En 2000, L.Lessig dans son célèbre article « Code is law » 2 [2] montrait déjà l’influence du code informatique sur les États. Ce dernier peut en effet « intégrer, ou supplanter, certaines valeurs de nos traditions constitutionnelles. » Partant, il met en avant le pouvoir du code face aux gouvernements et par extension la loi : la régulation du cyberespace serait le fruit de l’idéologie libertarienne de ses créateurs et elle bouleverserait l’existence des normes juridiques et sociales.
L’influence du code sur le droit présente un enjeu majeur en ce qu’il peut impliquer des espaces où ce dernier n’a pas sa place. Pour y faire face, les États s’arment de leur arsenal législatif et juridique afin de maintenir leur pouvoir sur ces normes. En témoignent la création du Communications Decency Act en 1996 [3] par le Congrès américain et la déclaration d’inconstitutionnalité de certaines de ses dispositions par la Cour suprême des États-Unis un an plus tard. (cf Reno c. American Civil Liberties Union, 521 US 844. 1997) [4]). Parfois, les États eux-mêmes créent des espaces juridiques où le code informatique règne, paradoxalement ils organisent une forme d’abdication du droit face à la puissance du numérique.
En France, la plateforme Admission Post Bac - ancienne plateforme destinée aux étudiants, aux écoles et aux universités afin de centraliser et traiter les candidatures aux études supérieures -est un exemple du lien complexe entre le code informatique et le droit. Le rapport de la Cour des comptes, Admission Post Bac et accès à l’enseignement supérieur du 9 novembre 2017, un dispositif contesté à réformer dénonçait ainsi que « le droit dans lequel évolue APB est déterminé par le Code de l’éducation [...] face aux difficultés d’accueil des étudiants en licences non-sélectives sous tension et en l’absence de réglementation sur ce point, le code informatique d’APB met [...] en œuvre des dispositifs qui n’ont pas été prévus par le législateur, à l’instar du dispositif de tirage au sort pour les filières non-sélectives sous tension. » [5]. La phrase « code is law » prend ainsi tout son sens : le code informatique a un effet sur les droits des individus, en l’occurrence le droit d’accès égal aux études supérieures [6] garanti par l’article 13 du préambule de la Constitution de 1946 [7].
Pour « organiser » la technique, on observe un développement normatif important à l’échelle nationale et internationale. L’adage « qui fait la norme, fait le marché » (Werner Von Siemens, 19es) serait alors discutable. En effet, d’un côté l’ensemble des normes et réglementations techniques applicables à un territoire donné forment une infrastructure que les entreprises doivent intégrer dès la conception de leurs produits. Dès lors, la compétition commence lorsque l’entreprise concourt à la rédaction d’une norme. Avec la mise en application du RIA, le développement de nouvelles normes internationales ne fera que s’accélérer, en termes de cybersécurité, comme de standards techniques des produits intégrant de l’IA. Cette course normative se fait en parallèle d’une lecture du code informatique de moins en moins interprétable.
D’un autre côté, cette régulation soulève la question de savoir si elle freine le développement technique. Elle interroge également sa compatibilité avec le respect des libertés fondamentales, en particulier le droit à la vie privée garanti par l’article 12 de la Déclaration universelle des droits de l’homme, l’article 17 du Pacte international relatif aux droits civils et politiques, l’article 8 de la Convention européenne des droits de l’homme, l’article 7 de la Charte des droits fondamentaux de l’Union européenne et l’article 9 du Code civil français.
Sur le défi d’une conciliation entre la technique et le droit, il vient parfois « utiliser » cette dernière pour une meilleure application de ses règles, comme on peut le voir à travers le processus de Rules as Code (RaC). Ce terme correspond au fait de coder des lois et règlements, soit de traduire un langage naturel—ici un langage juridique—en langage informatique. Aussi, consommable [8] par une machine, le RaC permettrait d’appliquer directement une loi codée dans un produit ou service numérique. Voilà un moyen pour le droit de s’approprier les standards d’interopérabilité en structurant les normes dans le but de les rendre lisibles par la machine.
Comment réguler le code informatique ? Le droit peut-il imposer sa régulation sur la technique ou évoluons-nous vers un monde où le code supplante la norme juridique ?
Dans cette analyse, il s’agit de montrer les risques liés à la puissance du code comme outil de régulation (I) avant d’analyser comment la loi peut se réapproprier la technique pour adapter ses propres normes et principes (II).
