Lexing Alain Bensoussan à la Nuit des Legaltechs : Data et algorithmes

Nuit des legaltechsLe cabinet Lexing Alain Bensoussan a largement participé à la Nuit des Legaltechs 2019, organisée par l’Incubateur du Barreau de Paris et le Barreau entrepreneurial.

La soirée qui a débuté par une intervention de Marie Aimée Peyron, Bâtonnier de Paris et une présentation des activités de l’incubateur ainsi que des projets incubés dans le cadre du programme d’incubation physique mené par l’incubateur, s’est déroulée le 19 novembre au Cloud Business Center.

La Nuit des Legaltechs 2019 : Data et algorithmes

La conférence sur « La data, levier de développement de vos cabinets », était animée par Nathalie Attias et Arnaud Touati. Alain Bensoussan, Jean-Luc Sauron, Thierry Wickers et Grégory Lewkowicz.

La conférence était suivie de tables rondes sous forme de speed coaching (12 tables de 10 personnes dont 2 intervenants avec 4 tours de 20 minutes soit 80 minutes).

 

Tables rondes de la Nuit des Legaltechs 2019

Déontologie et legaltech

  • Nathalie Attias, Avocat
  • Zakia Baki, Avocat

L’incubateur répond à vos questions

  • Mathieu Bui, Avocat
  • Eva Moral, Avocat
  • Melhik Boudemagh, Président d’Hercule

Comment trouver des clients avec les plates-formes de mise en relation ?

  • Mathieu Davy, Avocat, (Call a lawyer)
  • Julien Latouche (Votre Robin)
  • Pierre-Xavier Chomiac de Sas, Avocat

Publicité, notation et avocats

  • Louis Degos, Avocat
  • Frédérique Bonaventura, Lexposia

RGPD : suis-je en conformité ?

  • Jérôme Deroulez, Avocat
  • Pierre-Emmanuel Frogé, Avocat

Comment apprivoiser l’intelligence artificielle ?

  • Thierry Wickers, Avocat
  • Jacques Lévy Vehel, Case law analytics

Exploiter ses data

  • Pierre-Igor Legrand, Avocat
  • Pierre Affagard, Avocat

Le legal design

  • Caroline Laverdet, Avocat

Comment créer une legaltech ?

  • Alexis Deborde, Consultant, responsable du programme incubation de l’incubateur
  • Harry Allouche, Avocat

Justice prédictive retours d’expériences et nouveaux usages

Prendre le contrôle de ses données : enjeux de sécurité, confidentialité et secret pro

Productivité et avocat de demain

  • Arnaud Touati, Avocat
  • Léo Régoli, Chef de projet Legaltech chez Hercule
  • Justine Menu, Judi’predis




Lexing Alain Bensoussan Avocats présent à Voicetech Paris

Voicetech Paris écosystème vocalAlain Bensoussan évoque l’encadrement juridique de l’écosystème vocal. Voicetech Paris se tient les 26 et 27 novembre 2019 aux Salons de l’Aveyron (75012)

Voicetech Paris est le premier événement B2B dédié aux technologies vocales en France.

Deux jours pour découvrir les premiers cas d’usage en entreprise et comprendre les enjeux associés aux technologies vocales, au travers de 48H de conférences stratégiques de haut niveau et d’ateliers avec nos partenaires exposants et startups.

Plus de 700 participants et une cinquantaine de speakers seront présents lors des deux jours de conférence.

Réglementations et cadre légal de l’écosystème vocal

Mercredi 27 Novembre de 10h00 à 10h30

Point juridique de Me Alain Bensoussan,
Avocat en droit du numérique et des technologies avancées,
Lexing Alain Bensoussan Avocats.

ChatBots, VoiceBots, agents virtuels et conversationnels… On ne présente plus ces nouveaux outils qui reconfigurent les interactions.

Les agents conversationnels capables d’interagir avec les humains sont partout ; qu’ils soient intégrés sur des plateformes de messagerie instantanée ou via des enceintes connectées, ils facilitent les échanges pour une plus grande interactivité, un dialogue de plus en plus convivial, au service principalement de la relation client.

L’enjeu des technologies vocales pour les particuliers comme les entreprises est considérable. D’autant qu’une intelligence artificielle de plus en plus apprenante (deep learning), reposant sur des algorithmes sans cesse plus performants se nourrissant du big data, est en train de révolutionner le secteur, entraînant, ici comme ailleurs, un nécessaire encadrement juridique et éthique des algorithmes.

Programme

Eric Bonnet
Avocat
Directeur de la communication juridique




Vers un encadrement juridique des algorithmes et des robots

Vers un encadrement juridique des algorithmes et des robots,Alain Bensoussan évoque pour Digital Mag l’encadrement juridique qu’appelle le développement exponentiel des algorithmes et des activités robotiques.

A l’heure où l’intelligence artificielle est partout, il est temps selon Alain Bensoussan d’organiser la mixité homme-machine. Pour cela, un préalable à ses yeux : encadrer au plan juridique l’IA et les systèmes robotisés.

C’est ce qu’il explique dans la chronique qu’il tient dans le magazine Digital Mag : il faudra nécessairement créer un droit particulier, gouverné par le concept de dignité. Avec en filigrane un enjeu crucial : qui aura le dernier mot ? Qui tranchera, en dernier ressort, des humains ou des IA, en position finale dans une situation critique ?

Les droits des algorithmes et des robots

En réalité, les systèmes robotisés et algorithmiques ont déjà des droits :

« L’apparition de normes, certes encore empiriques et sectorielles, dessinent lentement mais sûrement les contours d’un véritable droit des robots. Et peu importe si cet avènement est le fruit d’un ensemble de règles de droit tantôt obligatoires tantôt non contraignantes, mais qui en pratique, ont le mérite de « montrer le chemin » à une industrie du numérique dans l’attente de solutions, et à des utilisateurs d’objets connectés qui souhaitent être rassurés sur l’utilisation qui est faite de leurs données personnelles ».

Résolutions, codes de bonne conduite, directives, guidelines, livres blancs, commissions et groupes de travail… C’est sur les bases de ce droit d’un genre nouveau que repose l’encadrement juridique du développement exponentiel des activités robotiques, des algorithmes et de l’IA. Un droit « souple » complété par les premières décisions de jurisprudence rendues en la matière.

Eric Bonnet
Avocat, Alain Bensoussan Avocats Lexing
Directeur de la communication juridique

Alain Bensoussan, Vers un encadrement juridique des algorithmes et des robots, Digital Mag, n°256, Septembre 2019.




Projet de loi bioéthique : IA et données massives des patients

données massivesDe nouvelles précisions s’agissant des traitements algorithmiques de données massives sont envisagées dans le projet de loi sur la révision des lois de bioéthique qui a été présenté en Conseil des Ministres le 24 juillet 2019 et sera débattu au Parlement en septembre 2019. Il s’agit de la 3ème révision des lois bioéthique en 25 ans.

Selon le compte-rendu du Conseil des Ministres, « cette révision des lois de bioéthique s’inscrit dans un contexte de sauts technologiques inédits, auxquels s’ajoutent des attentes sociétales fortes ».

Droits et garanties des patients en matière de données massives introduits par le projet de loi

L’article 11 du projet de loi relatif à la bioéthique entend sécuriser la bonne information du patient lorsqu’un traitement algorithmique de données massivesintelligence artificielle ») est utilisé à l’occasion d’un acte de soin.

Il introduit un nouvel article L.4001-3 dans le Code de la santé public, aux termes duquel le professionnel de santé devra informer le patient en cas d’utilisation d’un traitement algorithmique de données massives pour des actes à visée préventive, diagnostic ou thérapeutique, lorsqu’il communique les résultats de ces actes.

Il devra également informer le patient des « modalités d’action » du traitement de données.

L’article prévoit l’intervention du professionnel de santé pour réaliser l’adaptation des paramètres du traitement et rappelle ainsi l’importance de l’intervention humaine dans le fonctionnement de l’intelligence artificielle.

En outre, la traçabilité des actions d’un tel traitement algorithmique et des données utilisées dans le cadre de ce traitement sera assurée et les informations qui en résultent seront accessibles aux professionnels de santé concernés.

Ainsi, il s’agit de garantir la possibilité d’auditer les algorithmes, le respect des principes de transparence des algorithmes, de garantie humaine, et de traçabilité, lesquels constituent les garanties nécessaires au développement de l’intelligence artificielle.

Il faut « garantir que l’intelligence artificielle augmente l’homme plutôt qu’elle ne le supplante et participe à l’élaboration d’un modèle français de gouvernance éthique de l’intelligence artificielle. Nous devons collectivement faire en sorte que ces nouveaux outils soient à la main humaine, à son service, dans un rapport de transparence et de responsabilité », comme affirmé par Isabelle Falque-Pierrotin, ancienne présidente de la Cnil.

L’article 11 du projet de loi prend en compte les propositions du Comité consultatif national d’éthique (CCNE) dans son avis 130 adopté le 29 mai 2019 « Données massives et santé : une nouvelle approche des enjeux éthiques ». Dans cet avis, le CCNE formule notamment les propositions suivantes :

  • « toute personne a droit à une information compréhensible, précise et loyale sur le traitement et le devenir de ses données » ;
  • les résultats doivent être validés par une garantie humaine.

Droits des patients en matière de traitements exclusivement automatisés au titre du RGPD

Dans le cas où une décision individuelle automatisée serait fondée exclusivement sur le traitement automatisé de données massives, l’article 22 du Règlement européen sur la protection des données (RGPD) dispose : « la personne concernée a le droit de ne pas faire l’objet d’une [telle] décision […] produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».

Cette disposition ne s’applique pas lorsque la décision :

  • « est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ;
  • est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ; ou
  • est fondée sur le consentement explicite de la personne concernée ».

Dans la première et la dernière hypothèse, l’article 22 du RGPD prévoit l’obligation pour le responsable de traitement de mettre en œuvre « des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision ».

Il est en outre précisé que les décisions correspondant aux trois hypothèses susvisées ne peuvent être fondées sur les catégories particulières de données visées à l’article 9 du RGPD, parmi lesquelles figurent les données de santé, sauf si des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place et que l’une des conditions suivantes est remplie :

  • la personne a donné son consentement explicite ;
  • le traitement est nécessaire pour des motifs d’intérêt public importants, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

Marguerite Brac de la Perrière
Isabeau de Laage
Lexing Santé numérique




Quel cadre juridique pour la transformation digitale ?

transformation digitaleAlain Bensoussan évoque pour la revue de l’association Télécom ParisTech Alumni le cadre juridique de la transformation digitale.

Le digital bouleverse nos vies et les modèles classiques de développement. Dans de très nombreux cas, face aux enjeux à relever, les solutions viendront par le droit. Quel sera le cadre juridique de ce nouveau monde digital ?

Autant de questions abordées par Alain Bensoussan, du cabinet Lexing Alain Bensoussan Avocats, dans l’article qu’il consacre dans le numéro d’avril 2019 de la revue Télécoms, revue des anciens élèves de Télécom ParisTech.

Transformation digitale : vers de véritables Droits de l’Homme numériques

Selon l’avocat, la gouvernance du monde digital qui sera le nôtre demain et qui en réalité est déjà celui d’aujourd’hui ne pourra se faire sans la reconnaissance au niveau mondial de véritables Droits de l’Homme numériques.

