Fermer la publicité
Journal d'information juridique et d'annonces légales

La machine administrative et l'administration de la machine : quels enjeux juridiques aujourd'hui

le - - Droit - Actualité du droit

La machine administrative  et l'administration de la machine :  quels enjeux juridiques aujourd'hui
@ AP - Le Cejen avait rassemblé un large panel d'experts pour cette matinée ayant pour thème "administration & numérique : quel

« Administration et numérique », tel était intitulée une matinée récemment organisée par le Centre d'Etudes Juridiques et Economiques du Numérique. Quel cadre juridique ? Quelle jurisprudence RGPD en France ? Que penser des collectes de données pour détecter les fraudes ? Sait-on faire face à la cybercriminalité ? Quelle place pour les blockchains dans l'administration ? Autant de vastes questions auxquelles un panel d'experts aux professions diverses est venu apporter quelques éléments de réponses.

Comme régulièrement, le Centre d'Etudes Juridiques et Economiques du Numérique (ou Cejen) organisait avec les étudiants du M2 Droit du Numérique d'Assas une matinée d'échanges et de débats, nourris par des intervenants divers et de grande qualité.

La matinée s'ouvrait par une intervention de Perica Sucevic, conseiller juridique qui œuvre au sein de la Direction interministérielle du numérique, occasion de revenir sur ses travaux accomplis et à venir. Du chemin a été parcouru depuis les lois de 1978 créant la Commission nationale de l'informatique et des libertés et la Commission d'accès aux documents administratifs (plus connues comme la Cnil et la Cada). Il y a eu une directive européenne en 2003, il y a surtout eu la loi pour une République numérique du 7 octobre 2016 qui écrit à l'article L311-1 du Code des relations entre le public et l'administration : « les administrations sont tenues de publier en ligne ou de communiquer les documents administratifs qu'elles détiennent aux personnes qui en font la demande ». Font exceptions notablement les données à caractère personnel (à moins qu'elles ne relèvent du service public des données de référence, comme par exemple le nom du gérant d'une société, d'un maire ou du président d'une association) et celles couvertes par un secret.

De la transparence des documents administratifs

La définition de ce qu'est un document administratif est assez large, puisqu'il s'agit de tout document produit par l'administration dans le cadre d'une mission de service public. La loi pour une République numérique y inclut ainsi notamment les algorithmes. Pas toujours très clairs pour qui n'est pas initié au codage, l'administration doit garantir aussi la diffusion de leurs principales règles et doit mentionner les droits de l'administré sur tout document relatant une décision prise par algorithme. Ce point fait d'ailleurs l'objet d'un contentieux devant le Conseil constitutionnel qui doit bientôt rendre une décision sur la diffusion des algorithmes utilisés par les universités pour faire leur sélection à partir de Parcoursup. Dès lors toutefois qu'il s'agit d'une intelligence artificielle autoapprenante, celle-ci ne peut être qu'une aide à la décision : on ne laisse pas à la machine, pour l'instant du moins, la possibilité de prendre une décision que l'on ne saurait expliquer.

Les travaux en cours dans l'administration en matière de numérique concernent l'automatisation de l'anonymisation des décisions de justice, l'optimisation géographique des actions menées par la police, l'identification et l'anticipation des difficultés rencontrées par les entreprises ou encore le projet « la bonne boîte » pour que Pôle Emploi puisse identifier les entreprises susceptibles d'embaucher et permettre aux demandeurs d'emploi de cibler les candidatures à venir. Il y aura aussi le défi soulevé par des questions de responsabilité : sur qui, par exemple, repose la faute d'un accident provoqué par un véhicule autonome ?

Une jurisprudence RGPD perfectible

L'Histoire et l'actualité de la protection des données ont aussi pu être rapportées par Marc Rees, Rédacteur en chef de Next INpact. A partir de cas récents comme les systèmes de reconnaissance faciale pour accéder à des lycées à Marseille et à Nice (des données sensibles, concernant en plus des mineurs) ou les micros qui avaient été installés à Saint Etienne sur des bancs publics pour orienter les caméras et l'action de la police (mais qui entendent aussi bien évidemment tout le reste), il note que la Cnil commence à se construire une jurisprudence à propos du RGPD.

