Blockchain et assurance algorithmique : quelle conformité RGPD ?

assurance algorithmiqueFace au défi de la transformation digitale, le recours à l’assurance algorithmique est une opportunité à saisir.

Portée par l’émergence des objets connectés et l’énorme source de données qu’ils génèrent, l’assurance algorithmique promet d’anticiper et de réduire le risque, d’ajuster la tarification des contrats et de proposer des solutions assurantielles de plus en plus personnalisées.

Tous les maillons de la chaîne de valeur de l’assurance sont concernés :

  • en amont, le big data permet de mieux appréhender les risques grâce aux objets connectés et de pouvoir adopter l’offre et les tarifs en tenant compte du comportement de l’assuré ;
  • en aval, des outils stratégiques ont été conçus afin de combattre la fraude et de prévoir des indemnisations plus efficaces.

Le secteur de l’assurance est particulièrement concerné par la protection des données personnelles. La collecte et le traitement d’informations concernant les assurés sont indispensables au fonctionnement de l’assurance algorithmique et plus largement à l’exercice du métier.

Les professionnels de l’assurance doivent ainsi s’adapter au nouveau cadre législatif instauré par l’entrée en application du RGPD le 25 mai 2018 (1).

Profilage et algorithmes décisionnels

La nouvelle définition du profilage

Le premier domaine dans lequel le RGPD aura sans aucun doute un impact majeur sur le secteur des assurances est celui du profilage.

Le règlement introduit une définition large du « profilage » défini comme :

Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.

Le profilage est utilisé de manière courante dans le secteur des assurances dans le cadre de l’appréciation des risques.

Traditionnellement, l’assureur menait son analyse à partir du formulaire de déclaration du risque rempli par l’assuré. Désormais, le couplage de l’algorithme avec les objets connectés et la big data, permet aux assureurs d’affiner l’évaluation des risques.

L’algorithme assurantiel annonce ainsi une évaluation plus fine des risques s’appuyant sur des données.

Le régime particulier des décisions automatisées

En pratique, l’établissement de profils et le recours à des algorithmes, appliqués à des jeux de données personnelles, peuvent mener à la prise de décisions entièrement automatisées.

Tel est le cas lorsqu’une compagnie d’assurance utilise un algorithme pour calculer les primes d’assurance qu’elle offre aux clients potentiels via son site web.

L’article 22 du RGPD consacre le droit de ne pas faire l’objet de décision entièrement automatisée.

Pour les professionnels de l’assurance, ce droit, octroyé aux personnes concernées par le traitement (client, prospect, assuré etc.), se traduit par un principe d’interdiction générale du recours à l’algorithme décisionnel lorsque la décision :

  • est fondée uniquement sur le traitement automatisé, c’est-à-dire sans intervention humaine ;
  • produit des effets juridiques ou affecte de manière significative la personne concernée.

Tel pourrait être le cas lorsque le scoring obtenu par l’algorithme conduirait à appliquer des tarifs plus élevés, voire même à refuser la couverture d’individus jugés « à risque ».

Cette interdiction ne peut être levée en faisant intervenir artificiellement une personne humaine sans qu’elle ne s’implique dans le processus de décision. En effet, le G29 considère que la personne intervenant dans le processus doit avoir l’autorité et la compétence pour changer cette décision (2).

Cette interdiction pourra cependant être levée dans les cas où la décision est :

  • nécessaire à la conclusion ou à l’exécution d’un contrat, à charge pour le responsable du traitement d’être en mesure de prouver qu’aucun autre moyen efficace et moins intrusif aurait permis d’atteindre le même objectif ;
  • autorisée expressément par la loi ;
  • ou fondée sur un consentement explicite de la personne concernée, tel qu’une déclaration écrite et signée de la personne concernée ou qu’un consentement en deux étapes.

Dans les cas où le profilage est autorisé, le professionnel de l’assurance devra encore :

  • informer la personne concernée de l’existence d’une prise de décision automatisée, de la logique sous-jacente de l’algorithme, ainsi que de l’importance et des conséquences probables d’un tel profilage ;
  • permettre à la personne concernée d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision.

