La transition numérique de l’administration publique comporte deux volets : l’administration électronique, soit l’ensemble des solutions technologiques affectant la forme du pouvoir, et l’administration algorithmique, soit l’ensemble des solutions technologiques affectant le fond du pouvoir1, c’est-à-dire l’élaboration du contenu de la décision publique. Par ailleurs, l’imbrication de ces deux volets est évidente : la dématérialisation des actes et des échanges constitue une démarche préalable à la conception et au déploiement de logiciels qui se nourrissent de données.
Par le biais de mécanismes de soutien technique et financier, ainsi que de mesures réglementaires, l’UE s’intéresse directement au développement de l’administration électronique dans les Etats membres pour deux raisons majeures : le renforcement de la capacité administrative des Etats membres favorise la mise en œuvre effective du droit et des politiques de l’UE (articles 6, sous g) et 197 du TFUE)2 ; l’établissement d’un cadre juridique et technique uniforme au niveau européen constitue un préalable pour la délivrance de services publics transnationaux, à l’appui du renforcement du marché unique3.
Le développement de l’administration algorithmique, en revanche, n’est pas visé directement par le droit et les politiques de l’UE, qui se bornent parfois à l’encourager en tant que « dernier kilomètre » de l’administration électronique. Dans tous les cas, l’administration algorithmique ne peut pas échapper, elle aussi, aux textes européens essayant d’opérer un arbitrage délicat entre développement du marché intérieur et protection des droits fondamentaux, à l’instar du RGPD4 et du RIA5.
Cela étant, depuis 20216 tant l’administration électronique que l’administration algorithmique ont connu en Italie une accélération importante, grâce notamment aux réformes et aux investissements du Plan national pour la reprise et la résilience (PNRR)7) et à l’intensification du débat qui a accompagné l’élaboration et l’entrée en vigueur du RIA.
Cette contribution propose de dresser un état de lieux du droit administratif italien portant sur la prise de décision publique à l’aide d’algorithmes8. Dans la première partie, on s’occupera du droit commun, dont les bases ont été jetées par une jurisprudence administrative que le législateur est en train d’assimiler (I). Dans la deuxième partie, on abordera deux domaines parmi les plus impactés par l’irruption des « systèmes d’intelligence artificielle » (SIA)9 : la santé numérique (« eHealth ») et la lutte contre la fraude fiscale (II).
I. L’émergence d’un droit commun des algorithmes publics
En Italie, jusqu’à 2023, le déploiement d’algorithmes dans l’élaboration de décisions administratives individuelles n’était pas spécifiquement visé par le droit administratif italien, ce qui ne signifie pas qu’il était tombé dans un vide juridique. En effet, la doctrine et la jurisprudence se sont engagées à tirer de la loi fondamentale sur la procédure administrative non contentieuse (LPA)10 et du RGPD les critères de licéité à remplir lorsque les pouvoirs publics souhaitent s’appuyer sur des logiciels pour l’élaboration des décisions administratives individuelles (A). Ce n’est que très récemment que le législateur, en vue de l’entrée en application du RIA, a commencé à recueillir les fruits de ce débat (B).
