 1978.

En revanche, la directive se démarque peu de la loi de 1978 (58) en ce qui concerne le choix du fondement juridique du droit de savoir des entreprises : à défaut de prérogatives de puissance publique à faire valoir, c’est le consentement de la personne protégée qui continue de servir de fondement. Mais la directive n’entend pas pour autant renforcer le dispositif existant et reste peu exigeante sur la réalité de ce consentement. C’est dans cette faille que les entreprises se sont engouffrées pour asseoir leur droit de savoir et le développer au fil des ans avant qu’un règlement européen (59) ne vienne porter un sérieux coup au développement de ce droit en matière de données personnelles en changeant quelque peu la philosophie adoptée jusque-là et en posant un certain nombre d’exigences.

Ce droit de savoir a également été renforcé vis-à-vis des acteurs publics par deux directives de 2003 (60) et 2013 (61) posant le principe de la libre réutilisation des données du secteur public. Les informations émanant du secteur public sont alors vues comme « une matière première importante pour les produits et les services de contenu numérique » (62). Mais plus encore, elles sont considérés comme une véritable « réserve de ressources vaste, diversifiée et précieuse, dont peut bénéficier l’économie de la connaissance » (63). Le droit de savoir des entreprises se retrouve ainsi pleinement reconnu.

C’est l’arrivée de l’intelligence artificielle qui constitue là encore la dernière étape de cette évolution. En effet, une récente directive (64) est venue refondre les directives de 2003 et 2013 afin d’élargir davantage les possibilités de réutilisation des données publiques. Or, cette mesure a été essentiellement dictée par l’arrivée de l’intelligence artificielle et l’intensification du croisement de données qu’elle implique (65).

C’est grâce à ce cadre législatif particulièrement souple que les entreprises ont pu faire largement usage de ce droit jusqu’en 2018.

B – La mise en œuvre du droit de savoir

Le cadre juridique particulièrement souple dont ont bénéficié les entreprises jusqu’à l’entrée en vigueur du règlement sur la protection des données personnelles ainsi que l’évolution rapide des techniques ont créé une situation bien différente aujourd’hui de celle qui était à l’origine de la loi de 1978. Si à l’époque on situait surtout le danger du côté du secteur public, c’est en raison de sa capacité de centralisation, atout indispensable pour pouvoir approfondir sa connaissance par le croisement de données (66).

Or, aujourd’hui, ce danger se situe désormais du côté du secteur privé qui ne se caractérise plus par « de nombreuses entités de volume moyen ou faible » (67) puisque, au contraire, on assiste à un triple phénomène de concentration qui pose de façon plus aiguë encore la question du croisement des données.

1°/ Concentration technique

En diversifiant les produits et services proposés, en liant le matériel, le logiciel et les services, en rachetant au besoin des entreprises, certains grands acteurs de l’Internet comme Google ou Amazon ont collecté une masse considérable de données personnelles extrêmement variées (68). Données qu’ils mutualisent et qu’ils croisent allègrement (69).

Des condamnations commencent à tomber pour tenter d’enrayer ce phénomène. En janvier dernier, c’est la CNIL qui a condamné Google à une amende de 50 millions d’euros concernant son système Android (70) : pour une information insuffisante et une absence de consentement. En février dernier, c’est l’Autorité de la concurrence allemande qui a condamné Facebook pour des croisements de données sans consentement (71).

2°/ Concentration géographique

On assiste également à une concentration géographique des données avec l’usage des services de stockage comme les clouds souvent situés à l’étranger et en dehors de l’Union européenne (72). Cette concentration est amplifiée avec l’arrivée du big data et de l’intelligence artificielle qui poussent davantage les entreprises à externaliser leurs données et à recourir aux services de prestataires. Pour attirer toujours plus de clients, des outils d’intelligence artificielle sont de plus en plus associés à ces services, maximisant les possibilités de croisement.

3°/ Concentration fonctionnelle

Enfin, on assiste également à une sorte de concentration fonctionnelle. Aujourd’hui, le smartphone est le support d’une multitude de services et d’application sur lesquels transitent une multitude de données dont une grande partie constituent des données personnelles. Une expérience menée par la CNIL et l’Institut national de recherche et informatique et en automatique (INRIA)  (73) confirme que les smartphones constituent des lieux de collecte et de partage de données sans précédent.