L’exigence de fournir la logique sous-jacente de l’algorithme vise notamment à éviter les boîtes noires, ces algorithmes opaques qui ne donnent aucune indication sur le « raisonnement » qu’ils ont suivi pour y arriver à leur décision.

A ce titre, l’explicabilité des algorithmes constitue ainsi un enjeu fondamental de conformité pour les professionnels de l’assurance. Cet enjeu a d’ailleurs été mis en lumière au sujet de l’intelligence artificielle dans le rapport de Cedric Villani (3).

Les professionnels de l’assurance devront s’assurer de l’explicabilité de leurs algorithmes décisionnels dès la conception de leur projet.

Smart contracts et blockchain en assurance

Les smart contracts sont des programmes informatiques chargés d’exécuter les termes d’un contrat, de manière automatique, sans intervention humaine, lorsque les conditions du contrat sont réunies.

Les smart contracts ont l’intérêt de réduire les coûts de vérification, d’exécution, d’arbitrage et de fraude.

En assurance, l’utilisation de smart contracts est particulièrement pertinente dans le cas de risques dits “paramétriques c’est-à-dire dans le cas où l’assurance est liée à un indice objectif/ événement spécifique et tangible.

A titre d’exemple, l’assureur Axa a lancé une offre d’assurance paramétrique, baptisée Fizzy, qui déclenche automatiquement et immédiatement l’indemnisation des passagers en cas de retard de leur vol. L’assuré n’a pas de justificatif à fournir, il sait à l’avance la somme qui lui sera remboursée (en fonction du dommage qu’il a souhaité garantir à la souscription), le prix de la police est calculé en fonction du risque de retard (d’après les statistiques), tandis que l’assureur n’a pas de déclaration de sinistre à traiter.

C’est dans une telle situation que le couplage des objets connectés avec les smart contracts prend tout son sens. Les données enregistrées et transmises par les capteurs d’objets connectés (voiture, maison, etc.) vont permettre de générer automatiquement des dédommagements à l’assuré.

Par ailleurs, Fizzy et les smart contracts, de manière générale, sont souvent couplés avec la technologie blockchain, afin de rendre infalsifiables leurs termes et les conditions de leur exécution.

La blockchain est une base de données dans laquelle les données, registre immuable d’information, sont partagées de pair à pair entre les membres du réseau et dans laquelle toutes les écritures effectuées dans ce registre, appelées « transactions« , sont visibles de l’ensemble des utilisateurs, depuis sa création. Elle permet de stocker et d’échanger des données de manière sécurisée et décentralisée.

La Cnil a publié, le 24 septembre 2018, ses premiers éléments d’analyse sur la blockchain et sur sa compatibilité au RGPD (4).

Elle considère que le RGPD s’applique lorsque la blockchain concerne des données personnelles. Il convient alors de procéder à la qualification des acteurs au sens du RDPD (responsable du traitement, sous-traitant etc.).

La Cnil distingue trois types d’acteurs dans une blockchain :

  • les « accédants » qui ont un droit de lecture et d’obtention d’une copie de la chaîne ;
  • les « participants » qui ont un droit d’écriture (la création d’une transaction qu’ils soumettent à validation) ;
  • les « mineurs » qui valident une transaction et créent les blocs en appliquant les règles de la blockchain, afin qu’ils soient « acceptés » par la communauté.

La multiplicité des acteurs intervenant dans le traitement de la donnée dans le cadre de la blockchain ne simplifie pas la qualification de ces derniers. La Cnil est néanmoins parvenue à dégager certaines tendances, applicables notamment au secteur de l’assurance.

La Cnil considère que le participant est susceptible d’être qualifié de responsable de traitement, notamment lorsqu’il est une personne morale qui inscrit une donnée à caractère personnel.

Si une compagnie d’assurance inscrit les données de ses clients dans une blockchain, dans le cadre de ses traitements de gestion des clients, elle pourra être qualifiée de responsable de traitement.