A. Le RGPD au fondement du vadémécum jurisprudentiel sur l’algorithmisation de la décision administrative
Deux positions majeures se sont confrontées au cours du débat italien de ces dernières années portant sur les critères de licéité de l’algorithmisation de la décision administrative individuelle. Selon une première ligne jurisprudentielle, s’appuyant notamment sur la LPA : « Un algorithme […] ne peut jamais assurer la préservation des garanties procédurales prévues par les articles 2, 6, 7, 8, 9 et 10 de la LPA […] Les dispositifs de participation, de transparence et d’accès aux documents administratifs, qui fondent la relation entre le public et l’administration, ne peuvent être légitimement mortifiés en remplaçant l’activité humaine par une activité impersonnelle […] consistant en l’application de règles ou de procédures informatiques ou mathématiques. En outre, ce ne sont pas seulement les principes de transparence et du contradictoire qui en résultent fragilisés, mais aussi l’obligation de motivation des décisions administratives, ce qui met en échec même le droit de défense […] proclamé à l’article 24 de la Constitution »11. D’après une deuxième ligne jurisprudentielle, incarnée par le célèbre arrêt du Conseil d’Etat (CdS) n° 8472 du 13 décembre 201912 : « [la question ne peut pas être tranchée] par l’application rigide et mécanique de toutes les minutieuses règles de procédure de la LPA ». D’après la haute magistrature, il faut plutôt mettre en valeur les articles 13 à 15 et 22 du RGPD, y compris le considérant 71. Sur ces fondements, le CdS identifie trois critères de licéité à remplir dans l’automatisation de la prise de décisions administratives individuelles : la transparence, consistant à « assurer une transparence intégrale de la solution mise en œuvre et des critères sous-jacents » ; la non-exclusivité algorithmique (human-in-the-loop), consistant à « assurer l’imputabilité de la décision à l’organe disposant de la compétence, qui doit être toujours en mesure de vérifier la logique et la licéité de la décision et des effets produits par l’algorithme ». Il s’ensuit que les administrations doivent s’assurer qu’il y a toujours une « intervention humaine dans le processus décisionnel, capable de contrôler, valider ou infirmer la décision automatique ». Enfin, le CdS tire du considérant 71 du RGPD le principe de non-discrimination, en ce sens qu’il faut que l’algorithme ne revête pas un caractère discriminatoire, en raison notamment du choix des données en entrée.
B. L’assimilation de la jurisprudence par la loi, en vue de l’entrée en application du RIA
C’est cette deuxième ligne jurisprudentielle qui a enfin prévalu et qui vient d’être progressivement assimilée par le législateur. Cela s’est passé en trois temps.
La jurisprudence du CdS de décembre 2019 a tout d’abord été transposée dans l’article 30 du décret législatif n° 36 du 31 mars 2023 portant Code des contrats publics. Cet article, consacré à l’« utilisation de procédures automatisées dans le cycle de vie des contrats publics », dispose : « I. Afin d’améliorer l’efficacité, les pouvoirs adjudicateurs automatisent, dans la mesure du possible, leurs activités en utilisant des solutions technologiques, y compris l’intelligence artificielle et la chaîne de blocs, dans le respect des dispositions spécifiques pertinentes. II. Lors de l’acquisition ou du développement des solutions visées à l’alinéa 1er, les pouvoirs adjudicateurs : a) assurent la disponibilité du code source, de la documentation et de tout autre élément utile à la compréhension de leur logique de fonctionnement ; b) introduisent des clauses dans l’appel d’offres pour assurer les services d’assistance et de maintenance nécessaires pour la correction des erreurs et des effets indésirables résultant de l’automatisation. III. Les décisions prises par l’automatisation doivent respecter les principes suivants : a) accessibilité et intelligibilité, de sorte que tout opérateur économique ait le droit de connaître l’existence de processus décisionnels automatisés le concernant et, le cas échéant, de recevoir des informations significatives sur la logique utilisée ; b) non-exclusivité de la décision algorithmique, en ce que le processus décisionnel doit toujours permettre une contribution humaine, capable de contrôler, valider ou réfuter la décision automatisée ; c) non-discrimination algorithmique, consistant à ce que le responsable du traitement mette en œuvre des mesures techniques et organisationnelles appropriées afin d’éviter des effets discriminatoires pour les opérateurs économiques. IV. Les pouvoirs adjudicateurs prennent toutes les mesures techniques et organisationnelles appropriées pour garantir que les facteurs conduisant à des données inexactes soient rectifiés, que le risque d’erreurs soit réduit au minimum et pour prévenir toute discrimination à l’encontre de personnes physiques en raison de leur nationalité, de leur origine ethnique, de leurs opinions politiques, de leur religion, de leurs convictions, de leur appartenance à un syndicat, de leurs caractéristiques somatiques, de leur statut génétique, de leur état de santé, de leur sexe ou de leur orientation sexuelle. V. Les administrations publiques publient sur le site institutionnel, dans la section « Amministrazione transparente », la liste des solutions technologiques visées à l’alinéa 1er».