Cette jurisprudence est toutefois perfectible : « La Cnil reste passive vis-à-vis de la jurisprudence européenne et doit fermer le robinet mémoriel ». Marc Rees vise ici les métadonnées conservées en France en dépit de l'arrêt Digital Rights du 8 avril 2014 de la CJUE. Cet arrêt, concernant notamment la compatibilité de la directive 2006/34 sur la conservation des données téléphoniques avec les traités, vient affirmer que « l'obligation imposée par les articles 3 et 6 de la directive 2006/24 aux fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communication de conserver pendant une certaine durée des données relatives à la vie privée d'une personne et à ses communications constitue en soi une ingérence dans les droits garantis par l'article 7 de la Charte des droits fondamentaux ». La France qui soutient que les données peuvent être conservées pour des intérêts vitaux se place en porte-à-faux vis-à-vis de cette jurisprudence. A venir sur ce sujet, la Chambre criminelle de la Cour de cassation se prononcera le 1er avril sur la conservation de données par l'AMF. A l'origine du pourvoi : Myriam Quéméner, présente à la matinée du Cejen.


Perica Sucevic, de la Direction interministérielle du numérique, et Emilie Seruga-Cau, de la Cnil.

L'usage des données par l'administration : « un changement assez flagrant de mode opératoire »

L'actualité récente du numérique a surtout été marquée par les débats autour de la loi de finances pour 2020, et notamment son article 154 qui autorise une expérimentation de collecte de données pour détecter les fraudes fiscales et douanières. Une actualité à propos de laquelle Emilie Seruga-Cau a pu témoigner en tant que chef du service des affaires régaliennes et des collectivités territoriales à la Cnil. Saisie en urgence le 28 août dernier, l'autorité indépendante avait rendu un avis critique sur ces dispositions le 12 septembre, largement repris par le Parlement puis par le Conseil constitutionnel au mois de décembre. L'enjeu ? Concilier respect de la vie privée et légitimité de l'objectif poursuivi à partir du concept, bien connu des juristes, de proportionnalité.

Emilie Seruga-Cau décrit un « changement assez flagrant de mode opératoire ». Auparavant, la logique voulait que l'investigation suive les soupçons : aujourd'hui, le plus grand nombre est surveillé pour les faire s'éveiller. « Ce n'est pas neutre pour les libertés individuelles et les comportements, précise-t-elle, cela peut dissuader de déposer un article sur Le bon coin par exemple ». Aussi la Cnil demandait-elle les garanties suivantes : que l'investigation soit restreinte aux seules « activités occultes », qu'elle se fasse uniquement à partir de données « manifestement rendues publiques » (ce qui, a priori, invaliderait celles qui auraient été collectées grâce à la création d'un « faux compte » espion par l'administration), que ce soit l'administration elle-même qui fasse les recherches et non un sous-traitant, tout en renforçant les exigences imposées pour qu'un fonctionnaire soit habilité à les mener. La Cnil a également demandé qu'un bilan d'étape soit fait avant la fin de la phase d'expérimentation et qu'il lui soit remis ainsi qu'au Parlement le 17 mars. Le Conseil constitutionnel, qui réexaminera le dispositif en fin d'expérience, a, lui, ajouté certaines exigences sur la destruction des données collectées, tout en censurant une disposition qui permettait l'exploitation automatique des données en ce qui concerne la majoration de 40 % pour les retards vis-à-vis du Fisc.

Pour Marc Rees, il y reste toutefois quelque chose de problématique dans le fait que Bercy s'auto-évalue. Pourquoi pas une autorité indépendante comme la Cnil ? « Quand j'étais étudiant, si on m'avait demandé de noter mes travaux, je me serais mis 20/20 tout le temps ! ».
Emilie Seruga-Cau lui rappelle alors que la Cnil ne peut pas contrôler toutes les administrations mais qu'elle étudie scrupuleusement tous les bilans qui lui sont adressés. D'autres questions soulevées par le rédacteur de Next INpact restent toutefois en suspens. Si, par exemple, en faisant usage des données une autre fraude que fiscale ou douanière est repérée (périmètre de l'expérimentation), y a-t-il un devoir d'en informer le Parquet ?

Sherlock Holmes et les ordinateurs

« Reste à voir la mise en œuvre en pratique », conclut Emilie Seruga-Cau. Une conclusion insatisfaisante selon le général Marc Watin-Augouard : il faut, pour lui, aussi poser la question de l'acceptabilité sociale, une large question qui est avant tout un choix politique. Ce n'est pas parce que le droit permet quelque chose que la société est prête à l'accepter. Est-il acceptable de remplacer Sherlock Holmes par un ordinateur ? Plus largement, est-ce que je supporte que les choses ne soient pas parfaites dans la lutte contre les fraudes pour me permettre d'être davantage libre ? « Un peuple qui sacrifie un peu de liberté pour sa sécurité ne mérite ni l'une ni l'autre », dit-il en citant Franklin. « Je dis cela, et pourtant je travaille pour la sécurité ».