Ce modèle devra reposer sur deux grandes valeurs : propriété et dignité. « Il conviendra, selon Alain Bensoussan, d’intégrer les droits de l’Homme et placer l’individu et sa dignité, mais également la dignité des algorithmes au cœur du digital et au centre de tout ».

Les principes généraux d’un futur droit des IA

Une chose est certaine : il faudra nécessairement créer un droit particulier, car le droit classique est inopérant. Des solutions tangentielles existent, mais qui sont totalement inadaptées aux IA qui voient le jour.

Les principes de ce nouveau droit gouverné par le concept de dignité concerneront le droit à la vie, le droit à l’intimité et le droit à la décision.

Dans le cadre de cette régulation qu’Alain Bensoussan appelle de ses vœux, une évidence : dans l’attente d’un droit en devenir, les IA doivent être conçues « éthique by design ».

Cette orientation, gravée dans un code de l’honneur des codeurs, impliquera l’interdiction d’algorithmes liberticides et d’algorithmes indignes.

C’est la raison pour laquelle il devient à ses yeux urgent de mettre en place « une charte universelle du code dont le principe serait de refuser le code qui porterait atteinte aux droits de l’homme ».

Cette charte permettra de définir un droit à l’humanité dans les futurs algorithmes.

A. Bensoussan, « Quel cadre juridique pour la transformation digitale », Revue Télécom n°192, avril 2019, p. 39.

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




Alain Bensoussan intervient au Carrefour Digital & Entreprise

Carrefour Digital & EntrepriseLa 4ème édition du Carrefour Digital & Entreprise aura lieu mercredi 22 mai 2019 à Paris sous le signe de l’Intelligence artificielle au service de l’entreprise. Organisée par le groupe RH&M et dédié à « l’intelligence artificielle au cœur de la stratégie », le Carrefour Digital & Entreprise a pour objectif de d’apporter aux DRH une meilleure compréhension des bouleversements majeurs provoqués par l’avènement du Digital et de l’Intelligence Artificielle.

Présidé par Jean-Marie Simon, Directeur Général France ATOS et Vice-Président du Cercle de l’Excellence RH, la 4ème édition du Carrefour Digital & Entreprise se déroulera le mercredi 22 mai 2019 sur le thème : « Les 9 révolutions IA de l’entreprise mutante ».

Ateliers, Débats, Conférences, Rencontres avec des start-up, Témoignages, Remise de Prix se succéderont lors de cette journée qui se déroulera au Cloud Business center (Paris 2ème).

Quel cadre juridique pour la transformation digitale

Sous l’intitulé « IA & révolution juridique », Alain Bensoussan, du cabinet Lexing Alain Bensoussan Avocats, évoquera à cette occasion l’encadrement juridique des algorithmes et de l’IA.

A l’heure où les algorithmes et l’IA sont partout, bouleversant nos vies ainsi que tous les modèles de développement, posant des défis éthiques sans précédent, dans de très nombreux cas, les solutions viendront par le droit.

Quel sera le cadre juridique de la transition intelligente ?

Une chose est certaine : la gouvernance du monde digital ne pourra se faire sans la reconnaissance au niveau mondial de véritables Droits de l’homme numériques.

Un nouveau modèle qui devra reposer sur deux grandes valeurs : propriété et dignité.

Il conviendra ainsi de placer l’individu et sa dignité, mais également la dignité des algorithmes et l’éthique des codeur, au cœur du digital et au centre de tout.

Carrefour Digital & Entreprise : programme

8H30 – Accueil 

9H00 – IA & Révolution de la maîtrise du temps, par Jean-Marie Simon, Vice-Président du Cercle de l’Excellence RH et Directeur Général France d’Atos
9H20 – Révolution Managériale, par Gilles Babinet, Vice-Président du Conseil National du Numérique et « Digital Champion » France pour la Commission Européenne et Président Captain Dash, auteur de « Transformation digitale : l’avènement des plateformes »
9H40 – IA & Révolution des Ressources Humaines, par Nicolas Pingnelain, SaaS Human Ressources, Finance & Tech Director, Workday
10H00 – IA & Révolution des Intelligences, par Pascal Picq, Paléoanthropologue et Maître de Conférence au Collège de France, auteur de « L’Intelligence artificielle et les chimpanzés du futur »

10H30 – Pause

11H00 – IA & Révolution de la responsabilité humaine des dirigeants, par Valérie Julien Grésin, Docteur en philosophie et dirigeant du cabinet ASM Conseils, auteur avec Yves Michaud, philosophe, de « Mutation numérique et responsabilité humaine des dirigeants »
11H20 – IA & Révolution des plateformes (ou la métamorphose des organisations), par Benoit Reillier, Managing Director de Launchworks & CO, auteur de « Platform Strategy : libérez le potentiel des communautés et des réseaux pour accélérer votre croissance »
11H40 – IA & Révolution de la cybersécurité, par Gérôme Billois, Partner – Cybersecurity and Digital Trust de Wavestone
12H – IA & Révolution Juridique,  par Alain Bensoussan, Avocat à la cour d’appel de Paris, Président de l’Association Française de Droit des Robots (ADDR)

12H45 – Déjeuner Networking

14H00 – Le Modèle de développement X.0, une mutation globale (L’entreprise mutante, quelle entreprise à l’horizon 2030 ?), intervention de Fabienne Goux-Baudiment, Prospectiviste et CEO de Progective, auteur de « La grande transition de l’humanité » (Exposé prospectif : Synthèse des 9 conférences du matin)
14H45 :  Réactions et commentaires

  • Jérôme Armbruster, PDG HelloWork
  • Echanges avec la salle grâce aux outils digitaux Sparkup
  • Modérateur : Jean-Marie Simon, Directeur Général France Atos

15H15 : Cérémonie de remise des trophées / prix

1er Prix « Video Challenge » Interviews de personnalités sur l’IA par 3 startups La meilleure vidéo sera élue par le Grand Jury le Jour-J. Sont nominés :

  • Neobrain – Paul Courtaud, CEO
  • Yes We Code – Gauthier Bailleul, Président Fondateur
  • Yes We Share – Gaëlle Bassuel, Fondatrice (animé par Delphine LANCEL, Directrice Générale du Groupe RH&M et Fondatrice de RHM Pépites

16H00 : Remise des Trophées « IA et Entreprise »

Entretiens animés par Jean-Marie Simon. Remise par Thierry Mathoulin, Managing Director France Workday, Jérôme Armsbruster et Delphine Lancel des Trophées attribués à :

  • Jean-Luc Bérard, DRH groupe Safran
  • Roland Karsenty, Director HR Operations Europe/Africa, Johnson Controls

17H00 Cocktail de clôture

Pour toute information :

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique

Carrefour Digital & Entreprise

 

 

 

 




Blockchains : de la technologie des algorithmes à la technique juridique

blockchainsAlain Bensoussan évoquera l’encadrement juridique et éthique des blockchains le 7 février prochain à la Cour de cassation. 

Dans le cadre de cycle de conférences « Entre mystères et fantasmes : quel avenir pour les blockchains ? » qu’organise la Cour de cassation tout au long de l’année 2019 sous la direction scientifique des professeurs Nathalie Blanc, Bernard Haftel et Mustapha Mekki, Alain Bensoussan interviendra le 7 février prochain lors de la séance inaugurale sur le thème : « De la technologie des algorithmes à la technique juridique ».

Encore assez largement méconnue du grand public, souvent associée à la crypto-monnaie comme le bitcoin, la technologie blockchain (ou « chaîne de blocs » en français) – censée permettre de gagner en sécurité, traçabilité, rapidité et coût pour différents types de transactions – est l’objet de tous les fantasmes, certaines y voyant une révolution là où d’autres ne cachent pas leur scepticisme.

Blockchains : vers un encadrement juridique « Ethics by design »

Une chose est certaine, alors que se dessinent progressivement les prémices d’un cadre légal propre à cette technologie à fort potentiel, il est nécessaire de réfléchir -comme pour toute innovation reposant sur des systèmes algorithmiques– à un encadrement juridique et éthique dédié basé sur la confiance, la transparence et le principe « ethics by design ».

Autant d’enjeux qu’évoquera Alain Bensoussan à cette occasion, en incluant la nécessaire compatibilité de la blockchain au regard de la réglementation Informatique et libertés, à l’heure où la Cnil s’est saisie de ce sujet en proposant des solutions concrètes aux acteurs qui souhaitent l’utiliser dans le contexte d’un traitement de données personnelles. Compte-tenu des enjeux économiques et de souveraineté liés à une telle technologie, il est en tout état de cause fondamental que la France s’empare de cette nouvelle tendance.

Programme :

Modérateur :

  • Mustapha Mekki, professeur à l’Université Paris 13 (co-directeur de l’IRDA)

Intervenants :

  • Alain Bensoussan, avocat à la Cour
  • Eric Caprioli, avocat à la Cour
  • Jean-Michel Mis, député, co-rapporteur de la mission d’information sur la blockchain
  • Vincent Gautrais, professeur à l’université de Montréal
  • Nicolas Laurent-Bonne, agrégé des facultés de droit, professeur à l’université de Clermont-Ferrand
  • William O’Rorke, avocat chez Blockchain Legal

Grand’chambre de la Cour de cassation, de 17h00 à 19h00

Inscriptions

Programme complet des conférences

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




Blockchain et assurance algorithmique : quelle conformité RGPD ?

assurance algorithmiqueFace au défi de la transformation digitale, le recours à l’assurance algorithmique est une opportunité à saisir.

Portée par l’émergence des objets connectés et l’énorme source de données qu’ils génèrent, l’assurance algorithmique promet d’anticiper et de réduire le risque, d’ajuster la tarification des contrats et de proposer des solutions assurantielles de plus en plus personnalisées.

Tous les maillons de la chaîne de valeur de l’assurance sont concernés :

  • en amont, le big data permet de mieux appréhender les risques grâce aux objets connectés et de pouvoir adopter l’offre et les tarifs en tenant compte du comportement de l’assuré ;
  • en aval, des outils stratégiques ont été conçus afin de combattre la fraude et de prévoir des indemnisations plus efficaces.

Le secteur de l’assurance est particulièrement concerné par la protection des données personnelles. La collecte et le traitement d’informations concernant les assurés sont indispensables au fonctionnement de l’assurance algorithmique et plus largement à l’exercice du métier.

Les professionnels de l’assurance doivent ainsi s’adapter au nouveau cadre législatif instauré par l’entrée en application du RGPD le 25 mai 2018 (1).

Profilage et algorithmes décisionnels

La nouvelle définition du profilage

Le premier domaine dans lequel le RGPD aura sans aucun doute un impact majeur sur le secteur des assurances est celui du profilage.

Le règlement introduit une définition large du « profilage » défini comme :

Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.

Le profilage est utilisé de manière courante dans le secteur des assurances dans le cadre de l’appréciation des risques.

Traditionnellement, l’assureur menait son analyse à partir du formulaire de déclaration du risque rempli par l’assuré. Désormais, le couplage de l’algorithme avec les objets connectés et la big data, permet aux assureurs d’affiner l’évaluation des risques.

L’algorithme assurantiel annonce ainsi une évaluation plus fine des risques s’appuyant sur des données.

Le régime particulier des décisions automatisées

En pratique, l’établissement de profils et le recours à des algorithmes, appliqués à des jeux de données personnelles, peuvent mener à la prise de décisions entièrement automatisées.