En définitive, on ne peut que constater que le droit de savoir des acteurs tant publics que privés a eu une propension naturelle à s’étendre au fil des années. Propension que l’intelligence artificielle est en train de réactiver.

Ce rapide panorama montre d’abord que ce que nous avons appelé le croisement de données est susceptible de recouvrir un large éventail de pratiques tout aussi différentes dans leurs modalités que dans leurs finalités. De fait, l’expression « croisement de données » est assez peu utilisée que ce soit par les textes ou par la pratique. Et cette pratique n’a pas encore de réelle unité (74), comme en témoigne la richesse du vocabulaire utilisé pour désigner ce type de pratiques : interconnexion, centralisation, échanges, recoupement, rapprochement, agrégation, combinaison, couplage, enrichissement, etc.

Mais surtout ce panorama montre que l’intelligence artificielle s’inscrit dans une évolution et remet à l’ordre du jour un vieux débat que l’on avait presque oublié : celui du croisement des données et de la protection des libertés fondamentales. De ce point de vue, le rapport « Tricot » (75) garde toute sa pertinence et met en garde contre certaines menaces comme l’alourdissement du contrôle social et les risques de dérives vers un État policier. Il convient d’y ajouter les dangers similaires provenant cette fois-ci du secteur privé.

Car finalement, si droit de savoir il y a, doit-on pour autant considérer qu’il s’agit d’un droit de tout savoir ?

Notes :

(1) Imiter la façon de réfléchir des humains.

(2) V. notamment la jurisprudence faisant de la constitution des fichiers une mesure d’ordre intérieur : v. notamment C. Guillaume, concl. sous CE 13 fév. 1976 : JCP, II, 18383.

(3) Par une circulaire du Garde des Sceaux Rouher du 6 novembre 1850.

(4) Les sommiers judiciaires étaient déjà fondées sur l’idée d’une certaine centralisation des données judiciaires et ont été créés par le Code d’instruction criminelle de 1808.

(5) Fichier qui a été centralisé par une réforme de 1934 et qui a semble-t-il été saisi par les Allemands en 1940, pour tomber peu après entre les mains des soviétiques, avant finalement d’être restitué à la France dans les années 1990.

(6) Loi n° 46-1889 du 28 août 1946 relative au contrôle des inscriptions sur les listes électorales et à la procédure des inscriptions d’urgence : JO 29 août 1946, p. 7502.

(7) Loi n° 46-795 du 24 avril 1946 tendant à instituer un fichier sanitaire et social de la prostitution : JO 25 avr. 1946, p. 3422.

(8) Ordonnance n° 45-2221 du 1er octobre 1945 relative à l’organisation des centres de lutte contre le cancer (JO 3 oct. 1945, p. 6192), art. 12.

(9) Loi n° 70-539 du du 24 juin 1970 concernant la centralisation de la documentation relative à la circulation routière : JO du 25 juin 1970, p. 5963.

(10) Décret n° 73-314 du 14 mars 1973 portant création d’un système national d’identification et d’un répertoire des entreprises et de leurs établissements : JO 21 mars 1973, p. 3042.

(11) Instruction du 13 avril 1976 relative à la détection et à la constatation de la pollution de la mer par les hydrocarbures : JO 5 mai 1976, p. 2708.

(12) Règlement n° 86-08 du 27 février 1986 relatif à la centralisation des incidents de paiement homologué par l’arrêté du 27 fév. 1986 : JO 1er mars 1986, p. 3213 ; D. 1986, légis., p. 270.

(13) Règlement n° 86-09 du 27 février 1986 relatif à la centralisation des risques bancaires homologué par le même arrêté précit. V. également l’instruction n° 3-87 du 14 octobre 1987.

(14) Arrêté du 21 juillet 1983 relatif à la mise en œuvre d’un traitement centralisé et automatisé de gestion des candidatures aux emplois à l’étranger relevant des activités du ministères des relations extérieures : JO 16 sept. 1983, p. 2810. Pour plus de détails sur ces fichiers v. Commission Informatique et libertés, Rapport Tricot, La Documentation française, 1975, spéc. p. 12. et suiv.

(15) V. la jurisprudence citée in Y. Madiot, note sous CE 13 fév. 1976 : D. 1976, I, p. 569.