I. Les risques liés à la puissance du code comme outil de régulation.
A. Le risque de manipulation d’une régulation par le code portant atteinte aux libertés.
Lawrence Lessig, professeur de droit à l’université d’Harvard, introduit dans les années 2000 un nouveau concept dans la pensée juridique : « Code is law ». À travers ce terme, il démontre comment les concepteurs de l’infrastructure numérique en viennent à devenir les régulateurs du cyberespace. En effet, au moment de la rédaction de cet article le protocole TCP/IP fonctionne de sorte à ce qu’il ne soit pas possible de savoir quelles données sont échangées entre les différents réseaux interconnectés, ni qui les échange. Cela permet une liberté d’expression qui relève de la nature même d’internet. C’est en ce sens que le code fait loi dans le cyberespace. En effet, les créateurs du protocole TCP/IP ont eux-mêmes instauré cette règle, qui reflète renvoie à une liberté d’expression que l’on retrouve, notamment, dans la Constitution américaine. Il s’agit d’une liberté d’expression par essence absolue alors que celle prévue par la Constitution états-unienne rencontre certaines limites. (cf Miller v. California, 413 U.S. 15 1973 [9]). Ce n’est donc pas véritablement la liberté d’expression qui fait le code mais plutôt l’idéologie des créateurs du code [10]… avec ses propres biais.
Pour reprendre Lessig, c’est à travers l’application de cette idéologie sur ces lignes de code que « le gouvernement allemand, (se retrouve) confronté aux discours nazis, ou le gouvernement américain face à la pédo-pornographie ». Cela vient renforcer le pouvoir des développeurs. De ce fait, la loi exerce bien une influence pour réguler les codes informatiques dès leur création. Pour des raisons évidentes—puisqu’ill est impossible de tout prévoir avec certitude—il ne paraît pas envisageable d’édicter a priori, ou de manière immédiate, des règles de droit strictement casuistiques et circonstancielles pour accompagner le développement des technologies. Il est toutefois possible de poser des grands principes actionnables, à la manière de l’article 1 de la loi informatique et liberté : « L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » [11]
C’est ce que le Règlement IA tente également d’introduire par le biais de notions telles que l’IA à usage général (GPAI) [12] et le réexamen des normes tous les deux ans par la Commission européenne prévu dans le code de bonnes pratiques de l’IA à usage général. Ces avancées normatives s’accompagnent du développement de solutions techniques permettant aux entreprises et aux industriels d’anticiper les exigences de telles règlementations. C’est en ce sens que la création de bacs à sable règlementaires—obligation intégrée au sein du règlement IA à l’article 57—vient obliger les États membres à mettre en place un outil d’expérimentation au niveau national. Cela permettrait d’identifier les problématiques non anticipées émergentes des systèmes d’IA.
Dès lors, un code informatique développé en interne par une administration protégerait-il les droits des individus ? L’exemple de la plateforme Admission Post Bac permet d’éclairer cette réflexion.
B. Une régulation institutionnalisée du code portant atteinte aux libertés : le cas APB.
Bien que régulé par une institution, en l’occurrence la justice administrative française, le code peut présenter des risques pour les droits et libertés des personnes. L’illustration de la saisine de la justice administrative dans l’affaire impliquant la plateforme APB, un service numérique de l’État, est un bon exemple : le rapport de la Cour des comptes évoque ainsi, à propos de la décision Admission Post Bac et accès à l’enseignement supérieur du 9 novembre 2017, un dispositif contesté à réformer :« le droit dans lequel évolue APB est déterminé par le code de l’éducation [...] face aux difficultés d’accueil des étudiants en licences non-sélectives sous tension et en l’absence de réglementation sur ce point, le code informatique d’APB met [...] en œuvre des dispositifs qui n’ont pas été prévus par le législateur, à l’instar du dispositif de tirage au sort pour les filières non-sélectives sous tension. » [13].
Le rapport de la Cour des comptes multiplie les exemples démontrant les lacunes du code informatique de la plateforme. Par exemple, pour les étudiants étrangers « il a été décidé qu’ils bénéficieraient de la priorité académique pour chacune de leur candidature en licence, avec un degré de priorité supérieur à celui des néo-bacheliers de l’académie. C’est ainsi qu’un candidat résidant à Londres peut postuler en vœu 1 à une université parisienne et en vœu 2 à une université bordelaise : il bénéficiera pour chacun de ses vœux du plus haut degré de priorité académique. Pour éviter une distorsion trop favorable à ces candidats, un contingent (10 % des places) a été fixé, au-delà duquel APB effectue un tirage au sort entre les candidats AEFE. L’une et l’autre règles n’ont aucun fondement réglementaire » (cf rapport APB p52). On y trouve d’autres éléments relatifs à la non-conformité de ce code informatique : « Les critères de classement des candidats utilisés par l’algorithme ne correspondaient pas aux dispositions du Code de l’éducation jusqu’à la session 2016. Ce n’est que par la circulaire du 24 avril 2017 que le ministère les a modifiés pour mettre en conformité la procédure de classement avec les textes législatifs, alors même que la campagne 2017 était déjà lancée. »
On observe ici que le code, surtout émanant d’une institution étatique, présente un danger s’il n’est pas accompagné d’une documentation suffisante (transparence des algorithmes, analyse de risques…etc.) tant dans le domaine informatique que juridique. Sans cet encadrement, le code peut laisser place au développement d’une politique publique hasardeuse ou au contraire d’un choix politique délaissant au code l’orientation d’une politique publique. Dans l’affaire APB, ce danger réside dans une affectation contra legem des étudiants en raison d’un code qui prévaudrait sur un régime juridique applicable. Cela démontre que l’utilisation du code par le politique peut faire partie intégrante d’une politique publique assumée qui peut aussi bien être orientée pour développer des politiques sociales égalitaires qu’allant à l’encontre des libertés individuelles et publiques.