Tel est le cas lorsqu’une compagnie d’assurance utilise un algorithme pour calculer les primes d’assurance qu’elle offre aux clients potentiels via son site web.

L’article 22 du RGPD consacre le droit de ne pas faire l’objet de décision entièrement automatisée.

Pour les professionnels de l’assurance, ce droit, octroyé aux personnes concernées par le traitement (client, prospect, assuré etc.), se traduit par un principe d’interdiction générale du recours à l’algorithme décisionnel lorsque la décision :

  • est fondée uniquement sur le traitement automatisé, c’est-à-dire sans intervention humaine ;
  • produit des effets juridiques ou affecte de manière significative la personne concernée.

Tel pourrait être le cas lorsque le scoring obtenu par l’algorithme conduirait à appliquer des tarifs plus élevés, voire même à refuser la couverture d’individus jugés « à risque ».

Cette interdiction ne peut être levée en faisant intervenir artificiellement une personne humaine sans qu’elle ne s’implique dans le processus de décision. En effet, le G29 considère que la personne intervenant dans le processus doit avoir l’autorité et la compétence pour changer cette décision (2).

Cette interdiction pourra cependant être levée dans les cas où la décision est :

  • nécessaire à la conclusion ou à l’exécution d’un contrat, à charge pour le responsable du traitement d’être en mesure de prouver qu’aucun autre moyen efficace et moins intrusif aurait permis d’atteindre le même objectif ;
  • autorisée expressément par la loi ;
  • ou fondée sur un consentement explicite de la personne concernée, tel qu’une déclaration écrite et signée de la personne concernée ou qu’un consentement en deux étapes.

Dans les cas où le profilage est autorisé, le professionnel de l’assurance devra encore :

  • informer la personne concernée de l’existence d’une prise de décision automatisée, de la logique sous-jacente de l’algorithme, ainsi que de l’importance et des conséquences probables d’un tel profilage ;
  • permettre à la personne concernée d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision.

L’exigence de fournir la logique sous-jacente de l’algorithme vise notamment à éviter les boîtes noires, ces algorithmes opaques qui ne donnent aucune indication sur le « raisonnement » qu’ils ont suivi pour y arriver à leur décision.

A ce titre, l’explicabilité des algorithmes constitue ainsi un enjeu fondamental de conformité pour les professionnels de l’assurance. Cet enjeu a d’ailleurs été mis en lumière au sujet de l’intelligence artificielle dans le rapport de Cedric Villani (3).

Les professionnels de l’assurance devront s’assurer de l’explicabilité de leurs algorithmes décisionnels dès la conception de leur projet.

Smart contracts et blockchain en assurance

Les smart contracts sont des programmes informatiques chargés d’exécuter les termes d’un contrat, de manière automatique, sans intervention humaine, lorsque les conditions du contrat sont réunies.

Les smart contracts ont l’intérêt de réduire les coûts de vérification, d’exécution, d’arbitrage et de fraude.

En assurance, l’utilisation de smart contracts est particulièrement pertinente dans le cas de risques dits “paramétriques c’est-à-dire dans le cas où l’assurance est liée à un indice objectif/ événement spécifique et tangible.

A titre d’exemple, l’assureur Axa a lancé une offre d’assurance paramétrique, baptisée Fizzy, qui déclenche automatiquement et immédiatement l’indemnisation des passagers en cas de retard de leur vol. L’assuré n’a pas de justificatif à fournir, il sait à l’avance la somme qui lui sera remboursée (en fonction du dommage qu’il a souhaité garantir à la souscription), le prix de la police est calculé en fonction du risque de retard (d’après les statistiques), tandis que l’assureur n’a pas de déclaration de sinistre à traiter.

C’est dans une telle situation que le couplage des objets connectés avec les smart contracts prend tout son sens. Les données enregistrées et transmises par les capteurs d’objets connectés (voiture, maison, etc.) vont permettre de générer automatiquement des dédommagements à l’assuré.

Par ailleurs, Fizzy et les smart contracts, de manière générale, sont souvent couplés avec la technologie blockchain, afin de rendre infalsifiables leurs termes et les conditions de leur exécution.

La blockchain est une base de données dans laquelle les données, registre immuable d’information, sont partagées de pair à pair entre les membres du réseau et dans laquelle toutes les écritures effectuées dans ce registre, appelées « transactions« , sont visibles de l’ensemble des utilisateurs, depuis sa création. Elle permet de stocker et d’échanger des données de manière sécurisée et décentralisée.

La Cnil a publié, le 24 septembre 2018, ses premiers éléments d’analyse sur la blockchain et sur sa compatibilité au RGPD (4).

Elle considère que le RGPD s’applique lorsque la blockchain concerne des données personnelles. Il convient alors de procéder à la qualification des acteurs au sens du RDPD (responsable du traitement, sous-traitant etc.).

La Cnil distingue trois types d’acteurs dans une blockchain :

  • les « accédants » qui ont un droit de lecture et d’obtention d’une copie de la chaîne ;
  • les « participants » qui ont un droit d’écriture (la création d’une transaction qu’ils soumettent à validation) ;
  • les « mineurs » qui valident une transaction et créent les blocs en appliquant les règles de la blockchain, afin qu’ils soient « acceptés » par la communauté.

La multiplicité des acteurs intervenant dans le traitement de la donnée dans le cadre de la blockchain ne simplifie pas la qualification de ces derniers. La Cnil est néanmoins parvenue à dégager certaines tendances, applicables notamment au secteur de l’assurance.

La Cnil considère que le participant est susceptible d’être qualifié de responsable de traitement, notamment lorsqu’il est une personne morale qui inscrit une donnée à caractère personnel.

Si une compagnie d’assurance inscrit les données de ses clients dans une blockchain, dans le cadre de ses traitements de gestion des clients, elle pourra être qualifiée de responsable de traitement.

Il est également possible de considérer, dans certains cas, les « mineurs » comme des sous-traitants au sens du RGPD, notamment en ce qu’ils valident l’enregistrement de données à caractère personnel dans une blockchain pour le compte du responsable du traitement.

Par exemple, si plusieurs compagnies d’assurance décident de créer une blockchain à permission (5) pour leur traitement, ayant pour finalité le respect de leurs obligations légales de connaissance client, elles peuvent décider que l’une d’entre elle est responsable de traitement. Dans ce cas, les autres compagnies d’assurance qui valident les transactions, seront susceptibles d’être considérées comme étant « mineurs » et donc sous-traitants.

Concrètement, ces qualifications vont impliquer la signature obligatoire d’un contrat entre le participant et le « mineur », précisant les obligations de chaque partie et reprenant les dispositions de l’article 28 du RGPD.

Les différents acteurs risquent de rencontrer des difficultés pratiques à mener cette contractualisation dans le cadre d’une blockchain publique (6). La Cnil a annoncé mener actuellement une réflexion sur le sujet.

L’analyse d’impact : un outil de conformité pour les professionnels du secteur

L’article 35 du RGPD a instauré un outil important pour la responsabilisation des entreprises.

Ce dernier prévoit la conduite d’une analyse d’impact relative à la protection des données (AIPD – Data Protection Impact Assessment), lorsqu‘un traitement de données personnelles est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées« .

Le G29 propose différents critères permettant de déterminer si une opération de traitement considérée nécessite une AIPD :

  • évaluation/scoring (y compris les activités de profilage et de prédiction) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat.

Le groupe de l’article 29 considère que, dans la plupart des cas, le responsable du traitement peut considérer qu’un traitement satisfaisant à deux critères nécessite une AIPD. Un regard rapide sur ces différents critères permet, à l’évidence, de comprendre que l’analyse d’impact constitue un outil incontournable dans le cadre de l’assurance algorithmique.

L’analyse d’impact aide, non seulement à construire un projet respectueux de la vie privée, mais constituera également un moyen pour les professionnels de l’assurance de démontrer leur conformité au RGPD.

Il convient pour les professionnels du secteur d’intégrer le recours à cet outil dans leur procédure interne.

Quelle éthique pour l’assurance algorithmique ?

La révolution du secteur de l’assurance est si puissante que de nombreux acteurs professionnels de l’assurance s’inquiètent d’une remise en cause d’un principe fondateur en assurance, celui de la mutualisation des risques. L’hyper-individualisation des offres induite par l’IA compromet l’idée même de l’assurance basée sur le partage du risque.

La Cnil s’est d’ailleurs récemment positionnée sur ce sujet, à l’occasion d’un grand débat public sur les algorithmes et l’IA (7). Elle se prononce en faveur de l’affirmation d’un principe de loyauté des algorithmes qui reposerait notamment sur l’idée que les critères d’un algorithme ne doivent pas entrer en opposition « trop frontalement » avec certains grands intérêts collectifs.

La mutualisation pourrait en ce sens faire partie intégrante d’un patrimoine collectif que l’algorithme – de personnalisation, de segmentation tarifaire, en l’occurrence – doit savoir prendre en compte.

L’assurance algorithmique compte encore ainsi de nombreux défis à relever. Un paramètre semble pour autant établi : son essor devra s’effectuer dans le respect de la protection des données à caractère personnel.

Didier Gazagne
Gabriel de Bousquet
Lexing Cyberdéfense – cybersécurité

(1) Règlement (UE) 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(2) Lignes directrices sur le profilage, actualisation du 6-2-2018.
(3) « Donner un sens à l’intelligence artificielle : pour une stratégie nationale et européenne » Rapport de Cédric Villani au Premier ministre, 3-2018.
(4) Premiers éléments d’analyse de la Cnil sur la blockchain, 9-2018.
(5) Blockchains disposant de règles définissant les personnes qui peuvent participer au processus d’approbation ou même effectuer des transactions. Elles peuvent, selon les cas, être accessibles à tous ou être en accès limité.
(6) Blockchains accessibles à n’importe qui dans le monde. Toute personne peut effectuer une transaction, participer au processus de validation des blocs ou obtenir une copie de la blockchain.
(7) Synthèse de la Cnil, « Comment permettre à l’homme de garder la main ? les enjeux éthiques des algorithmes et de l’IA » 9-2017.




MiFID II : le point sur la régulation du trading algorithmique

trading algorithmiqueL’entrée en application récente de MiFID II est l’occasion de faire le point sur la régulation du trading algorithmique.

Depuis le 3 janvier 2018, MiFID II (1) bouleverse tous les domaines de la finance en apportant pour la première fois un cadre règlementaire au trading algorithmique.

Ses dernières années, le trading algorithmique n’a cessé de gagner en importance sur les places boursières. S’il présente des avantages, il n’est pas sans risque : flash crash du 6 mai 2010, perte de contrôle ou interactions défavorables entre les algorithmes etc. Le dernier exemple c’est la chute de 700 points qu’a connue le Dow Jones en l’espace de 20 minutes le 6 février 2018.

Afin de prévenir ces éventuelles perturbations du marché, MIFID II prévoit un régime propre au trading algorithmique auquel les entreprises d’investissements sont tenues de se conformer.

En voici les éléments essentiels :

Qu’est-ce que le trading algorithmique ?

Le trading algorithmique désigne avant tout la négociation automatique d’instruments financiers, c’est-à-dire avec une intervention humaine limitée ou nulle.

L’algorithme informatique détermine les ordres selon des paramètres prédéfinis : opportunité, moment de leur émission, conditions de prix, quantité, etc.

Tous les algorithmes, même simples, sont-ils concernés ?