La leçon du CdS a inspiré aussi l’art. 9 du décret législatif n° 103 du 12 juillet 2024 portant simplification des contrôles sur les activités économiques : « I. Les administrations chargées de missions de contrôle, à l’exception du contrôle fiscal, adoptent, dans le cadre du Code de l’administration digitale (CAD)13, des mesures visant à automatiser progressivement leurs activités, dans la limite des ressources disponibles, en recourant à des solutions technologiques, y compris l’intelligence artificielle, dans le respect du principe de proportionnalité et selon les règles techniques visant à atteindre les objectifs de l’Agenda numérique italien. Ces solutions technologiques assurent la sécurité et l’interopérabilité des systèmes d’information et des flux d’information pour l’échange des données et pour l’accès aux téléservices délivrés par les administrations en charge des contrôles. II. Les décisions relatives à l’accomplissement des obligations imposées aux entreprises prises au moyen desdites solutions technologiques respectent l’article 22 du règlement (UE) 2016/679, ainsi que les principes suivants : a) compréhensibilité et pertinence des informations à fournir, de sorte que toute entreprise contrôlée ait le droit de connaître l’existence de processus décisionnels automatisés la concernant et, le cas échéant, de recevoir des informations sur la logique utilisée ; b) non-exclusivité de la décision algorithmique, en ce que le processus décisionnel doit toujours permettre une contribution humaine, capable de contrôler, valider ou réfuter la décision automatisée et le sujet contrôlé doit pouvoir exprimer son avis et contester la décision prise, conformément à l’article 22 du règlement (UE) 2016/679 ; c) non-discrimination algorithmique, qui fait que les administrations soient tenues de mettre en œuvre des mesures techniques et organisationnelles appropriées pour prévenir les effets discriminatoires sur les sujets contrôlés ; d) une gestion efficace des données, au moyen d’une réglementation appropriée de leur : production, collecte, accès sécurisé, contrôle, mise à jour, réutilisation, stockage et transmission ».
Enfin, l’approche à l’administration algorithmique du CdS se prépare à être généralisée au moyen du projet de loi gouvernemental A.S. 1146, portant dispositions et habilitation du gouvernement en matière d’IA14, déposé le 24 mai 2024 par le Président du Conseil des ministres et par le ministre de la Justice15. Dans le sillage du RIA, ce projet comporte des règles et des principes, en partie programmatiques, en partie sectoriels et promotionnels, visant à encadrer la recherche, l’expérimentation, le développement, l’adoption et la gouvernance des SIA. Pour ce qui est notamment du déploiement de SIA dans l’administration publique, l’art. 13 dispose que : « I. Les administrations publiques font recours à l’intelligence artificielle afin d’accroître l’efficacité de leurs activités, réduire le temps nécessaire à l’accomplissement des procédures et augmenter la qualité et la quantité des services délivrés aux citoyens et aux entreprises, en veillant à ce que les personnes concernées soient informées de son fonctionnement et que leur utilisation soit traçable. II. L’intelligence artificielle n’est susceptible d’être déployée qu’à l’appui de la procédure administrative non contentieuse, en respectant l’autonomie et le pouvoir de décision de la personne, qui reste seule responsable des décisions et des procédures dans lesquelles l’intelligence artificielle a été utilisée. III. Les administrations publiques adoptent des mesures techniques, organisationnelles et pédagogiques pour assurer l’utilisation responsable de l’intelligence artificielle et développer les compétences transversales des utilisateurs ».