Comment aurait-il été possible de réguler cela ? Peut-être en précisant des objectifs de répartition à travers une disposition réglementaire dont l’absence est maintes fois mentionnée dans ledit rapport. « L’adossement de la plateforme de candidature à un algorithme d’affectation n’a pas fait l’objet d’une décision ministérielle ou gouvernementale qui préciserait ses objectifs. » (p40). Une fois encore, il convient d’admettre que la norme ne peut pas tout prévoir a priori. En revanche, dans ce contexte, c’est en insistant sur les objectifs d’une loi que l’on peut permettre au juge et au juriste de la faire appliquer ou de l’appliquer de façon contextuelle en leur accordant plus de flexibilité.
Ainsi, qu’elle soit institutionnalisée ou non, la régulation du code présente toujours un risque intrinsèque au code informatique ? C’est pourquoi de nombreuses tentatives démontrent une volonté du législateur de se réapproprier le code informatique.
II. La réappropriation de la technique par le droit : une concordance entre les sciences
A. Une conciliation difficile entre droit et technique via des règles nationales et internationales.
La conciliation entre droit et technique est complexe dans la mesure où une loi circonstancielle ne peut prévoir toutes les situations a priori.
Pour composer avec les nouvelles problématiques que soulève le code informatique, États et organisations internationales tentent d’encadrer sa création et son utilisation, à travers notamment le RGPD, l’AI Act, et en France la loi informatique et liberté ou encore la loi pour une République numérique. Toutefois il apparaît que certaines des dispositions créées sont systématiquement dépassées par la technique, ce qui rend la conciliation des deux difficile. C’est le cas par exemple du RGPD en son article 22, qui pose un principe d’interdiction des décisions individuelles automatisées produisant des effets juridiques sur une personne « ou l’affectant de manière significative similaire » [14]. En pratique, cette disposition révèle que la responsabilisation de la prise de décision par une intervention humaine est primordiale. Ce principe est aujourd’hui remis en question par le projet de digital omnibus européen qui est présenté en cette fin d’année par la Commission européenne, issu d’un appel à contribution pour construire un paquet de simplification numérique [15].
La loi pour une République numérique — qui impose l’approfondissement de l’ouverture des données publiques, en misant sur la responsabilisation des opérateurs et sur le renforcement concomitant des droits des citoyens internautes — rencontre également des limites face au développement de la technique. Par exemple, l’article 4 de cette loi prévoit que lorsqu’une décision individuelle a été prise sur le fondement d’un traitement algorithmique, l’administration doit communiquer « les règles définissant ce traitement et les principales caractéristiques de sa mise en œuvre » [16] dès lors que la personne concernée en fait la demande.
Cette règle se heurte à une réalité technique : les algorithmes entraînés sur un réseau neuronale par nature opaque—enjeux majeur relatif à l’IA générative— aussi appelées « boîtes noires » sont de fait peu interprétables [17]. Il est donc techniquement complexe, voire impossible pour l’administration d’expliquer comment une décision a été prise avec ce type d’outil et de fait de les mettre au service des politiques publiques – et plus particulièrement des décisions individuelles - puisque leur explicabilité n’est pas possible à ce jour. En effet, on cherche à expliquer ces algorithmes pour garantir l’équité dans le traitement des individus et évacuer tout risque de discrimination technologique. Mais aussi, pour être conforme à des régulations qui imposent de justifier les décisions sur des êtres humains, comme le Equal Credit opportunity Act [18] des États-Unis dans le domaine de la finance.