Le général est directeur du centre de recherche de l'Ecole des officiers de la gendarmerie nationale, fondateur du forum international de la cybersécurité. Quelle est la raison d'être de l'Etat ? Au-delà de tout ce que l'on peut imaginer (la santé, l'économie, l'éducation etc.), c'est bien « protéger ». Et ce que nous enseigne la philosophie politique doit aussi s'appliquer sur la toile. Aujourd'hui, selon Marc Watin-Augouard, la cybersécurité est pourtant délaissée. Il n'y a par exemple que trois juges qui en sont des spécialistes au Parquet de Paris : « Trois ! » (c'est la section spécialisée F1).

Enjeu numéro 1 pour l'administration : épouser le tempo de la transformation numérique. Lancé en 2012, le RGPD n'a été mis en œuvre qu'en 2018. Six ans au cours desquels les transformations ont été nombreuses. Quel risque sinon ? Que le haut perde « sa fonction de chef d'orchestre ». S'il est bon que les idées viennent du terrain, il ne faudrait pas abandonner le monde numérique aux seuls prestataires privés. « Que l'Etat n'exerce sa fonction de protection que dans certains secteurs vitaux comme la lutte contre le terrorisme ? Ce n'est pas mon approche d'une République qui, pour moi, doit défendre le plus faible face à ses prédateurs ». Cette profession de foi du général Watin-Augouard le conduit à critiquer fortement le projet de loi Avia contre la haine en ligne : « Qui est en mesure de déterminer ce que j'ai le droit de dire ? Le juge n'est pas parfait mais est légitime. Il ne faut pas laisser la réponse aux opérateurs privés ».


Marc-Antoine Ledieu, avocat et enseignant à Paris II, à droite de Marc Rees, Rédacteur en chef de Next INpact.

Ce n'est pas qu'une question de moyens

En résumé, « il faut une cybersécurité au profit de la liberté », question bien compliquée car, conclut-il le regard vers la fenêtre, « il est plus facile d'assurer l'ordre rue Soufflot que dans un espace dont on a du mal à se représenter la matérialité ». Des enjeux que Myriam Quéméner est venue éclairer avec le regard d'une magistrate. Il y a des questions de moyens techniques et humains certes, mais aussi de culture, alors que la méfiance vis-à-vis du privé semble démesurée, et d'organisation. A quel département de la Cour d'appel de Paris est aujourd'hui rattachée la cybersécurité ? Bien malin qui peut deviner que cet élément central n'a pas son propre département et est rattaché à l'environnement, à la santé et à l'habitat insalubre après avoir été baladé du côté du financier.

Dans un contexte de guerre économique, il va aussi falloir accélérer sur le règlement e-evidence, car on a besoin de preuves qui puissent être soumises à un débat contradictoire pour caractériser une infraction et que les procédures après une cyber-attaque aillent un peu plus loin que l'ouverture d'une enquête, stade rarement dépassé aujourd'hui. On a aussi besoin d'identifier le fautif et pour cela il va falloir penser juridiquement ce qu'est l'identité numérique.

« Le grand absent »

Cette question de l'identification était, selon le Professeur Jérôme Huet, chargé de conclure la matinée, « le grand absent des débats ». Si la question de la protection des données que l'on fait remonter à l'administration était le « grand présent », l'identité numérique doit être mise en chantier. France Connect, « dispositif permettant de garantir l'identité d'un utilisateur en s'appuyant sur des comptes existants pour lesquels son identité a déjà été vérifiée », comme La Poste, impots.gouv, ou Ameli, « c'est un cauchemar pour un vieux con comme moi ». Le professeur souligne ainsi qu'à imposer le numérique dans nombre de démarches, l'administration fait face à une véritable problématique sociologique avec ceux que Périca Sucevic avaient nommé « les éloignés » qu'il faut accompagner vers le numérique, par exemple en leur offrant la possibilité (comme c'est le cas sur France Connect) de mandater un agent pour mettre en œuvre leurs démarches. Dans sa typologie de la population, cette catégorie se distingue de celle « des geeks », qui n'ont aucun problème avec le numérique, et de celle des « pragmatiques » qui se tournent vers le numérique que s'ils y trouvent un intérêt.

Tout en regrettant que ces données soient davantage là pour nous punir que pour nous aider (« on pourrait par exemple recevoir un mail pour nous rappeler, en tant qu'entrepreneur, qu'on a une déclaration trimestrielle à effectuer, même si l'on n'a connu aucune activité »), Jérôme Huet rappelle qu'autour de la loi Informatique et libertés de 1978, cette question de l'identification était centrale, avec l'idée que tout devient dangereux lorsqu'on nous pique notre identifiant et notre code. « Il y a une vraie réflexion à avoir autour du “être sûr que c'est nous”. Pourquoi par exemple ne pas utiliser les empreintes digitales comme nous le permet la technique et comme c'est le cas dans d'autres pays ? C'est bien plus fiable ». La question est posée.