Il est également possible de considérer, dans certains cas, les « mineurs » comme des sous-traitants au sens du RGPD, notamment en ce qu’ils valident l’enregistrement de données à caractère personnel dans une blockchain pour le compte du responsable du traitement.

Par exemple, si plusieurs compagnies d’assurance décident de créer une blockchain à permission (5) pour leur traitement, ayant pour finalité le respect de leurs obligations légales de connaissance client, elles peuvent décider que l’une d’entre elle est responsable de traitement. Dans ce cas, les autres compagnies d’assurance qui valident les transactions, seront susceptibles d’être considérées comme étant « mineurs » et donc sous-traitants.

Concrètement, ces qualifications vont impliquer la signature obligatoire d’un contrat entre le participant et le « mineur », précisant les obligations de chaque partie et reprenant les dispositions de l’article 28 du RGPD.

Les différents acteurs risquent de rencontrer des difficultés pratiques à mener cette contractualisation dans le cadre d’une blockchain publique (6). La Cnil a annoncé mener actuellement une réflexion sur le sujet.

L’analyse d’impact : un outil de conformité pour les professionnels du secteur

L’article 35 du RGPD a instauré un outil important pour la responsabilisation des entreprises.

Ce dernier prévoit la conduite d’une analyse d’impact relative à la protection des données (AIPD – Data Protection Impact Assessment), lorsqu‘un traitement de données personnelles est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées« .

Le G29 propose différents critères permettant de déterminer si une opération de traitement considérée nécessite une AIPD :

  • évaluation/scoring (y compris les activités de profilage et de prédiction) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat.

Le groupe de l’article 29 considère que, dans la plupart des cas, le responsable du traitement peut considérer qu’un traitement satisfaisant à deux critères nécessite une AIPD. Un regard rapide sur ces différents critères permet, à l’évidence, de comprendre que l’analyse d’impact constitue un outil incontournable dans le cadre de l’assurance algorithmique.

L’analyse d’impact aide, non seulement à construire un projet respectueux de la vie privée, mais constituera également un moyen pour les professionnels de l’assurance de démontrer leur conformité au RGPD.

Il convient pour les professionnels du secteur d’intégrer le recours à cet outil dans leur procédure interne.

Quelle éthique pour l’assurance algorithmique ?

La révolution du secteur de l’assurance est si puissante que de nombreux acteurs professionnels de l’assurance s’inquiètent d’une remise en cause d’un principe fondateur en assurance, celui de la mutualisation des risques. L’hyper-individualisation des offres induite par l’IA compromet l’idée même de l’assurance basée sur le partage du risque.

La Cnil s’est d’ailleurs récemment positionnée sur ce sujet, à l’occasion d’un grand débat public sur les algorithmes et l’IA (7). Elle se prononce en faveur de l’affirmation d’un principe de loyauté des algorithmes qui reposerait notamment sur l’idée que les critères d’un algorithme ne doivent pas entrer en opposition « trop frontalement » avec certains grands intérêts collectifs.

La mutualisation pourrait en ce sens faire partie intégrante d’un patrimoine collectif que l’algorithme – de personnalisation, de segmentation tarifaire, en l’occurrence – doit savoir prendre en compte.

L’assurance algorithmique compte encore ainsi de nombreux défis à relever. Un paramètre semble pour autant établi : son essor devra s’effectuer dans le respect de la protection des données à caractère personnel.