(16) V. les travaux préparatoires de la loi n° 70-1318 du 31 décembre 1970 portant réforme hospitalière et plus particulièrement les travaux de l’Assemblée nationale qui a supprimé la création des dossiers individuels de santé devant rassembler toutes les informations de santé d’une personne de la naissance à sa mort : discussion 3 déc. 1970 : JO Ass. nat., Débats, 1970-1971, p. 149. Ce projet sera repris à plusieurs reprises et rencontrera encore une vive opposition. Il ne verra le jour qu’en 2016 : v. infra.

(17) V. les art. 32 et 33 de la loi n° 46-854 du 27 avril 1946 portant ouverture et annulation de crédits sur l’exercice 1946 : JO 1er mai 1946 p. 3630. L’Insee n’a fait que remplacer le Service National des Statistiques créé en 1941 et dirigé par René Carmille qui l’orientera vers l’exploitation de grands fichiers administratifs.

(18) Le cadre légal de ces transmissions n’a été institué que par la loi n° 86-1305 du 23 décembre 1986 portant modification de la loi n° 51-711 du 7 juin 1951 sur l’obligation, la coordination et le secret en matière de statistiques : JO 26 déc. 1986, p. 15596. V. nota. Sénat, Rapport J. Thyraud, 29 oct. 1986, n° 30, p. 3.

(19) V. G. Lang, Fichiers de population sous l’Occupation : Statistiques et société déc. 2018, p. 45.

(20) Directive 77/799 du 19 décembre 1977 concernant l’assistance mutuelle des autorités compétentes des États membres dans le domaine des impôts directs : JOCE 27 déc. 1977, p. 15. La directive distingue l’échange sur demande, l’échange automatique et l’échange spontané. V. également au titre des relations bilatérales entre États le décret n° 82-864 du 4 octobre 1982 portant publication de l’échange de lettres franco-belge en date du 10 mai 1982 relatif aux échanges d’informations dans le domaine
de la sécurité nucléaire.

(21) Loi n° 73-1227 du 31 décembre 1973 autorisant la ratification de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales : JO 3 janv. 1974, p. 67.

(22) Article de P. Boucher  : Le Monde 21 mars 1974, p. 9.

(23) Circulaire du 29 mars 1974.

(24) Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : JO 7 janv. 1978, p. 227.

(25) Ce droit avait déjà été reconnu par le Conseil d’État dans différents arrêts.

(26) Précit.

(27). Directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JOCE 23 nov.1995, p. 31),
spéc. considérants n° 3 et 7.

(28) Décret interministériel n° 82-1050
du 13 décembre 1982.

(29) Décret n° 2016-1460 du 28 octobre 2016 autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité : JO 30 oct. 2016, p. 18. Délibération n° 2016-292 du 29 septembre 2016 portant avis sur un projet de décret autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité : JO 30 oct. 2016, p. 66.

(30) Loi n° 2006-1640 du 21 décembre 2006 de financement de la sécurité sociale pour 2007 : JO 22 déc. 2006, p. 19315.

(31) V. par exemple le décret créant l’Office central pour la répression du trafic des armes, des munitions, des produits explosifs et des matières nucléaires, biologiques et chimiques : Décret interministériel n° 82-1050 du 13 décembre 1982 : JO 15 déc. 1982, p. 3743.

(32) Création d’un secrétariat d’État à la sécurité publique par le Décret n° 82-752 du 1er septembre 1982 relatif aux attributions du secrétaire d’État auprès du ministre d’État, ministre de l’intérieur et de la décentralisation, chargé de la sécurité publique : JO 2 sept. 1982, p. 2698.

(33) Crim. 4 mars 1997, n° 96-84773 : Bull., n° 83, p. 270.

(34) Loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé : JO 27 janv. 2016, p. 1.

(35) V. par ex. l’article 15 de la loi nº 93-8 du 4 janvier 1993 relative aux relations entre les professions de santé et l’assurance maladie (JO 4 janv. 1993, p. 251) ou l’article 92 de loi n° 2005-1579 du 19 décembre 2005 de financement de la sécurité sociale pour 2006 : JO 20 déc. 2005, p. 19531. L’échange entre administrations sera élargi au Pôle emploi par l’article 5 de la loi n° 2008-126 du 13 février 2008 relative à la réforme de l’organisation du service public de l’emploi : JO 14 fév. 2008, p. 2712.