Sur cette question, l’Autorité européenne des marchés financiers (AEMF ; en anglais l’ESMA) est catégorique : l’utilisation d’algorithmes qui n’incluent qu’un petit nombre de processus (par exemple, des cotations reproduisant les prix pratiqués par une plateforme de négociation) n’exclut pas la qualification d’activité de trading algorithmique (2).

Quelles étapes du processus de négociation sont concernées ?

MiFID II semblait se focaliser sur la création d’ordres, en excluant notamment le traitement post-négociation des transactions exécutées (Directive MiFID II, cons. 59) (1). Néanmoins, il apparait que le trading algorithmique ne se limite pas à ce seul traitement. L’acheminement et l’exécution des ordres sont également concernés.

La Commission européenne a effet souhaité étendre la règlementation sur le trading algorithmique à toutes les étapes du processus de négociation.

C’est pourquoi, le règlement délégué du 25 avril 2016 (3) est venu préciser que le trading algorithmique désigne non seulement la négociation d’ordres mais également l’optimisation de leur processus d’exécution.

Ainsi, dans certains cas, l’utilisation d’un smart order router (4), capable de déterminer des paramètres autres que la ou les plates-formes sur lesquelles l’ordre doit être soumis, constitue une activité de trading algorithmique.

En revanche, à défaut d’optimisation, les mécanismes utilisés uniquement pour :

  1. l’acheminement des ordres vers une ou plusieurs plates-formes de négociation ;
  2. le seul traitement d’ordres en l’absence de paramètre de négociation ;
  3. la confirmation d’ordres ; ou
  4. le traitement post-négociation des transactions exécutées ;

sont exclus de la nouvelle règlementation (Art. L.533-10-3 du code monétaire et financier).

Par ailleurs, l’utilisation d’algorithmes qui ne servent qu’à informer un trader d’une opportunité d’investissement sans exécuter l’ordre n’est pas non plus concernée (2).

Quelles sont les obligations liées au recours au trading algorithmique ?

Les acteurs recourant au trading algorithmique doivent désormais respecter les obligations suivantes :

  1. Mettre en place des mesures destinées à garantir la résilience de leurs systèmes de négociation ;
  2. Notifier à l’Autorité des marchés financiers leur recours à la négociation algorithmique ;
  3. Mettre à la disposition du régulateur une documentation incluant la description des stratégies de trading algorithmique, les paramètres de négociation ainsi que les limites et principaux contrôles de conformité auquel le système est soumis ;
  4. Conserver un enregistrement des activités de négociation algorithmique.

Qu’en est-il du trading à haute fréquence (HFT) ?

Le trading à haute fréquence désigne un sous-ensemble du trading algorithmique caractérisé par :

  • une infrastructure destinée à minimiser les latences, c’est-à-dire le temps entre la soumission d’un ordre et l’exécution ;
  • sans intervention humaine ;
  • avec un débit intrajournalier élevé de messages (CMF art. L.533-10-3).

A titre d’exemple, la colocalisation est une technique de trading à haute fréquence consistant à utiliser des serveurs placés au plus proche des places boursières afin de gagner en rapidité d’accès au marché. Au cours du dernier trimestre, la bourse Nasdaq a réalisé 156 millions de dollars, soit le quart de son chiffre d’affaires, en commercialisant ce type d’accès.

L’activité de trading à haute fréquence est soumise à des exigences renforcées.

En plus des obligations liées au trading algorithmique, les acteurs concernés devront tenir un registre précis et chronologique de tous les ordres passés. Ce registre comprend également les annulations d’ordres, les ordres exécutés et les cotations sur les plates-formes de négociation.

Que faire en cas de retard ?

En cas de retards pris dans la mise en conformité à MIFID II, les entreprises d’investissement concernées doivent veiller à être en mesure de présenter au régulateur un plan de mise en conformité précis et en cours de déploiement.

Didier Gazagne
Gabriel de Bousquet
Lexing Cyberdéfense – cybersécurité

(1) Directive 2014/65/UE du Parlement européen et du Conseil du 15-5-2014 concernant les marchés d’instruments financiers , dite « MiFID II »
(2) ESMA, Questions and Answers on MiFID II and MiFIR market structures topics, 29 mai 2018.
(3) Règlement délégué (UE) 2017/565 de la Commission du 25 avril 2016 complétant la directive 2014/65/UE du Parlement européen et du Conseil en ce qui concerne les exigences organisationnelles et les conditions d’exercice applicables aux entreprises d’investissement et la définition de certains termes aux fins de ladite directive.
(3) Un smart order router (SOR) est système d’acheminement automatique des ordres.




La loi relative à la protection des données personnelles validée

2018-765 DCDans sa décision n° 2018-765 DC du 12 juin, le Conseil constitutionnel a déclaré la loi relative à la protection des données personnelles conforme à la Constitution (1).

Rappelons que loi relative à la protection des données personnelles, définitivement adoptée par le Parlement le 14 mai dernier, a pour principal objet de modifier la législation nationale en matière de protection des données personnelles afin,

  • d’une part, de l’adapter au règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD/GDPR)
  • d’autre part, de transposer la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données. 

Comme l’indique le communiqué de presse du Conseil constitutionnel sur la décision n° 2018-765 DC, les sénateurs qui avaient déféré le texte au Conseil constitutionnel, contestaient, outre un défaut d’accessibilité et d’intelligibilité de l’ensemble de la loi, une dizaine de ses articles (2).

Décision n° 2018-765 DC : l’impartialité et la proportionnalité des peines

Le Conseil a notamment écarté le grief selon lequel le principe d’impartialité et le principe de proportionnalité des peines auraient été méconnus par les dispositions de l’article 7 de la loi déférée, réécrivant l’article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés pour prévoir les différentes mesures susceptibles d’être prises par la Commission nationale de l’informatique et des libertés (Cnil) en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de cette même loi.

Le Sages de la rue de Montpensier ont notamment jugé que ni les avertissements, ni les mises en demeure prononcées par le président de Cnil ne constituent des sanctions ayant le caractère de punition, au sens de sa jurisprudence.

Décision n° 2018-765 DC : le consentement des mineurs

Le Conseil constitutionnel a jugé que ne méconnaît pas l’exigence constitutionnelle d’application du droit européen, résultant de l’article 88-1 de la Constitution, l’article 20 de la loi déférée qui introduit un nouvel article 7-1 dans la loi du 6 janvier 1978 aux termes duquel un mineur peut consentir seul à un traitement de données à caractère personnel «en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de quinze ans».

Selon le deuxième alinéa de cet article : «Lorsque le mineur est âgé de moins de quinze ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur».

Il a relevé à cet égard qu’il résulte de l’emploi par le législateur européen des termes «donné ou autorisé» que le règlement permet aux États membres de prévoir, soit que le consentement doit être donné pour le mineur par le titulaire de l’autorité parentale, soit que le mineur est autorisé à consentir par le titulaire de l’autorité parentale, ce qui suppose alors le double consentement prévu par le texte critiqué. Il en a déduit que les dispositions contestées ne sont pas manifestement incompatibles avec le règlement auquel elles adaptent le droit interne.

Décision n° 2018-765 DC : le recours par l’administration à des algorithmes

Le Conseil constitutionnel a également jugé conformes à la Constitution les dispositions de la loi déférée modifiant l’article 10 de la loi du 6 janvier 1978 afin d’étendre les cas dans lesquels, par exception, une décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel.

Amené à se prononcer pour la première fois sur le recours par l’administration à des algorithmes pour l’édiction de ses décisions, il a notamment relevé que les dispositions que contestait le recours se bornent à autoriser l’administration à procéder à l’appréciation individuelle de la situation de l’administré, par le seul truchement d’un algorithme, en fonction des règles et critères définis à l’avance par le responsable du traitement. Elles n’ont ni pour objet ni pour effet d’autoriser l’administration à adopter des décisions sans base légale, ni à appliquer d’autres règles que celles du droit en vigueur. Il n’en résulte dès lors aucun abandon de compétence du pouvoir réglementaire.

Il s’est également fondé sur ce que le seul recours à un algorithme pour fonder une décision administrative individuelle est subordonné au respect de trois conditions.

  • d’une part, conformément à l’article L. 311-3 du Code des relations entre le public et l’administration, la décision administrative individuelle doit mentionner explicitement qu’elle a été adoptée sur le fondement d’un algorithme et les principales caractéristiques de mise en œuvre de ce dernier doivent être communiquées à la personne intéressée, à sa demande. Il en résulte qu’une décision individuelle ne saurait être prise à l’aide d’un algorithme dont les principes de fonctionnement ne pourraient être communiqués sans porter atteinte à l’un des secrets ou intérêts énoncés au 2° de l’article L. 311-5 du Code des relations entre le public et l’administration ;
  • d’autre part, la décision administrative individuelle doit pouvoir faire l’objet de recours administratifs, conformément au chapitre premier du titre premier du livre quatrième de ce code. L’administration sollicitée à l’occasion de ces recours est alors tenue de se prononcer en ne se fondant plus exclusivement sur l’algorithme. La décision administrative est en outre placée, en cas de recours contentieux, sous le contrôle du juge, qui est susceptible d’exiger de l’administration la communication de l’algorithme.
  • enfin, le recours exclusif à un algorithme est prohibé si ce traitement porte sur l’une des données sensibles mentionnées au paragraphe I de l’article 8 de la loi du 6 janvier 1978, c’est-à-dire des données à caractère personnel «qui révèlent la prétendue origine raciale ou l’origine ethnique», les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique, des données génétiques, des données biométriques, des données de santé ou des données relatives à la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Enfin, le Conseil constitutionnel a relevé que le responsable du traitement doit s’assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard. Il en résulte que ne peuvent être utilisés, comme fondement exclusif d’une décision administrative individuelle, des algorithmes susceptibles de réviser eux-mêmes les règles qu’ils appliquent, sans le contrôle et la validation du responsable du traitement (algorithme «auto-apprenant»).

Par l’ensemble des motifs, le Conseil constitutionnel a jugé que le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d’un algorithme. 

Décision n° 2018-765 DC : le traitement de données à caractère personnel en matière pénale

En revanche, le Conseil constitutionnel a censuré les mots «sous le contrôle de l’autorité publique» figurant à l’article 13 de la loi déférée, modifiant l’article 9 de la loi du 6 janvier 1978 afin de fixer le régime des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, lorsque ces traitements ne sont pas mis en œuvre par les autorités compétentes à des fins pénales au sens de la directive du 27 avril 2016.

Il a en effet jugé que l’article 10 du règlement européen du 27 avril 2016 n’autorise le traitement de données à caractère personnel en matière pénale ne relevant pas de la directive du même jour que dans certaines hypothèses, parmi lesquelles figure la mise en œuvre de tels traitements «sous le contrôle de l’autorité publique». Le législateur s’est borné à reproduire ces termes dans les dispositions contestées, sans déterminer lui-même ni les catégories de personnes susceptibles d’agir sous le contrôle de l’autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d’un tel traitement de données. En raison de l’ampleur que pourraient revêtir ces traitements et de la nature des informations traitées, ces dispositions affectent, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques. Il en résulte que les mots «sous le contrôle de l’autorité publique ou» sont entachés d’incompétence négative et donc contraires à la Constitution.