Didier Gazagne
Gabriel de Bousquet
Lexing Cyberdéfense – cybersécurité

(1) Règlement (UE) 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(2) Lignes directrices sur le profilage, actualisation du 6-2-2018.
(3) « Donner un sens à l’intelligence artificielle : pour une stratégie nationale et européenne » Rapport de Cédric Villani au Premier ministre, 3-2018.
(4) Premiers éléments d’analyse de la Cnil sur la blockchain, 9-2018.
(5) Blockchains disposant de règles définissant les personnes qui peuvent participer au processus d’approbation ou même effectuer des transactions. Elles peuvent, selon les cas, être accessibles à tous ou être en accès limité.
(6) Blockchains accessibles à n’importe qui dans le monde. Toute personne peut effectuer une transaction, participer au processus de validation des blocs ou obtenir une copie de la blockchain.
(7) Synthèse de la Cnil, « Comment permettre à l’homme de garder la main ? les enjeux éthiques des algorithmes et de l’IA » 9-2017.




Des algorithmes prédictifs à la « police prédictive »

Des algorithmes prédictifs à la « police prédictive »Nombreux sont les secteurs d’activité qui aujourd’hui s’appuient sur l’utilisation des algorithmes prédictifs.

A titre d’exemple, leur utilité, voire leur nécessité, dans les domaines du marketing, de la finance ou encore de la santé est désormais acquise.

Le domaine de la lutte contre la délinquance et la criminalité n’échappe pas à cet engouement.

En effet, la vocation des algorithmes prédictifs est de permettre, au regard de l’analyse des faits passés, d’anticiper les évolutions et pourquoi pas les comportements futurs. Quoi de plus intéressant, donc, que de pouvoir, à l’aide de cette technologie, identifier les futures infractions à être commises afin d’en empêcher la réalisation ?

Si à ce jour une telle utilisation des algorithmes prédictifs est encore hypothétique, les logiciels de police prédictive sont toutefois déjà légion.

Ces applications sont principalement des logiciels dits de « prédiction spatio-temporelle », qui permettent de déterminer les lieux et heures présentant un risque d’infraction particulièrement important. Il s’agit de cartographier les infractions et de prédire les tendances, c’est-à-dire les zones et périodes « à risque », afin notamment d’affecter les ressources humaines policières là où l’on peut penser qu’elles seront les plus utiles.

Parmi les outils d’ores et déjà utilisés se fondant sur la technologie des algorithmes prédictifs, il est également possible de citer les applications permettent d’analyser et d’expliciter des situations présentes, par exemple en vue de déterminer les relations sociales entre des personnes dans le cadre des enquêtes policières.

Les autres pistes envisagées en matière de police prédictive, à savoir les méthodes visant à prédire les criminels (c’est-à-dire identifier les individus qui présentent un risque élevé de commettre un crime dans un futur proche), l’identité des coupables (c’est-à-dire désigner des coupables probables pour des crimes spécifiques ayant déjà eu lieu) ou encore les victimes de crimes (c’est-à-dire déterminer les groupes de gens, voire les individus, qui font face à un risque accru d’être victimes de crimes dans un futur proche), en sont encore à leurs prémices.

Néanmoins, qu’il s’agisse de prédire le futur ou d’analyser le présent, l’utilisation des algorithmes prédictifs nécessite un recours à une collecte massive de données, qui constituent la source de l’analyse prédictive en ce qu’elles alimentent les applications à vocation opérationnelle.

Or, si divers types de données peuvent avoir vocation à être traités dans ce cadre, en fonction du secteur économique concerné et de la finalité recherchée, les analyses prédictives nécessitent bien souvent l’utilisation de données à caractère personnel.

Une telle utilisation peut soulever certaines interrogations s’agissant notamment du respect des libertés individuelles et droits fondamentaux. Sur ce point, et sans remettre en cause l’utilité et l’intérêt que représentent les avancées en matière de police prédictive, il convient tout de même de rappeler que le recours aux algorithmes prédictifs doit s’inscrire dans le respect des dispositions de la loi Informatique et libertés (1), à savoir notamment le principe de finalité, de légitimité et de loyauté de la collecte et du traitement, le principe de proportionnalité (en particulier s’agissant des données collectées et des durées de conservation), etc.

En outre, une telle utilisation mène nécessairement à traiter des informations relatives à des infractions, condamnations et mesures de sûreté, données dont le traitement fait l’objet d’un encadrement particulier.

