Décret n° 2020-356 du 27 mars 2020 portant création d’un traitement automatisé de données à caractère personnel dénommé « DataJust », publié au JORF du 29 mars 2020

Égaré au sein des nombreuses mesures adoptées durant la crise sanitaire provoquée par le Covid-19, il faut signaler le décret n° 2020-356 du 27 mars 2020 créant un traitement automatisé de données à caractère personnel dénommé « DataJust », publié au Journal Officiel le 29 mars 2020. Ce décret intervient dans le prolongement d’un avis favorable de la CNIL, assorti de diverses réserves, rendu le 9 janvier 2020 (cf. délibération de la CNIL n°2020-002 du 9 janvier 2020).

Création d’une base de données relative à l’évaluation des préjudices corporels

Ce décret autorise la mise en œuvre, pour une durée de deux ans, d’une base de données relative à l’évaluation des préjudices corporels, élaborée à partir des décisions des cours d’appel rendues ces trois dernières années (décisions rendues entre le 1er janvier 2017 et 31 décembre 2019), tant en matière administrative qu’en matière civile, à partir des bases de jurisprudence du Conseil d’Etat (Ariane) et de la Cour de cassation (JuriCa).

Cette base de données a pour finalité de permettre le développement d’un algorithme d’intelligence artificielle visant à recenser « les montants demandés et offerts par les parties, les évaluations proposées dans le cadre de procédures de règlement amiable des litiges [on comprend qu’il s’agit ici des procédures obligatoires et non confidentielles] et les montants alloués aux victimes pour chaque type de préjudice […], ainsi que les données et informations mentionnées [à l’article 2 du décret] ».

Seront ainsi rassemblées diverses données à caractère personnel et informations issues de ces décisions, listées en détail à l’article 2 du décret, incluant notamment les données relatives :

  • à l’état civil des victimes, à l’exception de leur nom (date de naissance, genre, lieu de résidence, lien de parenté pour les victimes par ricochet) ;
  • au contenu, à l’évaluation et au chiffrage des différents préjudices subis, extrapatrimoniaux et patrimoniaux, poste par poste. On relèvera que le décret intègre ici le recueil de données relatives à l’état de santé tenant à « l’état antérieur de la victime, ses prédispositions pathologiques et autres antécédents médicaux», ce qui relève plutôt d’une appréciation de la causalité que de l’évaluation des préjudices ;
  • aux faits générateurs (données relatives aux fautes civiles, infractions et condamnations pénales).

On relèvera que l’anonymisation des personnes physiques prévue ne concerne que les « parties » et non les différents auxiliaires de justice, magistrats et autres personnes physiques susceptibles d’être mentionnés dans les décisions.

Développement d’un algorithme d’intelligence artificielle comme futur « outil d’aide à la décision »

Les finalités poursuivies par le développement de cet algorithme consistent, selon les termes mêmes du décret, à :

  • « 1° La réalisation d’évaluations rétrospectives et prospectives des politiques publiques en matière de responsabilité civile ou administrative» ;
  • « 2° L’élaboration d’un référentiel indicatif d’indemnisation des préjudices corporels» ;
  • « 3° L’information des parties et l’aide à l’évaluation du montant de l’indemnisation à laquelle les victimes peuvent prétendre afin de favoriser un règlement amiable des litiges » ;
  • « 4° L’information ou la documentation des juges appelés à statuer sur des demandes d’indemnisation des préjudices corporels».

Les buts ici poursuivis par le développement de cet algorithme ont d’ores et déjà suscité de nombreuses réactions critiques. Il est fait état des biais susceptibles d’affecter un tel algorithme, ainsi que des craintes liées à l’émergence d’une future justice prédictive dans laquelle l’évaluation des préjudices serait automatisée et le rôle du juge limité ou exclu. On soulignera toutefois que l’avis de la CNIL prenait « acte des précisions selon lesquelles ce dispositif ne constituera qu’un outil d’aide à la décision » (cf. délibération du 9 janvier 2020, « sur les finalités du traitement »), de sorte que le rôle de modulation du juge n’a pas vocation, du moins en théorie, à être exclu.

Ont été également dénoncées les potentielles atteintes au Règlement Général sur la Protection des Données (UE) 2016/679 du 27 avril 2016 (« RGPD »), dont les règles doivent s’appliquer s’agissant de la création d’un traitement automatisé de données à caractère personnel.

On relèvera notamment que l’article 6 du décret prévoit que ne s’appliquent au traitement automatisé ici considéré, ni le droit à l’information prévu à l’article 14 du Règlement « compte tenu des efforts disproportionnés que représenterait la fourniture des informations [devant être] mentionnées », ni le droit d’opposition prévu à l’article 21 du Règlement « afin de garantir l’objectif d’intérêt public général d’accessibilité du droit ».

Le Conseil National des Barreaux, qui a adopté une motion critique dénonçant les risques d’atteintes aux droits des personnes et exigeant d’être associé aux travaux de développements de l’algorithme, a d’ores et déjà annoncé étudier toutes possibilités de recours à l’encontre de ce décret (cf. motion du CNB du 3 avril 2020).