Nederlands Juristen Comité voor de Mensenrechten et autres c. les Pays-Bas, ECLI:NL:RBDHA:2020:1878

Le Tribunal d’instance de La Haye a statué qu’un amendement à la Loi relative à la structure de mise en œuvre du travail et des revenus autorisant l’utilisation de System Risk Indication (« SyRi ») contrevenait à la Convention européenne des droits de l’homme. Les dispositions de la Convention européenne des droits de l’homme concernant le respect de la vie privée, énoncées à l’article 8, alinéas 1 et 2, exigent que la cour mette en balance les intérêts du gouvernement des Pays-Bas et l’ingérence dans la vie privée résultant de l’utilisation de SyRi, et la cour a conclu que les intérêts du gouvernement n’étaient pas assez importants pour justifier la violation du droit individuel au respect de la vie privée.   La Cour a ordonné au gouvernement de cesser d’utiliser SyRi.

Date de la décision: 
5 fév 2020
Forum : 
Tribunal d’instance de La Haye
Type de forum : 
Domestique
Résumé : 

Sept parties, une organisation des droits humains, une organisation des droits civils, une organisation de défense du droit à la vie privée, une organisation œuvrant en faveur du droit à la vie privée de clients de psychothérapeutes, un conseil national de participants à la formulation de politiques gouvernementales établi par la loi et deux particuliers ont intenté une action contre l’État des Pays-Bas en mars 2018, contestant la légalité de l’utilisation de System Risk Indication (SyRi), un instrument juridique de collecte de collecte de données utilisé par le gouvernement pour évaluer le risque que des personnes recevant des prestations sociales de l’État aient agi frauduleusement.  (Un syndicat s’est joint à l’action à titre de tiers intervenant en faveur des plaignants en septembre 2018). Les plaignants ont fait valoir que SyRi contrevenait à des dispositions de la Convention européenne des droits de l’homme (CEDH) et que l’Administration fiscale et douanière des Pays-Bas manquait à ses obligations de confidentialité.  Ils ont demandé un décret interdisant au gouvernement de continuer à utiliser SyRi. De plus, les plaignants ont demandé qu’il soit ordonné à l’État de divulguer les modèles et indicateurs de risque utilisés par SyRi, de détruire toutes les données personnelles recueillies pour les projets de SyRi et de prendre en charge les frais de procédure.  

La Loi sur la structure de mise en œuvre de l’emploi et des revenus (Loi SUWI), telle que modifiée le 4 janvier 2014 et appliquée en vertu du Décret SUWI, autorisait l’application de l’instrument de collecte de données SyRi.  Le système SyRi produisait des rapports de risques pour les organismes gouvernementaux indiquant si une enquête devait être menée sur un particulier pour comportement frauduleux dans la perception de prestations sociales.  Dans la pratique, SyRi a été mis en œuvre dans le cadre de projets communautaires, où une « alliance de collaboration » d’organismes gouvernementaux définissait une zone géographique dans laquelle mener des analyses SyRi et collaborait en fournissant des données au modèle de risque SyRi. Les modèles de risque étaient conçus en compilant un ensemble d’indicateurs de risque qui étaient comparés aux données provenant des différents organismes gouvernementaux participant à l’alliance de collaboration.  Selon la législation, les données des rapports de risques pouvaient être conservées pour une période allant jusqu’à deux ans après un projet communautaire SyRi.

Le Décret SUWI contenait une longue liste de catégories d’information qui pouvaient être traitées dans SyRi, dont : genre, antécédents professionnels, impôts, propriétés, éducation, assurance-santé, permis gouvernementaux, prestations d’aide sociale, endettement, pension et sanctions administratives.  Les organismes pouvaient proposer des projets SyRi et les présenter au ministre des Affaires sociales et de l’Emploi pour en obtenir l’autorisation. Le ministre pouvait choisir de traiter les données si la demande répondait aux conditions du Décret SUWI et si la demande indiquait  qu’il existait une capacité systémique à associer des jeux de données pour arriver au résultat d’analyse proposé.

Les plaignants ont contesté la législation relative à SyRi (les dispositions de la Loi SUWI et du Décret SUWI concernant SyRi) en vertu de l’article 8, alinéa 1, de la CEDH, qui établit comme droit fondamentale de toute personne le respect de « sa vie privée et familiale, de son domicile et de sa correspondance », et en vertu de l’article 8, alinéa 2, qui stipule que l’ingérence dans l’exercice du droit à la vie privée n’est permise que si elle « est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sécurité publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui ». L’article 8 définit un critère de mise en balance pour déterminer le statut juridique de la législation relative à SyRi. Le tribunal a dû soupeser les intérêts publics de l’État dans la législation relative à SyRi par rapport à l’ingérence dans la vie privée qui pourrait résulter des rapports de risques SyRi.