(36) Loi n° 2011-525 du 17 mai 2011 de simplification et d’amélioration de la qualité du droit (JO 25 mai 2011, p. 8993), art. 4, devenu l’art. L. 114-8 du Code des relations entre le public et l’administration.

(37) En dépit du fait que le Sénat ait pu affirmer que « l’ajout du mot ‘strictement’ indique clairement que cet échange de fichiers est une dérogation à un principe général de non recoupement des fichiers administratifs » : Sénat, Rapport B. Saugey, 6 oct. 2010,
n° 20, p. 37.

(38) Directive 2007/2/CE du 14 mars 2007 établissant une infrastructure d’information géographique dans la Communauté européenne (INSPIRE) : JOCE 25 avr. 2007, p. 1.

(39) Directive 2011/16/UE du 15 février 2011 relative à la coopération administrative dans le domaine fiscal et abrogeant la directive 77/799/CEE : JOCE 11 mars 2011, p. 1.

(40) Directive 2015/413/UE du 11 mars 2015 facilitant l’échange transfrontalier d’informations concernant les infractions en matière de sécurité routière : JOCE 13 mars 2015, p. 9.

(41) Directive 2016/681/UE du 27 avril 2016 relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière : JOCE 4 mai 2016, p. 132.

(42) OCDE, Norme d’échange automatique de renseignements relatifs aux comptes financiers, 15 juill. 2014.

(43). V. par ex. l’accord entre l’UE et les États-Unis finalement approuvé par le Parlement européen le 19 avril 2012.

(44) Loi de finances pour 1999, n° 98-1266 du 30 décembre 1998 : JO 31 déc. 1998, p. 20050.

(45) V. art. L. 152 et R. 152 LPF.

(46) Par exemple l’usage du Data mining pour détecter les fraudes : v. Arrêté du 28 août 2017 modifiant l’arrêté du 21 février 2014 portant création par la direction générale des finances publiques d’un traitement automatisé de lutte contre la fraude dénommé « ciblage de la fraude et valorisation des requêtes » : JO 14 nov. 2017, p. 56.

(47). V. le programme « Entrepreneur d’intérêt général » et ses neuf défis d’intérêt général. V. également J. Nessi, Administrations et collectivités locales : les premiers pas de l’intelligence artificielles : Horizons publics
juill.-août 2019, p. 30.

(48) Projet de loi de finances pour 2020, 27 sept. 2019 : JO Ass. nat., n° 2272.

(49) Cnil, Délibération n° 2019-114 du 12 sept. 2 019. V. les commentaires accompagnant la publication de l’avis le 30 sept. 2 019.

(50) Précit.

(51) Loi 1978, art. 16.

(52) Ass. nat., Rapport J. Foyer, 4 oct. 1977, n° 3125, p. 13.

(53) Pour une tentative d’une société de recouvrement d’enrichir ses données par la collecte d’informations directement opérée auprès du « propriétaire, gérant, syndic ou concierge » où le débiteur habitait v. Crim. 3 nov. 1987, n° 87-83429. : Bull., no 382 ; JCP E 1988, II, nº 15308, nº 20, obs. M. Vivant et D. Lucas ; D. 1988, jur., p. 17, note H. Maisl ; Gaz. Pal. 1988, 1, jur., p. 234, note J.-P. Doucet ; Rev. sc. crim. 1988, p. 295, obs. Ph. Delmas Saint-Hilaire. La condamnation n’aura finalement pas lieu sur ce fondement en raison des termes trop limités de la loi de 1978 mais sur le simple défaut de déclaration du fichier.

(54) Crim. 25 oct. 1995, n° 94-85781 : Bull., n° 320, p. 890. ; Crim. 19 déc. 1995, n° 94-81431 : Bull., n° 387, p. 1133.

(55) V. par exemple TGI Nanterre 7 mai 1996, nº 9404200012 infirmé par Crim. 29 juin 1999, nº 97-84.166 : Bull., n° &D. 1999, p. 244 ; Com. 4 déc. 2001, n° 99-16642 (les faits datant de 1994) : Bull., n° 193, p. 185 ; Com. 6 mai 1996, n° 94-13347 : Bull., n° 125, p. 109. Pour un exemple de constitution d’un fichier de prospects à partir de questionnaires v. CE 30 juill. 1997, nº 182400.