Or, la recherche de la « légalité algorithmique »16 menée par la jurisprudence, dont les fruits viennent d’être mis à l’honneur par le législateur, ne nous semble guère plus qu’un exercice pédagogique. Alors que la forme électronique de l’exercice du pouvoir est visée par le CAD, la formation de la volonté administrative est encadrée depuis longtemps par la LPA, selon une approche technologiquement neutre. En d’autres termes, peu importe la solution technologique choisie pour numériser même le fond du pouvoir, seule une application technologiquement orientée de l’« ancienne » LPA est en mesure d’assurer un équilibre constitutionnellement acceptable entre autorité et liberté, à moins de croire que le paradigme de « légalité algorithmique » forgé par la jurisprudence est destiné à remplacer, peu à peu, celui, plus exigeant, de la LPA, qui ajoute, aux exigences de transparence, de non-exclusivité algorithmique et de non-discrimination17, l’obligation d’une procédure contradictoire préalable à l’adoption de toute décision administrative individuelle.
En dépit de ces fragilités, on ne peut pas sous-estimer l’effet pratique de l’assimilation par les textes du vadémécum du CdS. Dans tous les cas, il faut considérer que, bien que le droit commun n’empêche pas en principe la prise de décisions administratives individuelles par des SIA, il sera très difficile dans ce cas de remplir les critères de légalité algorithmique que l’on vient d’évoquer, ce qui marginalise dans ce domaine l’impact du RIA.
II. Quelques domaines privilégiés pour l’expérimentation de l’intelligence artificielle
Cela étant, il y a bien d’autres domaines que celui de la prise de décision administrative individuelle où l’expérimentation des SIA a déjà commencé, dans le vide juridique ou sur le fondement d’un cadre juridique dérogatoire : la numérisation des services de santé et l’optimisation des contrôles fiscaux.
A. Les trajectoires évolutives de la santé numérique à l’heure du RIA
« En fournissant de meilleures prédictions, en optimisant les processus et l’allocation des ressources et en personnalisant les solutions numériques disponibles pour les particuliers et les organisations, le recours à l’IA peut donner des avantages concurrentiels décisifs aux entreprises et produire des résultats bénéfiques pour la société et l’environnement, dans des domaines tels que les soins de santé ». Ainsi s’exprime le considérant 4 du RIA, qui s’attache à énumérer les domaines divers et variés où l’IA est susceptible de contribuer à un large éventail de bienfaits économiques, environnementaux et sociétaux.
Le déploiement des SIA dans le domaine de la santé peut se diviser en deux branches principales : la « branche virtuelle » et la « branche physique »18. Alors que la branche virtuelle vise la mise en valeur des données concernant la santé19 à l’appui de la conception et de l’offre des services, des décisions de soin et de l’orientation des patients, la branche physique tient au développement d’outils robotiques20. Pour s’en tenir à la « branche virtuelle », l’IA affecte le développement de la télémédecine et l’optimisation du diagnostic clinique, en s’appuyant notamment sur les données collectées dans un dossier médical électronique et partagé. Dans le but de décharger les médecins généralistes, l’intelligence artificielle est susceptible de jouer aussi un rôle préliminaire dans l’évaluation des besoins du patient afin de l’aider dans un premier temps et, dans les cas les plus graves, de l’orienter vers des médecins spécialistes ou vers d’autres établissements du Service sanitaire national (« Servizio sanitario nazionale » – SSN) pour des tests de diagnostic.
Or, on voit bien comment, dans le domaine de la santé aussi la transformation numérique est toujours marquée par une même articulation entre « administration électronique » et « administration algorithmique » : au moyen d’une infrastructure technologique nationale assurant l’interopérabilité des systèmes d’information, la dématérialisation des actes et des échanges constitue un préalable pour la mise en valeur des données à des fins d’amélioration des décisions médicales et de la prise en charge des patients.