Eric Bonnet .
Directeur de la communication juridique

[1] Décision n° 2018-765 DC du 12 juin 2018 sur la loi relative à la protection des données personnelles (Loi n° 2018-493 du 20 juin 2018, JORF du 21 juin 2018).

[2] Dans sa décision, avant de se prononcer sur les critiques adressées aux dispositions de la loi, le Conseil constitutionnel apporte d’utiles précisions sur la nature du contrôle qu’il opère sur des dispositions législatives tirant des conséquences du droit de l’Union européenne, lorsque celui-ci procède d’un règlement. Nous renvoyons sur ce point nos lecteurs à la décision elle-même ainsi qu’au communiqué de presse du Conseil constitutionnel.




L’ algorithme post-bac décortiqué par la Cour des comptes

algorithme post-bac décortiqué par la Cour des comptesDans le numéro 49 de la revue PLANETE ROBOTS, Alain Bensoussan analyse l’ algorithme post-bac qui a fait l’objet d’un rapport critique de la Cour des comptes.

Quand les algorithmes interviennent dans la conduite de politiques publiques, la transparence doit être de mise. Or un rapport de la Cour des comptes pointe les limites de l’ algorithme post-bac, dispositif utilisé par la plateforme numérique publique APB pour mettre en adéquation les vœux de quelques 800 000 lycéens et étudiants et les formations universitaires a laissé cet été près de 86 000 candidats sans proposition.

La plateforme APB repose sur un algorithme « d’appariement » – ou algorithme d’affectation – qui croise les préférences exprimées par les établissements et les candidats pour leur proposer une admission dans un établissement d’enseignement supérieur correspondant au meilleur choix possible compte tenu des préférences indiquées et des possibilités existantes.

Une fois les vœux définitivement enregistrés, un traitement automatisé est mis en œuvre afin de classer les candidats aux formations « sélectives » (BTS, DUT, Classes préparatoires aux grandes écoles) et « non sélectives » (1re année de licence).

S’agissant des formations non sélectives, le classement est effectué au moyen d’un algorithme à partir des critères issus de l’article L. 612-3 du Code de l’éducation (origine géographique du candidat, situation de famille, ordre de ses vœux). En dernier recours, pour départager les candidats en surnombre disposant encore d’un même niveau de priorité, l’algorithme programme un tirage au sort (« classement aléatoire »).

Dans un rapport publié en octobre 2017 (disponible sur www.ccomptes.fr), la Cour des comptes a décortiqué les mécanismes « opaques » de l’ algorithme post-bac devenu un « outil de sélection et d’orientation ». Pour la Cour, le problème principal tient au fait qu’APB a été pensé et conçu en 2003 pour gérer l’admission dans des filières sélectives, à l’aide d’un algorithme dit « d’affectation ».

Or à sa généralisation en 2009, il a dû intégrer l’admission en licence, « filière majoritairement non sélective », ce qui a nécessité une adaptation de l’outil grâce à l’introduction d’un second algorithme dit « de classement » ayant pour seule vocation de traiter les candidatures à la licence.

Pour la Cour, les modalités de fonctionnement de cet algorithme de classement « apparaissent peu transparentes et non conformes au Code de l’éducation ». Son fonctionnement est pourtant crucial s’agissant des licences universitaires en tension (Staps, médecine, droit, psychologie, etc.) qui « ne disposent pas de capacités d’accueil à la hauteur de la demande des candidats dans APB ». Ces dernières, en théorie non sélectives, font reposer sur la plateforme le soin de départager les candidats en surnombre selon le tirage au sort opéré par l’algorithme ; ce dispositif a été jugé dépourvu de base juridique par le Tribunal administratif de Bordeaux en juin 2016 (1).

La diffusion d’une circulaire, publiée au bulletin officiel du ministère de l’éducation nationale le 27 avril 2017, explicitant aux recteurs d’académie le principe du tirage au sort contenue dans l’algorithme sans le fonder juridiquement, n’a pas suffi.

Pour la Cour des comptes, « l’État ne peut plus aujourd’hui s’exonérer de la redéfinition légale et administrative du dispositif d’affectation dans l’enseignement supérieur, fragilisé par l’absence de base juridique, précisant son objectif, ses règles et la portée de son résultat ».

(…)

Alain Bensoussan pour Planète Robots, « L’ algorithme post-bac décortiqué par la Cour des comptes », n°49, Janvier-Février 2018.




Premiers états généraux de l’intelligence artificielle ‌

Premiers états généraux de l'intelligence artificielleAlain Bensoussan est intervenu aux états généraux de l’intelligence artificielle qui se sont tenus au Campus Biotech de Genève le 22 septembre 2017.

Ce symposium transdisciplinaire et international sur l’intelligence artificielle vise à cartographier les enjeux liés au cerveau électronique, ses robots et algorithmes ; l’occasion pour trois cents personnes issues de l’industrie et des secteurs public, bancaire, universitaire et de start-up notamment, de faire le point sur la révolution digitale dans le monde.

Etats généraux de l’intelligence artificielle ‌

De nombreuses thématiques allant des aspects légaux à la psychologie en passant par la recherche et la cybersécurité ont été abordées par une dizaines d’orateurs, experts en neurosciences, chercheurs en neurosciences, professeurs, avocats, spécialistes en cybersécurité, parmi lesquels :

Monsieur le Conseiller d’Etat Pierre Maudet, le Dr Serge Tisseron, les Professeurs Solange Ghernaouti, Marcel Salathé, Silvestro Micera et Bertil Cottier, Me Alain Bensoussan et Me Nicolas Capt, co-organisateur de cette conférence.

Les futurs «hommes robots» posent des défis considérables au législateur.

La personne robot : problématiques et tendances ‌

Alain Bensoussan, avocat parisien et futurologue du cadre légal, qui plaide pour la non-discrimination des robots. « La question n’est pas de vivre avec les machines intelligentes, mais comment survivre en leur compagnie. L’enjeu est de l’ordre de la mixité », lance-t-il à l’assistance.

Les robots doivent obtenir le statut de personnalités juridiques à part entière, susceptibles de gagner ou perdre un procès. « Il faut considérer les robots comme une nouvelle espèce artificielle, ni homme ni femme, mais à laquelle nous devons attribuer une enveloppe de droits et de devoirs ».

Artificial Intelligence Geneva Summit, Etats généraux de l’intelligence artificielle, Campus Biotech le 22 septembre 2017.

Conférence organisée par Digital Switzerland, avec le soutien de Swisscom, l’EPFL (École polytechnique fédérale de Lausanne), SPG Intercity, Heptagone Digital Risk Management & Security et l’Etat de Genève.

Voir, Dejan Nikolic, « Genève plonge dans les méandres de l’intelligence artificielle« , magazine Le Temps, 22 septembre 2017.




Plaidoyer pour une éthique des codeurs : un vrai défi

Plaidoyer pour une éthique des codeurs : un vrai défiDans le numéro 46 de la revue PLANETE ROBOTS, Alain Bensoussan plaide pour une éthique des codeurs.

Pour Alain Bensoussan, il faut créer une éthique des codeurs. Les questions d’ordre éthique sont en effet majeures et les défis à relever immenses. Les codeurs écrivent l’avenir. Le monde de demain sera codé par ces derniers. Ont-ils des droits et des devoirs ?

De programmeurs, les codeurs sont devenus des créateurs de robots. De ce fait, il est naturel de se poser la question de leur responsabilité en cas de faute dans une ligne de code. Cela mérite une réflexion à travers quelques exemples de cas d’usage.

Ethique des codeurs et manipulation des émotions

Peut-on concevoir un système qui soit une sorte de « thermostat » permettant de conditionner des individus et de les mettre dans un état de bonheur ou de dépression? La réponse est affirmative. Des universitaires de Cornell et de l’université de Californie l’ont conçu en laboratoire 1 à partir d’un réseau.Il suffit de filtrer les informations grâce à un code qui permet de les sélectionner selon qu’elles sont positives ou négatives.

On s’est aperçu que peu à peu, ceux qui recevaient des informations négatives de l’ensemble des personnes avec qui elles interagissent, voient leur état émotionnel se modifier par « contagion émotionnelle ».

Peut-on coder ce type d’algorithmes? La réponse est également affirmative puisqu’un réseau social l’a expérimenté secrètement auprès de 689000 utilisateurs dont les flux de commentaires, de vidéos, d’images et de liens publiés ont été manipulés et triés pour influencer leur état émotionnel.

On savait les moteurs de recherche capables de détecter et de sélectionner les informations permettant d’identifier les bons profils à des fins commerciales grâce à des algorithmes toujours plus performants. Mais il s’agit ici de manipuler les émotions des individus et d’aboutir à un système de la pensée et des émotions en quelque sorte.
(…)

Alain Bensoussan, pour Planète Robots, « Plaidoyer pour une éthique des codeurs », n°46, Juillet-août. 2017.




Données de référence, décisions individuelles, algorithmes

Données de référence, décisions individuelles, algorithmes

L’accès aux données de référence et règles du traitement algorithmique fondant une décision individuelle est précisé.

Le décret n°2017-330 du 14 mars 2017 (1) précise les modalités de la communication sur demande des règles qui définissent un traitement algorithmique ayant fondé une décision individuelle. Le décret n°2017-331, publié le même jour (2), précise, quant à lui, les modalités de mise à disposition des données de référence par les différentes administrations, et donne une liste des données et des critères de qualité afférents.

Le décret relatif aux droits des personnes faisant l’objet de décisions individuelles prises sur le fondement d’un traitement algorithmique

Lorsqu’une décision individuelle est prise sur le fondement d’un algorithme, une mention explicite doit obligatoirement y être apposée (1). Le décret n°2017-330 précise que cette mention doit rappeler le droit d’obtenir la communication des règles qui définissent le traitement, les caractéristiques principales de sa mise en œuvre, et les modalités d’exercice du droit à communication et de saisine de la Cada (2).

Lorsque la personne concernée par la décision exerce son droit à communication, l’administration doit lui faire parvenir, de manière intelligible et sans porter atteinte à la protection des secrets, plusieurs informations : le degré et le mode de contribution du traitement algorithmique à la prise de décision, les données traitées et leurs sources, les paramètres de traitement et leur éventuelle pondération, ainsi que les opérations effectuées par le traitement.

L’on constate ainsi la volonté de l’administration d’être la plus transparente possible sur la manière dont une décision est prise avec le soutien de nouvelles technologies, et de communiquer de manière compréhensible avec les administrés. Cependant, ce droit à communication n’est pas absolu, puisque la barrière du secret protégé par la loi peut faire obstacle à l’accès.

Le décret relatif au service public de mise à disposition des données de référence

Un second décret n°2017-331 paru le 14 mars 2017 (2) expose les conditions de mise à disposition des données de référence par l’administration, et apporte une liste de ces données et de leurs critères de qualité. La mise à disposition des données de référence en vue de leur réutilisation est considérée comme une mission de service public relevant de l’Etat (3), toujours dans une démarche de transparence et de communication entre l’administration et les citoyens.

Il est ainsi précisé que cette mise à disposition doit s’opérer dans le respect des conditions de fiabilité, de disponibilité et de sécurité.

En outre, la Direction interministérielle du numérique et du système d’information et de communication de l’Etat est chargé de coordonner cette mise à disposition des données, d’en assurer le référencement, d’améliorer leur qualité et de donner accès à ces données sur son portail unique interministériel.