(56) Précit.

(57) Directive 95/46/CE du 24 octobre 1995 (précit.), considérants n° 3 à 9.

(58) Précit.

(59) Règlement 2016/679/UE du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE : JOCE 4 mai 2016, p. 1. Il est entré en vigueur en 2018.

(60) Directive 2003/98/CE du 17 novembre 2003 concernant la réutilisation des informations du secteur public : JOCE 31 déc. 2003, p. 90.

(61) Directive 2013/37/UE du 26 juin 2013 modifiant la directive 2003/98/CE concernant la réutilisation des informations du secteur public : JOCE 27 juin 2013, p. 1.

(62) Directive 2003/98/CE (précit,) considérant n° 5.

(63) Directive 2013/37/UE (précit), considérant n° 1.

(64) Directive 2 019/1024/UE du 20 juin 2019 concernant les données ouvertes et la réutilisation des informations du secteur public : JOCE 26 juin 2019, p. 56.

(65) Directive 2 019/1024/UE (précit.), considérant n° 10.

(66) Ass. nat., Pojet de loi relatif à l’informatique et aux libertés, 2 oct. 1976, n° 2516, p. 2.

(67) Rapport Tricot, précit, p. 29.

(68) Par exemple pour Google : des moteurs de recherche (Google Search, Images, Videos, Trends, Actualités, Shopping, Google Play etc.), des services internet de base (Chrome, Gmail, Hangouts, Duo), des services culturels (Google Play Music, Books, Youtube),des services de cartographie (Maps, Street view, Earth, Sky, Moon etc.), des assistants vocaux (Google Now, Allo Google), services relationnels (Google+, Spaces, Discussions), des services de stockage (Drive, Photos), d’autres services (Google Agenda, Documents, Notes, Sites, Traduction, Adwords, Pony express, Analytics, Android, Wallet, Pay), des objets connectés (Google Home etc…). Aujourd’hui Google s’intéresse au développement et à l’intelligence artificielle (Google Cloud Platform, App Engine, Brain, ou encore le très répandu outil d’apprentissage automatique TensorFlow).

(69) Des plateformes de mutualisation de données voient également jour : v. par exemple myList.

(70) Délibération de la formation restreinte n° SAN – 2 019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société Google LLC.

(71) Données de Facebook croisées avec les données provenant d’autres services (Whatsapp et Instagram) ainsi que du web et d’applications tierces : Autorité de la concurrence (Bundeskartellamt), 6 fév. 2 019. L’entreprise avait déjà été condamnée à 10 millions d’euros par l’Autorité de la concurrence italienne le 29 novembre 2018 et à 5 milliards de dollars par l’autorité américaine le 24 juillet 2019.

(72) Sur cette question v. notamment ACPR, Intelligence artificielle : enjeux pour le secteur financier, Document de réflexion, décembre 2018, p. 26.

(73) Expérimentation « Mobilitics », 2013 et 2014 : https://linc.cnil.fr/fr/mobilitics-decouvrir-la-partie-immergee-de-liceberg-des-apps-pour-smartphone.

(74) Si ce n’est au travers de la réglementation sur les données personnelles qui assimile le rapprochement ou l’interconnexion à la notion de traitement : RGPD, art. 4.

(75) Précit.

TOUTE L’ACTUALITÉ DU DROIT & DE LA GESTION PATRIMONIALE

abonnez-vous
Div qui contient le message d'alerte

Se connecter

Identifiez-vous

Champ obligatoire Mot de passe obligatoire

Mot de passe oublié

Déjà abonné ? Créez vos identifiants

Vous êtes abonné, mais vous n'avez pas vos identifiants pour le site ? Remplissez les informations et un courriel vous sera envoyé.

Div qui contient le message d'alerte

Envoyer l'article par mail

Mauvais format Mauvais format

captcha
Recopiez ci-dessous le texte apparaissant dans l'image
Mauvais format

Div qui contient le message d'alerte

Contacter la rédaction

Mauvais format Texte obligatoire

Nombre de caractères restant à saisir :

captcha
Recopiez ci-dessous le texte apparaissant dans l'image
Mauvais format