C’est pourquoi la mission 6 du PNRR, consacrée au domaine de la santé, s’articule en deux composantes, chacune comportant des réformes et des investissements spécifiques : la deuxième composante qui porte sur l’« innovation, recherche et numérisation du Service sanitaire national », vise le renouvellement et la modernisation des structures technologiques et numériques existantes, l’achèvement et la diffusion du dossier médical électronique (« fascicolo sanitario elettronico » – FSE)21 et le renforcement de l’offre et du suivi des niveaux essentiels de soins (« livelli essenziali di assistenza » – LEA)22 au moyen de systèmes d’information plus efficaces ; la première composante qui porte sur les « réseaux de proximité, installations intermédiaires et télémédecine pour les soins de santé territoriaux », vise le développement des soins communautaires (hôpitaux et maisons de santé), des soins à domicile et de la télémédecine. Dans le cadre de ces objectifs, le PNRR finance, en particulier : le renforcement infrastructurel des outils technologiques et d’analyse des données du ministère de la santé afin de compléter la plateforme Open Data et d’améliorer les systèmes de collecte de données de santé (92,7 millions d’euros) ; la refonte au niveau local du Nouveau système informatique sanitaire (NSIS), afin d’achever le suivi des LEA et d’améliorer la qualité des données cliniques et administratives (103,3 millions d’euros) ; la construction et la mise en œuvre du « National Health Hub », consistant en un modèle prédictif pour la simulation de scénarios à moyen et long terme du SSN (77 millions) ; le développement de la plateforme nationale pour les services de télémédecine (19,6 millions d’euros). Entre 2022 et 2023, le ministère de la Santé a jeté les bases juridiques de la transition numérique envisagée par le PNRR d’ici 2026 : la réorganisation des services de santé a fait l’objet des décrets du ministre de la Santé du 29 avril23 et du 23 mai 202224 ; un décret ministériel du 1er avril 202225 a alloué les ressources pour la mise en œuvre de la « plateforme de télémédecine » ; par un décret du 20 mai 2022, le ministère de la Santé a adopté les lignes directrices établissant le contenu, les services et l’architecture du nouveau FSE26 ; enfin, un décret ministériel du 28 septembre 202327 a financé l’offre des services de télémédecine.
Cela étant, ce n’est pas par hasard que le projet de loi A.S. 1146, évoqué ci-dessus, consacre les articles 7 à 9 au déploiement de l’IA dans le domaine de la santé, car il fallait doter d’un fondement de licéité les traitements des données personnelles nécessaires à la conception et à la mise en œuvre des solutions technologiques envisagées par le PNRR.
L’article 7 identifie les finalités, les droits (notamment à l’information), les conditions et les limites liés à l’utilisation des SIA dans le secteur de la santé, précisant en particulier : l’interdiction de soumettre l’accès aux soins à des critères discriminatoires ; la fonction purement auxiliaire des SIA dans les processus décisionnels en matière de prévention, de diagnostic, de traitement et de choix thérapeutique ; les exigences de fiabilité, de vérifiabilité et de mise à jour des données et des systèmes utilisés. L’article 8 qualifie d’intérêt public important et, par ce fait, autorise le traitement de données personnelles, y compris l’utilisation secondaire de celles relevant des catégories particulières (art. 9, al. 2, sous g), RGPD), pour la conception de SIA à des fins de recherche scientifique et d’expérimentation dans le domaine de la santé, sous réserve de la suppression des éléments d’identification directe, d’une information préalable des intéressés, ainsi que d’une communication préalable au Garant pour la protection des données personnelles (GPDP), pouvant dans les trente jours suivants interdire le traitement. À ce sujet, dans son avis sur le projet de loi28, le GPDP a eu l’occasion de critiquer le manque de coordination avec les critères beaucoup plus stricts posés par le RGPD (articles 6, par. 3, sous b), 9, par. 2, sous g) et 89) et par le RIA (art. 10, par. 5), notamment lorsque le développement des SIA implique un traitement de catégories particulières de données personnelles. L’article 9, enfin, délègue à un ou plusieurs décrets ministériels l’encadrement des SIA exploitant les données du dossier médical électronique à des fins de : diagnostic, traitement et réadaptation ; prévention ; prophylaxie internationale ; étude et recherche scientifique dans les domaines médical, biomédical, épidémiologique, de la planification et de l’évaluation de la qualité des soins de santé. On prévoit également la mise en place d’une plateforme nationale d’IA pour soutenir l’offre de soins de santé par les services territoriaux. La conception et la mise en service de cette plateforme sont placées sous la responsabilité l’Agence nationale des services régionaux de santé (AGENAS), en tant qu’Agence nationale pour la santé numérique29. La plateforme devra délivrer des services de soutien aux : professionnels de la santé, pour la prise en charge des patients ; médecins, dans la pratique clinique quotidienne avec des recommandations non contraignantes ; patients, pour l’accès aux services de santé. Le marché public aurait dû être signé en juin 2023, mais il a été reporté à décembre 2024, pour donner suite à une note du GPDP demandant plus de clarté sur la protection des données concernant la santé des patients30. Le projet comprend une phase initiale d’analyse, de conception et de mise en œuvre, qui se terminera le 31 décembre 2025, puis une expérimentation, d’une durée minimale de douze mois, sur 1500 professionnels de santé31.