Les données à référencer énumérées par le décret sont le répertoire des entreprises et de leurs établissements, le plan cadastral informatisé, le registre parcellaire graphique, le référenciel à grande échelle, la base adresse nationale, la base de données de l’organisation administrative de l’Etat, le répertoire opérationnel des métiers et des emplois et le code officiel géographique.

Enfin, le décret précise que le service chargé de la mise à disposition des données doit, dans une démarche d’accessibilité et d’innovation croissante, chercher à inclure de nouvelles données et à favoriser l’émergence de services innovants de réutilisation des ces dernières.

Marie Soulez
Lexing Contentieux Propriété intellectuelle

(1) Code des relations entre le public et l’administration, Art. L. 311-3-1
(2) Commission d’accès aux documents administratifs.
(3) Code des relations entre le public et l’administration, Art. L. 321-4

 




La protection des marchés financiers des cyberattaques

La protection des marchés financiers des cyberattaquesL’électronisation des marchés financiers conduit à l’émergence de nouveaux risques, et favorise les cyberattaques.

La généralisation de l’utilisation d’algorithmes génère des risques importants avec des conséquences potentiellement négatives sur les marchés financiers.

Vulnérabilité des marchés financiers

Ces attaques peuvent aussi bien concerner les infrastructures de marché, (les plateformes de négociation, les chambres de compensation ou les dépositaires centraux) que les acteurs financiers (intermédiaires financiers, sociétés de gestion…).

Ces acteurs sont des victimes potentielles de ces nouvelles formes de vulnérabilités qui peuvent prendre la forme :

  • d’actes contrevenant aux lois nationales effectués dans le cyberespace ou au moyen d’un système informatique (cybercriminalité) ;
  • de piratages informatiques qui permettent d’accéder à des informations tenues secrètes, l’objectif étant d’en tirer un avantage personnel, économique ou patrimonial (le cyberespionnage) ;
  • de risques de guerre informatique exposant les entreprises qui sont sur le territoire d’Etat étranger dans laquelle un conflit classique dont au moins une des composantes s’appuie sur le champ informatique ou numérique.

Les exemples les plus spectaculaires de cyberattaques récentes montrent que le préjudice peut être très important tant en termes de pertes financières directes qu’indirectes.

Ainsi, l’attaque du groupe « Carbanak » en 2013 a, par exemple, généré une perte financière directe évaluée à 1 milliard de dollars pour les banques visées. Il s’agissait d’une fraude très sophistiquée qui permettait, en reliant à un distributeur automatique de billets un ordinateur sur lequel était installé un logiciel malveillant de type Carberp par l’entremise d’un VPN (réseau privé virtuel), d’obtenir de l’argent sans avoir besoin d’une carte bancaire.

Toutefois les montants les plus importants ont été dérobés en manipulant les balances des comptes bancaires qui étaient infectés. Les réseaux SWIFT de transfert d’argent ont été mis à contribution et les bases de données Oracle ont été manipulées pour transmettre des fonds entre différents comptes en utilisant le réseau bancaire interne des banques corrompues.

Cette fraude résultait d’une exploitation de failles de Microsoft Office 2003, 2007 et 2010 ainsi que de Microsoft Word. Les pirates envoyaient des messages infectés provenant supposément de collègues dans d’autres banques. Lorsque l’employé cliquait sur ce message, cela téléchargeait un code malicieux (Carbanak) qui permettait ensuite aux pirates de se promener sur le réseau bancaire jusqu’à trouver les employés en charge des systèmes de transfert de cash ou reliés à distance aux distributeurs d’argent.

L’exploitation de failles de sécurité, permettant le vol de données bancaires, peut, en sus des pertes financières, porter considérablement atteinte à l’image de la société victime du vol. Ainsi, la chaine de magasins Target aux Etats-Unis a subi un vol de données de plus de 110 millions de clients qui a sérieusement nuit à son image.

En plus des numéros de cartes et des codes PIN (« cryptés », selon la chaîne de magasins), des informations concernant environ 70 millions d’autres clients (nom, e-mail…) ont été dérobées. Le type de carte de paiement et de crédit le plus répandu aux Etats-Unis n’est pourvu que d’une simple bande magnétique, ce qui facilite les attaques par la technique du « skimming » (captation des données sur la piste). Les cartes à puces utilisées majoritairement en France – et en Europe –, stockent les informations de façon beaucoup plus sécurisée.

Les impacts Informatique et libertés

Afin de prévenir la survenance de toute faille de sécurité, la loi Informatiques et libertés contraint le responsable du traitement à mettre en œuvre des mesures de sécurité.

L’article 34 de la loi (1) définit la notion de faille de sécurité ou de violation de données à caractère personnel comme :

« Toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel ».

Entrent dans le champ d’application de la notion de faille de sécurité :

  • les failles accidentelles qui proviennent d’une faute, d’une erreur ou d’une négligence ;
  • les failles résultant de défaut des progiciels inconnus du responsable de traitement ou de son sous-traitant ;
  • les failles ouvertes au moyen de procédés illicites.

Pour prévenir ce genre d’attaques, il est nécessaire que les acteurs des marchés financiers mettent en œuvre, dès à présent, de façon active, des règles garantissant l’approche privacy by design ainsi que l’approche security by design prônées par le règlement européen sur la protection des données personnelles du 27 avril 2016 (2).

Directive Network Security and Information

L’obligation de sécurité pour les acteurs des marchés financiers est renforcée par la nouvelle directive européenne Network Security and Information (3). Cette dernière définit les mesures que devront adopter les opérateurs de services essentiels sur les pratiques de gestion des risques et de notification des incidents de sécurité afin de promouvoir une culture de gestion des risques et de faire en sorte que les incidents les plus graves soient signalés.

Notion d’opérateur de services essentiels

L’annexe C de la directive considère que les infrastructures de marchés financiers constituent des opérateurs de services essentiels.

Les Etats membres devront pour le 9 novembre 2018 au plus tard, identifier les opérateurs de services essentiels, pour chaque secteur et sous-secteur. Il appartiendra à chaque Etat membre d’appliquer les critères d’identification détaillés à l’article 5 de la directive :

« a) une entité fournit un service qui est essentiel au maintien d’activités sociétales et/ou économiques critiques;

b) la fourniture de ce service est tributaire des réseaux et des systèmes d’information; et

c) un incident aurait un effet disruptif important sur la fourniture dudit service ».

Les marchés financiers sont tenus de prendre les mesures techniques et organisationnelles nécessaires et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information qu’ils utilisent dans le cadre de leurs activités.

De surcroit, ils devront, lors de la survenance d’un incident qui a un impact significatif sur la continuité de leurs services, notifier cet incident. Cette notification n’accroît pas la responsabilité de la partie qui en est à l’origine.

Cette mesure pourra être difficile à contrôler tant elle relève de l’appréciation des entreprises. Cependant, les Etats devront mettre en œuvre les moyens nécessaires pour vérifier que les opérateurs de services essentiels mettent en œuvre ces contrôles.

Enfin, les opérateurs de services essentiels, dont les marchés financiers, devront prendre les mesures appropriées en vue de prévenir les incidents qui compromettent la sécurité des réseaux et des systèmes d’information utilisés pour la fourniture de ces services essentiels ou d’en limiter l’impact, en vue d’assurer la continuité de ces services.

Frédéric Forster
Charlotte Le Fiblec
Lexing Droit Télécoms

(1) loi 78-17 du 6-1-1978 relative à l’informatique, aux fichiers et aux libertés modifiée.
(2) Règlement européen 2016-679 du 27-4-2016 relatif à la protection des données personnelles.
(3) Directive (UE) 2016/1148 du 6-7-2016.




L’échappée volée 2016 – Robots gouvernés ou gouvernants ?

L'échappée volée 2016Dans L’ECHAPPEE VOLEE 2016, Alain Bensoussan « Et si nous reprenions le contrôle sur les algorithmes ? ».

L’échappée volée 2016 invite 40 intervenants (des signaux faibles, experts, entrepreneurs, scientifiques, artistes, activistes, philosophes, méconnus du grand public) sélectionnés pour prendre la parole, engager le débat et créer les conditions de l’émergence de nouveaux paradigmes.

L’échappée volée 2016 : De l’utopie à la réalité, préparer 2030.
Passer de l’idée à l’action !
L’innovation au service du bien commun !
Le futur se bâtit aujourd’hui !

2030 ressemblera aux choix que nous allons faire maintenant et dans les quinze prochaines années. Ce sont nos actions, nos décisions, nos engagements qui façonnerons notre destin. L’échappée volée 2016 propose une expérience exceptionnelle pour vous préparer aux transformations radicales qui nous attendent au cours des quinze prochaines années.

La programmation de L’ECHAPPEE des 28 et 29 mai 2016 comporte une liste de 20 conférenciers, des démonstrations et expériences. Maître Alain Bensoussan est intervenu lors de la conférence : « A l’ère cyber : gouvernés ou gouvernants ? » sur le droit des robots et de leurs algorithmes.

La robotique constitue incontestablement un levier de croissance de nature à modifier, en profondeur, les modes de production et les modèles économiques existants, en plus de susciter, pour certaines de ses formes, de nouveaux types de rapports sociaux qui ne seraient pas purement humains.

La singularité du robot dans l’espace juridique a vocation à s’accentuer symétriquement, tandis que la pertinence de la qualification de bien meuble décroît, la nécessité de doter le robot intelligent d’un statut juridique inédit se fait plus pressante.

Ce mouvement en vases communicants a ceci de particulier qu’il semble à la fois unilatéral et irréversible la puissance de l’industrie robotique, l’implication des plus grands acteurs de l’économie numérique, l’importance des enjeux financiers, l’engouement de la recherche et l’appétence sociale constituent, ensemble, une assise particulièrement solide à [avènement
de la robotique intelligente.

Une fois la rupture technologique consommée – résultant de la liberté dont disposera le robot, elle-même alimentée par ses capacités d’apprentissage – le droit n’aura d’autre choix que de s’aligner.

BENSOUSSAN Alain et Jérémy, Droit des robots, Larcier 2015.

L’échappée volée 2016, De l’utopie à la réalité, préparer 2030 (p. 4).
L’échappée volée 2016, « A l’ère cyber : gouvernés ou gouvernants ? », 28 mai 2016.
Retrouvez la nuit de L’échappée volée 2016, le 5 juin à 00:35 sur France 5.

 




Les algorithmes des robots qui envahissent notre quotidien

Algorithmes des robotsLes algorithmes des robots sont au cœur des nouvelles questions que l’on se pose. Maître Alain Bensoussan a été invité par France 3 à exposer les aspects juridiques que présentent les algorithmes des robots : « Technologies : les robots envahissent notre quotidien ».

Le premier robot au monde à être vendu au public est français et les japonnais se l’arrachent. Le robot peut interagir avec le monde qui l’entoure, on lui apprend donc à reconnaître les êtres humains pour éviter qu’il leur soit dangereux. Pour cela, il faut modifier le programme du cerveau du robot grâce à un algorithme. Désormais, les algorithmes sont à la base de tous les logiciels que nous utilisons.

Les chercheurs élaborent la reconnaissance faciale. Cette intelligence artificielle est à double tranchant, elle permet au robot de mieux comprendre l’homme mais cela ouvre la porte à la manipulation : c’est une question d’éthique. Les scientifiques ont décidé d’ouvrir le débat au public. Leur projet est d’établir des lois pour garder la maîtrise des algorithmes des robots.