Gérer la complexité du lien entre code informatique et droit est une opération sensible. Il faut réguler sans empêcher l’innovation. À ce titre, l’AI Act, dont l’objectif « est d’améliorer le fonctionnement du marché intérieur et de promouvoir l’adoption d’une intelligence artificielle (IA) axée sur l’humain et digne de confiance, tout en garantissant un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux consacrés dans la Charte, notamment la démocratie, l’état de droit et la protection de l’environnement, contre les effets néfastes des systèmes d’IA dans l’Union, et en soutenant l’innovation. » [19] est précurseur dans la mise en place de ce double objectif : réguler en laissant place à l’innovation. Il faudra désormais attendre les premières décisions du juge administratif et européen en la matière pour constater son efficacité.
Au-delà des normes encadrant le code informatique—que ce soit le RGPD, la loi informatique et libertés ou l’AI Act—le récent développement du processus de Rules as Code, est un exemple concret d’appropriation de la technique par le droit qui permet d’entrevoir une conciliation possible entre les deux.
B. Une conciliation possible via le RaC.
Dans le processus classique d’implémentation des normes juridiques, le législateur produit une loi qui est ensuite interprétée par différentes parties prenantes, tant dans l’administration que dans le secteur privé [20].
Toutefois, ce schéma d’interprétation nécessite d’être nuancé lorsqu’il s’agit d’implémenter des normes en code informatique, au regard de la complexité des raisonnements juridiques.
Afin de pallier ces difficultés, le concept de Rules as Code (RaC) a émergé, mêlant ainsi code informatique et pratiques juridiques. Le concept de Rules as Code a été rendu possible car le codage et la création de normes sont toutes deux des voies par lesquelles le chercheur ou le juriste transforment le monde empirique, brut et désordonné de l’expérience, en un monde organisé d’idées et de concepts, passant ainsi du monde « des sens » au monde « du sens ». Il consiste donc à écrire directement la norme juridique en langage informatique, rendant ainsi la loi « machine-consumable ».
Cette approche permettrait une implémentation immédiate dans les systèmes numériques, garantissant une application homogène et évitant toute erreur logique dans la création de la règle de droit (cf RaC Handbook key finding [21]). Il ne faudrait toutefois pas appliquer ce processus à tous les champs du droit, qui parfois nécessitent une application contextuelle. D’après les différentes études réalisées sur ce sujet, les lois concernées se limitent à certains critères : le RaC présente un intérêt dans le cadre de lois prescriptives et qui ne posent pas de difficultés d’interprétation. Pour reprendre les exemples proposés par Tim Desousa, juriste spécialisé dans les nouvelles technologies, dans le RaC Handbook [22], les applications RaC pourraient se faire dans le cadre de l’établissement de règles d’urbanisme et de construction qui ont peut-être tendance à moins impacter les citoyens contrairement aux algorithmes attribuant des aides sociales évoqués ci-dessus. On pense ici à des dispositions du Code de l’urbanisme (par exemple, la surface minimale d’un logement selon les articles R.111-1 et suivants [23], ou encore à l’article 199 sexdecies du CGI, qui encadre le crédit d’impôt pour l’emploi d’un salarié à domicile, une situation où l’automatisation du calcul est pertinente, ou encore dans la règlementation fiscale, comme on peut le voir à travers la plateforme Openfisca [24]. Développée en France sous l’égide d’Etalab, cet exemple illustre bien cette dynamique. Elle permet de simuler les effets d’une réforme sur des populations types à partir de modèles de droit fiscal et social en transformant les règles de calcul en code exécutable. Cela permet de tester et d’analyser rapidement l’impact d’une telle loi et ses failles éventuelles.
Le RaC apparaît ainsi comme étant une opportunité pour le législateur en tant qu’il permet de mieux mesurer les effets de bord d’une réforme. Gardons-nous toutefois d’y voir une solution clefs en main en réponse au problème de la conciliation du droit et de la technique ! Mal « utilisé », le RaC pourrait entrainer des erreurs relevant de la responsabilité des différents acteurs de la chaîne de valeur de l’implémentation d’un algorithme, voire produire des effets de droits injustes en cas d’erreur.
Si ce processus est un véhicule direct pour une meilleure efficacité et une meilleure transparence de la loi, il est susceptible de laisser accroire que la loi est imperméable. Le droit devient, dans une certaine mesure, figé dans un cadre exécutable binaire, là où il est souvent intentionnellement flou ou contextuel. La force du droit réside dans sa capacité à articuler rigueur et plasticité. Codifier une norme dans ce contexte c’est figer une interprétation. Le RaC pourrait donc affaiblir la jurisprudence comme source vivante du droit, et marginaliser le rôle du juriste. Certes, on peut lui opposer l’idée selon laquelle cela renforce la sécurité́ juridique et la prévisibilité (Cf. CE, 24 mars 2006, KPMG, n° 288460 : obligation de sécurité́ juridique et de prévisibilité [25]) mais il convient de s’interroger : la précision formelle l’emporte-t-elle toujours sur l’équité contextuelle ?