« Néandertal, pharaon, blockchain : même combat »

Technologie en plein développement mais qui semble aussi obscure pour le grand nombre, la blockchain peut-elle être un outil pour l'administration ? L'avocat Marc-Antoine Ledieu s'est livré au cours de la matinée du Cejen a un exercice de vulgarisation assez réussi.

« Pour la blockchain, rien de bien différent que pour… Neandertal », explique le bédéphile Marc-Antoine Ledieu. Néandertal qui voit une plaine avec des animaux et un étang veut prévenir sa tribu. Mais comment faire ? Il peut hurler, mais la méthode est peu fiable et il n'est pas certain que le message soit bien compris. Il peut retrouver sa tribu : le message est alors conservé mais pourrait ne jamais être transmis si notre bonhomme se fait attaquer par un mammouth. Dessiner dans une grotte ? Le message sera bien conservé, mais le destinataire, qui doit aller au message saura-t-il le déchiffrer ? Du temps des pharaons, il y avait l'écriture, et le papyrus, mais, énervé, le monarque pouvait détruire le message à tout jamais. Tout cela pour dire que la blockchain (ou « chaîne de bloc » comme on devrait le dire en bon français), technologie qui semble difficile à appréhender pour un non-initié, ne fait que répondre à des enjeux qui ont toujours existé : transmettre une information subjective dans un message fiable.

Dans cet outil moderne apparu en 2009, le message est stocké dans un bloc et est verrouillé (il ne peut pas être modifié). Une série de nœuds s'échangent ces blocs et on a derrière cela des serveurs qui relaient les messages, accessibles à partir de terminaux (comme peut l'être un simple téléphone portable). L'intérêt de la chaîne de bloc : « On sait qui a écrit quoi et quand, et on sait que c'est bien cela qui a été écrit puisque le message est verrouillé ».

Une administration, fiscale par exemple, pourrait-elle avoir intérêt à utiliser une chaîne de bloc ? Plutôt que de multiplier les déclarations, le fournisseur d'un bien, son producteur, son publicitaire pourrait stocker toutes les déclarations dans une chaîne de blocs. Oui, mais il est un bémol sérieux : ce n'est pas parce que l'information est dans la blockchain qu'elle est vraie. N'importe qui peut se tromper dans sa déclaration de TVA. Il faudrait alors poser comme impératif juridique que « l'expéditeur est seul responsable des informations qu'il envoie ». Reste que dans toute une catégorie de blockchain, il n'existe pas de conditions juridiques d'accès.

En attendant, pourrait-on se servir de messages déposés sur une blockchain comme preuve, pour l'opposer par exemple à l'administration ?
Trois cas pourrait rendre la chose possible. Tout d'abord, il n'y aurait pas de soucis si la loi reconnaissait une blockchain. Ce n'est pas le cas. « Notre droit permettant d'appréhender de manière satisfaisante les questions probatoires soulevées par les chaînes de blocs, il ne nous paraît donc ni nécessaire, ni opportun de créer un cadre légal spécifique », répondait toutefois Nicole Belloubet à une question parlementaire le 10 décembre 2019. « En matière probatoire, si aucun texte juridique ne mentionne spécifiquement la blockchain, il n'en résulte pour autant aucun vide juridique », expliquait-elle notamment. Difficile néanmoins de miser sur une blockchain pour l'emporter devant un juge, d'après Marc-Antoine Ledieu. Deuxième piste possible, le règlement européen Eidas pose que la signature électronique dite « qualifiée » a la même force probante qu'un écrit papier. Mais à 150 € la signature, la facture est salée pour qui a à faire 1 000 certificats fiscaux par mois… Dernier cas envisageable, les contrats sur la preuve. Marc-Antoine Ledieu souligne que même si on en a tous accepté un un jour (rien que pour notre carte bleue), ils font peur. Il suffirait pourtant d'écrire : « le contenu des messages est opposable à tous les membres du réseau ».

Hors de ces trois cas, la blockchain semble ne rien valoir devant l'administration, même si aucune jurisprudence n'existe encore en France.




Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide


Fermer
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et de technologies similaires par notre société ainsi que par des tiers, afin de réaliser des statistiques d'audiences et de vous proposer des services éditoriaux et la possibilité de partager des contenus sur des réseaux sociaux. En savoir plus / paramétrer