Dans ce domaine, le cabinet d’avocats Alain Bensoussan est en pointe. Il a déjà pris les devants en proposant un cadre juridique pour les robots.

« Je m’appelle NaoLexing…  » : ce n’est pas un objet. D’abord, vous voyez bien, on s’y attache ! Chacun le regarde, c’est de début d’une personne robot. Grâce aux algorithmes des robots, il a une forme primitive de pensée, il est capable d’agir et là on voit bien poindre deux éléments importants : la responsabilité et la traçabilité…

« Technologies : les robots envahissent notre quotidien » : Grand Soir 3 du 26 mai 2016.




Le droit et la gouvernance des algorithmes

Le droit et la gouvernance des algorithmesLe droit et la gouvernance des algorithmes est le thème présenté par Alain Bensoussan sur MyD-Business,

TV d’Accenture. « Comment accepter de vivre avec des algorithmes ? » s’interroge l’avocat Alain Bensoussan. Appliqués au Big Data et aux objets connectés, les algorithmes en effet ont tendance à prendre le pouvoir partout : par exemple, ils déterminent des prévisions qui peuvent être appliquées dans le domaine de la sécurité (prévention des délits) ou de la consommation (Amazon).

En attendant que soit mise au point une véritable gouvernance des algorithmes, il faut instaurer des commissions d’éthique pour veiller à leurs effets. Car ces algorithmes prennent déjà des décisions, à l’instar du GPS (Global positioning system) qui indique à leurs utilisateurs le chemin à suivre. Il va donc falloir contrôler ce « mode GPS », parce que, s’il s’étend sans contrôle, il induira le risque pour le citoyen ou l’entreprise de ne prendre que des décisions guidées implicitement mais directement par les algorithmes.

A l’heure du big data, le développement des bots et des algorithmes conduit à faire émerger certains risques juridiques liés en particulier à l’utilisation massive de données à caractère personnel. Or l’exploitation toujours plus fine des données à caractère personnel ain si que les décisions prises sur le seul fondement d’un traitement automatisé de données destiné posent des questions au regard de la loi Informatique et Libertés.

Le développement du big data conduit à appliquer les algorithmes dans de très nombreux domaines pour optimiser le fonctionnement de nombreux services. Pour l’exercice des libertés, cela présentent de nombreux risques notamment celui de ne plus être maître de ses choix par une confiance abusive dans les résultats de ces algorithmes. Il faut prendre la mesure du rôle joué par les algorithmes et concevoir l’encadrement de leur utilisation.

La gouvernance des algorithmes, (MyD-Business, TV d’Accenture), 25 avril 2016.




Algorithmes prédictifs et santé : aspects juridiques

Algorithmes prédictifs et santé : aspects juridiquesLes algorithmes prédictifs sont au cœur des enjeux économiques, éthiques et juridiques de notre société.

En effet, l’attrait que présentent les méthodes analytiques et outils prédictifs suscite l’intérêt d’une multitude d’organismes dans différents domaines, comme la finance, les assurances, le marketing.

Mais les avancées de cette technologie sont particulièrement considérables en matière de santé et de médecine. Ainsi, les algorithmes prédictifs sont utilisés pour la réalisation de diagnostics génétiques en vue de permettre de prédire quels seront les patients qui ont le plus de probabilité d’être atteints d’une pathologie donnée, ou encore pour déterminer les mutations génétiques impliquées dans le développement de certaines maladies.

Pour une autre illustration, des chercheurs sont parvenus à créer un programme d’analyse linguistique ayant pour objectif de détecter chez un patient les risques de développer une psychose.

Les services d’assistance et d’urgence se lancent également dans cette tendance, avec le déploiement d’algorithmes prédictifs permettant de prédire la gravité des blessures des occupants d’une voiture accidentée, par exemple, afin d’anticiper et d’organiser de manière adéquate l’arrivée des secours ou encore l’admission aux urgences d’un établissement hospitalier. De même, des outils d’aide au diagnostic clinique se développent et un calculateur de risque de décès à destination des 40-70 ans vient même de voir le jour.

Plus que de simples tendances, les algorithmes prédictifs permettent donc de faire émerger de véritables prédictions.

Si ces avancées technologiques en matière de santé représentent un gain dans l’absolu, le déploiement et la multiplication d’outils basés sur des algorithmes prédictifs se heurtent à certaines difficultés éthiques, mais également juridiques.

En premier lieu, les analyses prédictives nécessitent l’utilisation de données à caractère personnel. Or, le traitement de telles données est soumis à diverses dispositions, notamment à la loi dite Informatique et libertés (1). A cet égard, les dispositions applicables imposent le respect d’un certain nombre d’obligations et de principes, tels que le principe de limitation de la finalité du traitement, l’obligation de ne collecter que des données strictement pertinentes, adéquates, de recueillir le consentement des personnes concernées dans certaines hypothèses et  l’obligation d’effectuer des formalités déclaratives auprès de la Cnil.

De plus, s’agissant de données de santé, et donc de données sensibles au sens de la loi susvisée, une obligation renforcée en vue de la préservation de leur sécurité et de leur confidentialité s’impose, et ce d’autant plus que de telles données peuvent être soumises au secret professionnel.

L’hébergement de données de santé sur support informatique est également soumis à un régime particulier, un agrément spécifique devant être obtenu avant de pouvoir procéder à une telle activité.

Aussi, tout projet de déploiement d’outils ou de services fondés sur des algorithmes prédictifs doit être préalablement géré au regard du concept de « privacy by design », ce concept consistant à concevoir des produits et des services en prenant en compte dès leur conception les aspects liés à la protection de la vie privée et des données à caractère personnel.

En second lieu, la création et le développement d’outils de médecine prédictive, mais également leur utilisation, peuvent être soumis à des formalités ou conditions particulières s’agissant des acteurs de tels projets. A titre d’exemple, en fonction de la technologie envisagée, il conviendra de déterminer si l’outil ne peut être utilisé que par l’intermédiaire de professionnels de santé ou directement par les patients. Dans cette hypothèse, qu’advient-il de l’obligation de conseil ? N’existe-t-il pas des risques que la fourniture d’un tel outil soit considérée comme un acte d’exercice illégal de la médecine ?

En outre, l’objet même des produits ou services de santé prédictive pourrait imposer d’obtenir des autorisations ou agréments spécifiques.

Ces interrogations doivent donc être soulevées en amont, dans le cadre de la conception du projet, afin d’anticiper toute difficulté à venir.

Enfin, les algorithmes prédictifs constituent, au regard des prédictions réalisées, un véritable outil d’aide à la prise de décision. Des difficultés peuvent donc en résulter en termes de répartition des responsabilités associées. Ces difficultés se posent dans les relations entre les fournisseurs de technologies et les professionnels de santé, mais également à l’égard des patients.

Un médecin réalisant un diagnostic au moyen d’un outil de prédiction est-il déchargé de toute responsabilité ? Qui est responsable d’une erreur dans la détermination du niveau d’urgence en vue de la prise en charge d’un patient au regard d’une analyse prédictive ? Comment encadrer ou limiter cette responsabilité ? Quels aspects anticiper dans le cadre de la contractualisation avec les professionnels de santé et /ou les patients ?

Autant de questions que la conception d’outils de médecine prédictive fondés sur des algorithmes de prédiction impose de se poser (et d’y répondre) avant tout déploiement effectif.

Alain Bensoussan
Lexing Droit Marketing électronique

(1) Loi 78-17 du 6-1-1978 modifiée.




Les algorithmes prédictifs au cœur des stratégies e-commerce

Les algorithmes prédictifs au cœur des stratégies e-commerceL’algorithme s’est imposé comme un outil incontournable pour cibler au mieux le consommateur par des  recommandations personnalisées : publicité ciblée, retargeting publicitaire, etc.

La dernière mode est même aux algorithmes prédictifs, au cœur de la stratégie e-commerce des entreprises.

En combinant l’analyse de données avec les statistiques prédictives, les e-commerçants tentent de prévoir les comportements des consommateurs, notamment des internautes, et agir par anticipation.

En pratique, les moteurs d’algorithme prédictifs, ou encore de marketing prédictif, ont vocation à agréger tous types de données sur les internautes, afin de proposer à chaque individu des produits ou un contenu qui correspondent à ses besoins et/ou ses envies.

A cette fin, les données agrégées peuvent provenir de nombreuses sources telles que les achats d’ores et déjà effectués par le consommateur, son adhésion à des programmes de fidélité ou de récompenses, la navigation de l’internaute sur les moteurs de recherche et sur internet de manière générale, les commentaires mis en ligne par le client sur des produits achetés au préalable, ou encore le comportement de l’internaute s’agissant de ses courriels, voire le contenu de ces courriels.

Pour aller encore plus loin, certains commerçants en ligne se dotent d’outils de filtrage collaboratif ayant vocation à identifier les produits qu’ont achetés d’autres internautes ayant le même profil.

Par ailleurs, outre l’utilisation de l’analyse prédictive et du big data à des fins de pur marketing, le secteur du e-commerce a également recours à ces techniques à des fins de lutte contre la fraude au paiement en ligne. En effet, de nombreux modules de lutte contre la fraude à la carte bancaire par exemple reposent sur des techniques de scoring faisant appel à des calculs reposant sur des algorithmes prédictifs et statistiques décisionnelles.

A ces techniques d’analyse prédictive peut également s’associer la technique du « machine learning », ou algorithme d’apprentissage, une branche de l’intelligence artificielle visant à doter les ordinateurs de la capacité d’améliorer leurs performances sans intervention humaine : l’algorithme progresse ainsi par lui-même. Certains sites internet ajoutent également au modèle prédictif une couche de web sémantique…

En tout état de cause, ces techniques imposent de s’appuyer sur une collecte massive de données à caractère personnel des internautes, une telle collecte devant être particulièrement encadrée.

Or, si des règles existent d’ores et déjà en matière de traitement et de protection des données à caractère personnel, elles ne paraissent pas toujours appropriées que ce soit au secteur de l’e-commerce, ou encore aux techniques mises en œuvre dans le cadre de l’utilisation des algorithmes prédictifs, et peuvent nécessiter une adaptation dans leurs modalités d’interprétation et d’application. De nouvelles règles du jeu doivent être définies [1].

L’utilisation des algorithmes prédictifs dans le secteur du e-commerce peut également mener, si elle n’est pas encadrée, à des pratiques pouvant être considérées comme déloyales, voire trompeuses ou agressives, à l’encontre des consommateurs.

Aussi, un grand nombre d’acteurs tentent à ce jour d’encadrer de telles pratiques en rappelant dans diverses publications les règles juridiques applicables mais également en définissant des règles métiers sectorielles, particulièrement pour ce qui concerne le secteur du e-commerce.

En effet, si le Conseil d’Etat s’est récemment penché sur la question [2], imposant aux auteurs de décisions s’appuyant sur la mise en œuvre d’algorithmes prédictifs une obligation générale de transparence dans l’utilisation des données des internautes ou encore donnant des pistes pour limiter le développement de pratiques commerciales déloyales en ligne reposant sur l’utilisation d’algorithmes prédictifs (par exemple, la différenciation des prix en fonction des internautes), d’autres professionnels du secteur se penchent sur les questions soulevées par l’utilisation de telles techniques.