Par ailleurs, il convient de rappeler que l’utilisation de données à caractère personnel à des fins d’analyse prédictive ne doit en aucun cas mener à une prise de décisions produisant des effets juridiques à l’égard d’une personne sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité, sans intervention humaine et sans que la personne concernée ne soit mise à même de présenter ses observations.

Dès lors, si à terme l’utilisation des algorithmes à des fins de police prédictive devait avoir vocation à permettre de prendre des décisions produisant des effets juridiques à l’égard de personnes qui seraient susceptibles de commettre une infraction par exemple, alors il conviendrait d’assurer l’effectivité de l’intervention humaine dans toute prise de décision, comme le précise le Conseil d’État dans son rapport annuel de 2014 sur le numérique et les droits fondamentaux (2). Cette intervention humaine devrait être prise en charge par des personnes compétentes, capables d’interpréter et de remettre en cause les résultats de l’algorithme ou du moins de ne pas être aveuglées par ces derniers.

Par ailleurs, les algorithmes prédictifs constituant, au regard des prédictions réalisées, un véritable outil d’aide à la prise de décision, des difficultés peuvent en résulter en termes de responsabilité : quid d’une mauvaise interprétation des résultats par exemple et du préjudice qui pourrait en résulter ? quid de la réparation de ce préjudice ?

Enfin, la question de la preuve est également structurante, qu’il s’agisse de déterminer la validité et la force probante des informations restituées grâce à un algorithme (si cette question se pose dans le cadre de toute utilisation de cette technologie, elle est particulièrement prégnante s’agissant des pratiques de police prédictive), ou encore de démontrer la véracité des résultats obtenus au moyen d’algorithmes prédictifs.

Ce sont là les enjeux de la police de demain, nécessitant, entre autres, de trouver un juste équilibre entre prévention des infractions et respect de l’arsenal juridique et éthique applicable en matière de protection des droits des personnes.

Alain Bensoussan
Lexing Droit Marketing électronique

(1) Loi 78-17 du 6-1-1978 : www.legifrance.gouv.fr
(2) www.conseil-etat.fr




Algorithmes prédictifs et santé : aspects juridiques

Algorithmes prédictifs et santé : aspects juridiquesLes algorithmes prédictifs sont au cœur des enjeux économiques, éthiques et juridiques de notre société.

En effet, l’attrait que présentent les méthodes analytiques et outils prédictifs suscite l’intérêt d’une multitude d’organismes dans différents domaines, comme la finance, les assurances, le marketing.

Mais les avancées de cette technologie sont particulièrement considérables en matière de santé et de médecine. Ainsi, les algorithmes prédictifs sont utilisés pour la réalisation de diagnostics génétiques en vue de permettre de prédire quels seront les patients qui ont le plus de probabilité d’être atteints d’une pathologie donnée, ou encore pour déterminer les mutations génétiques impliquées dans le développement de certaines maladies.

Pour une autre illustration, des chercheurs sont parvenus à créer un programme d’analyse linguistique ayant pour objectif de détecter chez un patient les risques de développer une psychose.

Les services d’assistance et d’urgence se lancent également dans cette tendance, avec le déploiement d’algorithmes prédictifs permettant de prédire la gravité des blessures des occupants d’une voiture accidentée, par exemple, afin d’anticiper et d’organiser de manière adéquate l’arrivée des secours ou encore l’admission aux urgences d’un établissement hospitalier. De même, des outils d’aide au diagnostic clinique se développent et un calculateur de risque de décès à destination des 40-70 ans vient même de voir le jour.

Plus que de simples tendances, les algorithmes prédictifs permettent donc de faire émerger de véritables prédictions.

Si ces avancées technologiques en matière de santé représentent un gain dans l’absolu, le déploiement et la multiplication d’outils basés sur des algorithmes prédictifs se heurtent à certaines difficultés éthiques, mais également juridiques.

