L’autorité de contrôle danoise a considéré que la municipalité de Copenhague ne disposait pas d’une base légale valable pour développer et utiliser un système d’intelligence artificielle.
Les municipalités danoises ont légalement l’obligation, en vertu d’une loi, de fournir des services sociaux aux citoyens et notamment des prestations de réhabilitation et de réadaptation au profit des personnes souffrant de déficiences physiques.
Dans ce cadre, la municipalité de Copenhague a souhaité développer un système d’intelligence artificielle capable d’identifier les citoyens ayant besoin de telles prestations afin qu’un plus grand nombre de citoyens puisse bénéficier d’une telle aide.
La municipalité a, au préalable, sollicité l’avis de l’autorité de contrôle danoise afin de s’assurer qu’elle dispose d’une base juridique pour le développement et l’utilisation d’un tel système d’intelligence artificielle.
Par un avis du 17 novembre 2023, l’autorité de contrôle a considéré que la municipalité ne pouvait pas développer un tel système faute de base légale valable. Selon elle, la municipalité aurait pu se fonder :
- sur la base légale posée à l’article 6(1)e du RGPD, qui dispose que « le traitement n’est licite que si, et dans la mesure où, […] le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ». Cependant, l’utilisation de cette base légale nécessitait l’existence d’une base juridique supplémentaire à celle actuellement existante dans la loi danoise.
- sur l’exception à l’interdiction de traitement des données sensibles posée à l’article 9(2) g du RGPD qui dispose que le traitement de données sensibles est possible si « le traitement est nécessaire pour des motifs d’intérêt public important ». Cependant, ici aussi, le recours à cette exception nécessitait de compléter la loi existante.
Bien que reconnaissant que « la solution d’IA ne vise pas à priver les citoyens de la possibilité se voir proposer [une prestation de réhabilitation ou réadaptation] » et même que le traitement « n’aura pas de conséquences négatives pour le citoyen – et peut même avoir des conséquences positives », l’autorité de contrôle a considéré que la solution d’IA comporte des risques pour le citoyen (par exemple du fait du traitement de données sensibles) et que ces risques supposent l’édiction d’une base juridique supplémentaire.