De plus, l’Union européenne assure la protection du droit au respect de la vie privée au moyen de la Loi relative à la mise en œuvre du Règlement général sur la protection des données (RGPD). Les principes du RGPD sont, entre autres : la transparence, la limitation de la finalité, la minimisation, l’exactitude, l’intégrité et la confidentialité des données, et la responsabilité.  En 2018, le RGPD est entré en vigueur dans tous les États membres de l'UE.

Dans la décision, le tribunal a traité de la relation entre la CEDH et le RGPD en déterminant que, si la CEDH définit des règles générales concernant le respect de la vie privée et les droits humains, le RGPD constitue un texte règlementaire précis concernant les droits des citoyens dans la protection des données personnelles. Les droits garantis par la CEDH sont inscrits dans la Charte de l’Union européenne, qui régit le RGPD. Prenant note de cette structure, le tribunal a décidé d’utiliser les principes définis dans le RGPD pour analyser et interpréter la législation relative à SyRi au titre de l’article 8 de la CEDH.  

Le tribunal a statué que la législation relative à SyRi contrevenait à la Convention européenne des droits de l'homme car elle ne répondait pas aux critères de mise en balance présentés à l’article 8, alinéa 2, et parce que l’État n’avait pas prouvé que la législation et l’adoption du système SyRi étaient transparentes et vérifiables.    

Concernant les critères de mise en balance, le tribunal a conclu qu’un rapport de risques avait un effet juridique important sur la personne dont les renseignements figurent dans le rapport, que telle ait été ou non l’intention de la législation.  Même si un rapport de risques ne peut être utilisé isolément pour sanctionner une personne, il peut donner lieu à une enquête ou être utilisé dans des décisions judiciaires qui peuvent avoir d’énormes répercussions sur la vie de la personne. Le tribunal a conclu qu’il n’y avait pas assez de garanties en place pour créer un droit justifié de s’ingérer dans la vie privée d’une personne.  Pour toutes ces raisons, le tribunal a conclu que l’atteinte au droit individuel au respect de la vie privée était trop importante pour accepter l’intérêt déclaré du gouvernement.

Le tribunal a également analysé la législation relative à SyRi et conclu qu’elle n’était ni transparente ni vérifiable.  Il a constaté que SyRi pouvait être utilisé comme système « d’apprentissage profond » car il permettait aux organismes qui s’en servent d’ajuster les modèles de risque tout au long du processus.  De plus, le tribunal a conclu qu’il était possible que le système serve au profilage de données de particuliers, ce qui est interdit par le RGPD. Les opérations de couplage de dossiers utilisées dans SyRi correspondaient à la définition de profilage au titre du RGPD. Les personnes concernées n’étaient pas informées individuellement que leurs données étaient entrées dans le système SyRi.  Les modèles de risque utilisés et les renseignements recueillis  étaient tenus secrets par le gouvernement. Selon les principes du RGPD, ces pratiques ont amené le tribunal à la conclusion que la législation contrevenait à la CEDH.

Application des décisions et résultats: 

À titre de mesure corrective, le tribunal a annulé la législation relative à SyRi, ce qui signifie que le gouvernement ne peut pas continuer à utiliser le système de données SyRi. Toutefois, le tribunal a rejeté la plainte concernant la confidentialité des données de l’Administration fiscale et douanière, signalant que les plaignants n’avaient pas étayé leur affirmation. Le tribunal a également refusé d’ordonner au gouvernement de divulguer les modèles de risque SyRi qui avaient été utilisés dans certains projets SyRi et il n’a pas ordonné la destruction des données qui avaient été recueillies dans le cadre des projets SyRi. Le 23 avril 2020, le gouvernement des Pays-Bas a annoncé qu’il ne prévoyait pas en appeler du jugement rendu dans cette affaire.

Importance de la jurisprudence: 

Avec la montée de l’intelligence artificielle (« IA »), de nombreux pays commencent à mettre en place des systèmes utilisant des technologies pour  identifier aussi bien les comportements individuels que les tendances systémiques dans les prestations sociales et autres prestations gouvernementales.  La décision rendue dans cette affaire crée un précédent qui rendra possible de contester ces systèmes au titre de la CEDH et du droit de l’Union européenne, surtout si les préjudices causés aux bénéficiaires individuels des programmes de sécurité sociale l’emportent largement sur les avantages pour le pays dans son ensemble.  De plus, cette affaire laisse présager que lorsque les calculs systémiques utilisés pour identifier un comportement frauduleux chez les bénéficiaires de prestations sociales ne sont ni transparents ni disponibles, les États pourraient avoir de la difficulté à défendre leurs technologies.

Nous remercions particulièrement de ses contributions le membre du Réseau DESC : Program on Human Rights and the Global Economy at Northeastern University (PHRGE).