En premier lieu, les analyses prédictives nécessitent l’utilisation de données à caractère personnel. Or, le traitement de telles données est soumis à diverses dispositions, notamment à la loi dite Informatique et libertés (1). A cet égard, les dispositions applicables imposent le respect d’un certain nombre d’obligations et de principes, tels que le principe de limitation de la finalité du traitement, l’obligation de ne collecter que des données strictement pertinentes, adéquates, de recueillir le consentement des personnes concernées dans certaines hypothèses et  l’obligation d’effectuer des formalités déclaratives auprès de la Cnil.

De plus, s’agissant de données de santé, et donc de données sensibles au sens de la loi susvisée, une obligation renforcée en vue de la préservation de leur sécurité et de leur confidentialité s’impose, et ce d’autant plus que de telles données peuvent être soumises au secret professionnel.

L’hébergement de données de santé sur support informatique est également soumis à un régime particulier, un agrément spécifique devant être obtenu avant de pouvoir procéder à une telle activité.

Aussi, tout projet de déploiement d’outils ou de services fondés sur des algorithmes prédictifs doit être préalablement géré au regard du concept de « privacy by design », ce concept consistant à concevoir des produits et des services en prenant en compte dès leur conception les aspects liés à la protection de la vie privée et des données à caractère personnel.

En second lieu, la création et le développement d’outils de médecine prédictive, mais également leur utilisation, peuvent être soumis à des formalités ou conditions particulières s’agissant des acteurs de tels projets. A titre d’exemple, en fonction de la technologie envisagée, il conviendra de déterminer si l’outil ne peut être utilisé que par l’intermédiaire de professionnels de santé ou directement par les patients. Dans cette hypothèse, qu’advient-il de l’obligation de conseil ? N’existe-t-il pas des risques que la fourniture d’un tel outil soit considérée comme un acte d’exercice illégal de la médecine ?

En outre, l’objet même des produits ou services de santé prédictive pourrait imposer d’obtenir des autorisations ou agréments spécifiques.

Ces interrogations doivent donc être soulevées en amont, dans le cadre de la conception du projet, afin d’anticiper toute difficulté à venir.

Enfin, les algorithmes prédictifs constituent, au regard des prédictions réalisées, un véritable outil d’aide à la prise de décision. Des difficultés peuvent donc en résulter en termes de répartition des responsabilités associées. Ces difficultés se posent dans les relations entre les fournisseurs de technologies et les professionnels de santé, mais également à l’égard des patients.

Un médecin réalisant un diagnostic au moyen d’un outil de prédiction est-il déchargé de toute responsabilité ? Qui est responsable d’une erreur dans la détermination du niveau d’urgence en vue de la prise en charge d’un patient au regard d’une analyse prédictive ? Comment encadrer ou limiter cette responsabilité ? Quels aspects anticiper dans le cadre de la contractualisation avec les professionnels de santé et /ou les patients ?

Autant de questions que la conception d’outils de médecine prédictive fondés sur des algorithmes de prédiction impose de se poser (et d’y répondre) avant tout déploiement effectif.

Alain Bensoussan
Lexing Droit Marketing électronique

(1) Loi 78-17 du 6-1-1978 modifiée.




Les algorithmes prédictifs au cœur des stratégies e-commerce

Les algorithmes prédictifs au cœur des stratégies e-commerceL’algorithme s’est imposé comme un outil incontournable pour cibler au mieux le consommateur par des  recommandations personnalisées : publicité ciblée, retargeting publicitaire, etc.

La dernière mode est même aux algorithmes prédictifs, au cœur de la stratégie e-commerce des entreprises.

En combinant l’analyse de données avec les statistiques prédictives, les e-commerçants tentent de prévoir les comportements des consommateurs, notamment des internautes, et agir par anticipation.

En pratique, les moteurs d’algorithme prédictifs, ou encore de marketing prédictif, ont vocation à agréger tous types de données sur les internautes, afin de proposer à chaque individu des produits ou un contenu qui correspondent à ses besoins et/ou ses envies.

