Summary
Sept parties, une organisation des droits humains, une organisation des droits civils, une organisation de défense du droit à la vie privée, une organisation œuvrant en faveur du droit à la vie privée de clients de psychothérapeutes, un conseil national de participants à la formulation de politiques gouvernementales établi par la loi et deux particuliers ont intenté une action contre l’État des Pays-Bas en mars 2018, contestant la légalité de l’utilisation de System Risk Indication (SyRi), un instrument juridique de collecte de collecte de données utilisé par le gouvernement pour évaluer le risque que des personnes recevant des prestations sociales de l’État aient agi frauduleusement. (Un syndicat s’est joint à l’action à titre de tiers intervenant en faveur des plaignants en septembre 2018). Les plaignants ont fait valoir que SyRi contrevenait à des dispositions de la Convention européenne des droits de l’homme (CEDH) et que l’Administration fiscale et douanière des Pays-Bas manquait à ses obligations de confidentialité. Ils ont demandé un décret interdisant au gouvernement de continuer à utiliser SyRi. De plus, les plaignants ont demandé qu’il soit ordonné à l’État de divulguer les modèles et indicateurs de risque utilisés par SyRi, de détruire toutes les données personnelles recueillies pour les projets de SyRi et de prendre en charge les frais de procédure.
La Loi sur la structure de mise en œuvre de l’emploi et des revenus (Loi SUWI), telle que modifiée le 4 janvier 2014 et appliquée en vertu du Décret SUWI, autorisait l’application de l’instrument de collecte de données SyRi. Le système SyRi produisait des rapports de risques pour les organismes gouvernementaux indiquant si une enquête devait être menée sur un particulier pour comportement frauduleux dans la perception de prestations sociales. Dans la pratique, SyRi a été mis en œuvre dans le cadre de projets communautaires, où une « alliance de collaboration » d’organismes gouvernementaux définissait une zone géographique dans laquelle mener des analyses SyRi et collaborait en fournissant des données au modèle de risque SyRi. Les modèles de risque étaient conçus en compilant un ensemble d’indicateurs de risque qui étaient comparés aux données provenant des différents organismes gouvernementaux participant à l’alliance de collaboration. Selon la législation, les données des rapports de risques pouvaient être conservées pour une période allant jusqu’à deux ans après un projet communautaire SyRi.
Le Décret SUWI contenait une longue liste de catégories d’information qui pouvaient être traitées dans SyRi, dont : genre, antécédents professionnels, impôts, propriétés, éducation, assurance-santé, permis gouvernementaux, prestations d’aide sociale, endettement, pension et sanctions administratives. Les organismes pouvaient proposer des projets SyRi et les présenter au ministre des Affaires sociales et de l’Emploi pour en obtenir l’autorisation. Le ministre pouvait choisir de traiter les données si la demande répondait aux conditions du Décret SUWI et si la demande indiquait qu’il existait une capacité systémique à associer des jeux de données pour arriver au résultat d’analyse proposé.
Les plaignants ont contesté la législation relative à SyRi (les dispositions de la Loi SUWI et du Décret SUWI concernant SyRi) en vertu de l’article 8, alinéa 1, de la CEDH, qui établit comme droit fondamentale de toute personne le respect de « sa vie privée et familiale, de son domicile et de sa correspondance », et en vertu de l’article 8, alinéa 2, qui stipule que l’ingérence dans l’exercice du droit à la vie privée n’est permise que si elle « est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sécurité publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui ». L’article 8 définit un critère de mise en balance pour déterminer le statut juridique de la législation relative à SyRi. Le tribunal a dû soupeser les intérêts publics de l’État dans la législation relative à SyRi par rapport à l’ingérence dans la vie privée qui pourrait résulter des rapports de risques SyRi.
De plus, l’Union européenne assure la protection du droit au respect de la vie privée au moyen de la Loi relative à la mise en œuvre du Règlement général sur la protection des données (RGPD). Les principes du RGPD sont, entre autres : la transparence, la limitation de la finalité, la minimisation, l’exactitude, l’intégrité et la confidentialité des données, et la responsabilité. En 2018, le RGPD est entré en vigueur dans tous les États membres de l'UE.
Dans la décision, le tribunal a traité de la relation entre la CEDH et le RGPD en déterminant que, si la CEDH définit des règles générales concernant le respect de la vie privée et les droits humains, le RGPD constitue un texte règlementaire précis concernant les droits des citoyens dans la protection des données personnelles. Les droits garantis par la CEDH sont inscrits dans la Charte de l’Union européenne, qui régit le RGPD. Prenant note de cette structure, le tribunal a décidé d’utiliser les principes définis dans le RGPD pour analyser et interpréter la législation relative à SyRi au titre de l’article 8 de la CEDH.
Le tribunal a statué que la législation relative à SyRi contrevenait à la Convention européenne des droits de l'homme car elle ne répondait pas aux critères de mise en balance présentés à l’article 8, alinéa 2, et parce que l’État n’avait pas prouvé que la législation et l’adoption du système SyRi étaient transparentes et vérifiables.
Concernant les critères de mise en balance, le tribunal a conclu qu’un rapport de risques avait un effet juridique important sur la personne dont les renseignements figurent dans le rapport, que telle ait été ou non l’intention de la législation. Même si un rapport de risques ne peut être utilisé isolément pour sanctionner une personne, il peut donner lieu à une enquête ou être utilisé dans des décisions judiciaires qui peuvent avoir d’énormes répercussions sur la vie de la personne. Le tribunal a conclu qu’il n’y avait pas assez de garanties en place pour créer un droit justifié de s’ingérer dans la vie privée d’une personne. Pour toutes ces raisons, le tribunal a conclu que l’atteinte au droit individuel au respect de la vie privée était trop importante pour accepter l’intérêt déclaré du gouvernement.
Le tribunal a également analysé la législation relative à SyRi et conclu qu’elle n’était ni transparente ni vérifiable. Il a constaté que SyRi pouvait être utilisé comme système « d’apprentissage profond » car il permettait aux organismes qui s’en servent d’ajuster les modèles de risque tout au long du processus. De plus, le tribunal a conclu qu’il était possible que le système serve au profilage de données de particuliers, ce qui est interdit par le RGPD. Les opérations de couplage de dossiers utilisées dans SyRi correspondaient à la définition de profilage au titre du RGPD. Les personnes concernées n’étaient pas informées individuellement que leurs données étaient entrées dans le système SyRi. Les modèles de risque utilisés et les renseignements recueillis étaient tenus secrets par le gouvernement. Selon les principes du RGPD, ces pratiques ont amené le tribunal à la conclusion que la législation contrevenait à la CEDH.