Ainsi, de nombreux livres blancs fleurissent sur des thèmes variés (de type « Booster son e-commerce au moyen de recommandations prédictives », « le big data prédictif », etc.) mais toujours axés autour du même sujet : comment utiliser au mieux les algorithmes prédictifs dans le cadre d’une stratégie e-commerce tout en sécurisant juridiquement ces pratiques ?

Ce mouvement de prise de conscience générale doit être l’occasion pour les organismes recourant aux techniques algorithmiques d’analyse prédictive de procéder à un audit juridique de ces pratiques en amont de leur déploiement afin de sécuriser leur utilisation, et ce d’autant qu’à n’en pas douter, l’utilisation massives des données des internautes n’en est qu’à ses prémices.

Alain Bensoussan
Lexing Droit Marketing électronique

[1] Voir « Analyse prédictive, Big Data et protection des données », Post du 18-12-2014
[2] Voir « Algorithmes prédictifs : des enjeux économiques et juridiques », Post du 17-10-2014




Avocat et innovation : Alain Bensoussan, sacré numérique

Avocat et innovation : Alain Bensoussan, sacré numériqueAvocat numérique – Le magazine Le Point consacre dans son édition du 30 octobre 2014, un dossier spécial intitulé « Avocats : le grand chambardement », dans lequel Alain Bensoussan est sacré « numérique ».

« Maître Bensoussan aime les robots, ces machines intelligentes douées d’une coopération avec l’homme ».

Un scénario de science-fiction qui deviendra bientôt réalité, augure Alain Bensoussan : « Bonjour ! Mon nom est Dymoi ! La voix énergique du robot humanoïde qui a remplacé l’hôtesse d’accueil du cabinet a des accents presque familiers. La machine intelligente réalise, dans les règles de l’art et en un temps record, les tâches des anciens juristes dévolus à l’analyse documentaire. Elle trie les informations disponibles sur internet, repère la jurisprudence la plus favorable et pointe les passages clés de l’argumentaire des juges. Mieux, son algorithme prédictif calcule les chances de succès et identifie le juge idéal. Du pain bénit pour l’avocat qui défendra l’affaire en justice ! Ce morceau de fiction pourrai, plus vite qu’on ne le pense, être dépassé par la réalité ».

Pour l’avocat, « l’ordinateur d’IBM Watson est capable de faire des diagnostics médicaux et rien n’empêche de penser que demain il fera des diagnostics juridiques pour nos clients« , ajoutant que « les robots sont capables de prendre des décisions et, dotés d’une intelligence artificielle autonome, ils devraient se voir conférer une personnalité juridique avec des droits et des obligations ».

« Dans son département ad hoc, cet avant-gardiste des technologies avancées fabrique un droit prédictif de la responsabilité des robots, anticipant les risques auxquels s’exposeront, demain, les fabricants de ces créatures aux gestes de plus en plus imprévisibles« .

Spécial avocats, Le Point n° 2198 du 30 octobre 2014 (Extrait)




Algorithmes prédictifs : des enjeux économiques et juridiques

Algorithmes prédictifs : des enjeux économiques et juridiquesLes algorithmes prédictifs représentent désormais une technologie incontournable de notre siècle. Le développement notamment du big data conduit à les appliquer dans de très nombreux domaines.

Conscient de la croissance exponentielle de cette nouvelle technologie et des défis associés, le Conseil d’Etat invite les pouvoirs publics, dans un récent rapport portant sur « Le numérique et les droits fondamentaux » , à prendre la mesure du rôle joué par les algorithmes et à concevoir l’encadrement de leur utilisation.

Des enjeux économiques majeurs. L’algorithme prédictif se définit comme une méthode d’analyse prédictive qui utilise une variété de techniques issues des mathématiques, des statistiques et d’extractions de données en vue d’analyser des faits présents et passés pour faire des hypothèses prédictives sur des évènements futurs.

L’utilité des algorithmes pour optimiser le fonctionnement d’un certain nombre de services n’est pas discutable et concerne tous les secteurs économiques.

Parmi les utilisations de ces algorithmes prédictifs, plus ou moins abouties à ce jour, il est possible de citer :

  • le marketing prédictif consistant en l’utilisation des algorithmes prédictifs pour la détermination par exemple de la réceptivité des personnes à des textes ou offres promotionnels, du taux de performance de l’objet d’un e-mail publicitaire (notamment taux d’ouverture, mais également taux de clic et taux de rebond), ou encore du comportement des consommateurs (analyse comportementale), en vue notamment de l’amélioration de l’expérience utilisateur et d’une personnalisation des produits et services proposés. A titre d’illustration s’agissant de l’utilisation de l’internet, pour une même requête, Google renvoie des résultats différents selon les utilisateurs, car son algorithme prend en compte les centres d’intérêt de ceux-ci, révélés par leurs requêtes précédentes. De même, Facebook utilise des algorithmes pour afficher les contenus des amis des internautes sur leur mur ou encore leur proposer des « amis » potentiels ;
  • les services d’assistant personnel prédictif : il s’agit d’outils prédictifs « lanceurs » d’applications mobiles ayant pour objectif de rendre les smartphones de plus en plus ergonomiques et personnalisés pour les utilisateurs. Ils disposent de nombreuses fonctionnalités telles qu’analyse des habitudes de l’utilisateur pour mettre en avant les fonctionnalités les plus utilisées et les présenter sur l’écran d’accueil, détection du rythme de vie de l’utilisateur en vue d’une différenciation des utilisations (ex : différenciation des utilisations professionnelles / personnelles en fonction de l’heure de la journée ou de la position géographique du smartphone par exemple), présentation à l’utilisateur des informations qui sont censées l’intéresser avant même qu’il n’en fasse la demande (prochain rendez-vous, trafic, météo,…) ;
  • la détermination de scores de risques : risques d’impayés ou de fraudes associés à une commande de produits ou services sur internet ou encore à une demande de crédit à la consommation par exemple, profils à risque parmi les passagers des compagnies aériennes,… ;
  • les pronostics et prédictions de résultats sportifs, électoraux,… ou encore l’anticipation de l’affluence dans les transports en communs, dans les bureaux de poste ou dans tout autre lieu ouvert au public.

D’autres domaines, aux confins de l’éthique, sont également en passe d’avoir recours à ces techniques. C’est ainsi que se développent aujourd’hui la médecine (via des systèmes d’aide à la décision clinique par exemple) ou encore la police prédictives.

Des utilisations sources de risques pour le citoyen. La multiplication des usages des algorithmes prédictifs conduit à faire émerger certaines source de risques liées au développement de cette technologie.

A cet égard, le Conseil d’Etat relève notamment les sources de risques suivantes :

  • une hyperpersonnalisation des offres et messages adressés aux internautes et consommateurs de manière générale, dont ils ne sont pas maîtres, cette personnalisation conduisant à des risques d’enfermement de l’individu dans une sphère limitée de possibilités et de ségrégation des expériences ;
  • la confiance abusive dans les résultats d’algorithmes perçus comme objectifs et infaillibles, alors qu’ils résultent en tout état de cause d’idées et de choix initiaux non nécessairement objectifs ;
  • de nouveaux problèmes d’équité du fait de l’exploitation toujours plus fine des données personnelles.

A ces risques « éthiques » induits par l’utilisation des algorithmes prédictifs, viennent s’ajouter des risques juridiques liés à l’utilisation massive de données à caractère personnel dans le cadre des calculs algorithmiques.

En effet, comme tout traitement de données à caractère personnel, l’utilisation de telles données à des fins de prédiction algorithmique doit être particulièrement encadrée, et notamment faire l’objet de formalités préalables auprès de la Cnil. De même, une attention particulière doit être portée aux moyens de collecte des données afin de s’assurer de la loyauté et de la licéité de cette collecte et, compte tenu de la multitude de données nécessaires aux traitements algorithmiques, d’éviter tout détournement de finalité.

Par ailleurs, il convient de rappeler que tout traitement de données doit normalement faire l’objet d’une information préalable des personnes concernées, voire d’un consentement de ces dernières, qui doivent par ailleurs disposer d’une possibilité d’exercer leurs droits d’interrogation, d’accès, de rectification et d’opposition au traitement de leurs données.

De même, l’utilisation de ces données à des fins d’analyse prédictive ne doit en aucun cas induire une prise de décisions produisant des effets juridiques à l’égard d’une personne sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité, sans intervention humaine et sans que la personne concernée ne soit mise à même de présenter ses observations.

D’autres aspects, dont la gestion peuvent il est vrai présenter une certaine complexité s’agissant des technologies algorithmiques, doivent également faire l’objet d’une attention particulière, notamment l’obligation de ne collecter que des données strictement nécessaires au traitement, de ne les conserver que pendant une durée proportionnée à la finalité recherchée…

Vers un encadrement juridique. Au regard de l’ensemble des risques sus-identifiés et des contraintes juridiques applicables, le Conseil d’Etat émet dans son rapport précité plusieurs propositions visant à encadrer spécifiquement l’utilisation des algorithmes prédictifs.

Pour le Conseil d’Etat, les algorithmes sont des sources de risques pour l’exercice de nos droits fondamentaux : « Face aux risques qu’ils présentent, il convient de définir un véritable droit des algorithmes prédictifs » affirme l’étude.

Pour autant, le Conseil d’Etat n’est pas opposé à l’usage statistique des données personnelles. Il souhaite même les mettre « au service de l’efficacité des politiques de santé, d’éducation, de sécurité, de lutte contre la fraude ou de promotion de la culture, ainsi qu’à la simplification des démarches administratives ».

Les recommandations issues de son rapport sont ainsi les suivantes :

  • pour assurer l’effectivité de l’interdiction de fonder une décision sur la seule mise en œuvre d’un traitement automatise´, le Conseil d’Etat rappelle que l’intervention humaine dans la décision doit être réelle et pas seulement formelle, et que des critères d’appréciation du caractère effectif de l’intervention humaine doivent être définis ;
  •  il est également rappelé qu’il convient d’imposer aux auteurs de décisions s’appuyant sur la mise en œuvre d’algorithmes une obligation de transparence sur les données personnelles utilisées par l’algorithme et le raisonnement général suivi par celui-ci, et de donner a` la personne faisant l’objet de la décision la possibilité de faire valoir ses observations ;
  • le Conseil d’Etat insiste ensuite sur la nécessité de développer et de multiplier les contrôles de la Cnil s’agissant des algorithmes prédictifs par l’observation de leurs résultats, notamment pour détecter des discriminations illicites, en renforçant a` cette fin les moyens humains dont dispose cette autorité ;
  • il est en outre recommandé d’analyser les pratiques de différenciation des prix reposant sur l’utilisation des données personnelles, de mesurer leur développement et de déterminer celles qui devraient être qualifiées de pratiques commerciales illicites ou déloyales, et sanctionnées comme telles ;
  • enfin, les sites internet diffusant des contenus audiovisuels ou musicaux sont incités à prendre en compte la diversité culturelle dans les algorithmes de recommandation.

Outre les impacts juridiques et sociétaux qui pourraient résulter de ces recommandations, le rapport du Conseil d’Etat doit être l’occasion de sensibiliser les organismes recourant aux techniques algorithmiques d’analyse prédictive aux contraintes et aspects juridiques à maîtriser pour déployer leurs dispositifs en tout légalité et à la nécessité de procéder à un audit juridique de ces pratiques en amont de leur déploiement afin de sécurité leur utilisation.

Alain Bensoussan
Lexing Droit Marketing électronique