A cette fin, les données agrégées peuvent provenir de nombreuses sources telles que les achats d’ores et déjà effectués par le consommateur, son adhésion à des programmes de fidélité ou de récompenses, la navigation de l’internaute sur les moteurs de recherche et sur internet de manière générale, les commentaires mis en ligne par le client sur des produits achetés au préalable, ou encore le comportement de l’internaute s’agissant de ses courriels, voire le contenu de ces courriels.

Pour aller encore plus loin, certains commerçants en ligne se dotent d’outils de filtrage collaboratif ayant vocation à identifier les produits qu’ont achetés d’autres internautes ayant le même profil.

Par ailleurs, outre l’utilisation de l’analyse prédictive et du big data à des fins de pur marketing, le secteur du e-commerce a également recours à ces techniques à des fins de lutte contre la fraude au paiement en ligne. En effet, de nombreux modules de lutte contre la fraude à la carte bancaire par exemple reposent sur des techniques de scoring faisant appel à des calculs reposant sur des algorithmes prédictifs et statistiques décisionnelles.

A ces techniques d’analyse prédictive peut également s’associer la technique du « machine learning », ou algorithme d’apprentissage, une branche de l’intelligence artificielle visant à doter les ordinateurs de la capacité d’améliorer leurs performances sans intervention humaine : l’algorithme progresse ainsi par lui-même. Certains sites internet ajoutent également au modèle prédictif une couche de web sémantique…

En tout état de cause, ces techniques imposent de s’appuyer sur une collecte massive de données à caractère personnel des internautes, une telle collecte devant être particulièrement encadrée.

Or, si des règles existent d’ores et déjà en matière de traitement et de protection des données à caractère personnel, elles ne paraissent pas toujours appropriées que ce soit au secteur de l’e-commerce, ou encore aux techniques mises en œuvre dans le cadre de l’utilisation des algorithmes prédictifs, et peuvent nécessiter une adaptation dans leurs modalités d’interprétation et d’application. De nouvelles règles du jeu doivent être définies [1].

L’utilisation des algorithmes prédictifs dans le secteur du e-commerce peut également mener, si elle n’est pas encadrée, à des pratiques pouvant être considérées comme déloyales, voire trompeuses ou agressives, à l’encontre des consommateurs.

Aussi, un grand nombre d’acteurs tentent à ce jour d’encadrer de telles pratiques en rappelant dans diverses publications les règles juridiques applicables mais également en définissant des règles métiers sectorielles, particulièrement pour ce qui concerne le secteur du e-commerce.

En effet, si le Conseil d’Etat s’est récemment penché sur la question [2], imposant aux auteurs de décisions s’appuyant sur la mise en œuvre d’algorithmes prédictifs une obligation générale de transparence dans l’utilisation des données des internautes ou encore donnant des pistes pour limiter le développement de pratiques commerciales déloyales en ligne reposant sur l’utilisation d’algorithmes prédictifs (par exemple, la différenciation des prix en fonction des internautes), d’autres professionnels du secteur se penchent sur les questions soulevées par l’utilisation de telles techniques.

Ainsi, de nombreux livres blancs fleurissent sur des thèmes variés (de type « Booster son e-commerce au moyen de recommandations prédictives », « le big data prédictif », etc.) mais toujours axés autour du même sujet : comment utiliser au mieux les algorithmes prédictifs dans le cadre d’une stratégie e-commerce tout en sécurisant juridiquement ces pratiques ?

Ce mouvement de prise de conscience générale doit être l’occasion pour les organismes recourant aux techniques algorithmiques d’analyse prédictive de procéder à un audit juridique de ces pratiques en amont de leur déploiement afin de sécuriser leur utilisation, et ce d’autant qu’à n’en pas douter, l’utilisation massives des données des internautes n’en est qu’à ses prémices.

Alain Bensoussan
Lexing Droit Marketing électronique

[1] Voir « Analyse prédictive, Big Data et protection des données », Post du 18-12-2014
[2] Voir « Algorithmes prédictifs : des enjeux économiques et juridiques », Post du 17-10-2014