B. L’IA à l’aide de la lutte contre la fraude fiscale
Comme en témoigne, entre autres, le décret législatif n° 103 de 2024 portant simplification des contrôles sur les activités économiques (évoqué ci-dessus), l’orientation des missions de contrôle s’avère un autre domaine privilégié pour la mise en œuvre de SIA32. C’est notamment le cas du ciblage des contrôles fiscaux, qui en Italie a évolué au fil des dix dernières années par rapport au nombre de bases de données exploitées ainsi qu’aux techniques d’analyse déployées et a pu s’appuyer sur un cadre juridique dérogatoire établi sur le fondement de l’art. 23 du RGPD.
Ce processus a débuté en 2011, avec le décret-loi n° 201 du 6 décembre 2011, autorisant l’Agence fiscale (« Agenzia delle entrate ») à exploiter le répertoire des comptes bancaires à des fins d’analyse du risque d’évasion fiscale. Ce répertoire contient les informations relatives aux comptes bancaires et aux autres relations financières dont le contribuable est titulaire et les mouvements comptables sous forme agrégée (le solde initial, le solde final et, pour certains types de comptes, la valeur moyenne du solde) qui affectent chaque relation continue au cours d’une année civile.
Sur le fondement de la loi n° 160 du 27 décembre 2019 de finances pour 2020, article 1er, al. 682 à 684, le périmètre des données exploitables pour l’élaboration des critères de risque utiles pour le ciblage des contrôles fiscaux a été énormément élargi : les données issues du répertoire des comptes bancaires ont pu être croisées avec toutes les bases de données institutionnelles dont l’Agence fiscale dispose ou auxquelles elle peut avoir accès (données patrimoniales, foncières, professionnelles, douanières, de l’Institut national pour la prévoyance sociale, issues d’échanges internationaux, flux de la facturation électronique, etc.)33. Par conséquent, en 2023 l’Agence fiscale s’est dotée du bureau data science et du bureau d’orientation et de coordination pour l’analyse du risque34 pour être en mesure de réaliser un contrôle basé sur une approche intégrée : déterministe et prédictive35. L’application d’un critère déterministe permet de sélectionner les contribuables qui présentent des incohérences numériques, résultant de la comparaison de plusieurs bases de données, symptomatiques d’obligations fiscales non correctement remplies. Par la suite, l’approche prédictive, basée sur l’élaboration de modèles de comportement fiscalement risqué, est utilisée pour filtrer les résultats des analyses déterministes et, par conséquent, aucun contribuable n’est identifié comme fiscalement risqué sur la seule base des résultats d’un modèle prédictif.
Sous l’impulsion du PNRR36 et de la loi n° 111 du 9 août 2023, portant délégation au gouvernement pour la réforme fiscale, ce modèle technologique va connaître d’importantes évolutions, tant sur le plan quantitatif que qualitatif. En effet, le décret législatif n° 13 du 12 février 202437 consacre son article 2 à la rationalisation des dispositions portant sur l’analyse du risque. Cette disposition généralise le recours aux informations librement disponibles (al.1, sous a)38 et aux SIA (al.1, sous f) ((Parmi les techniques d’analyse du risque dans le domaine fiscal figure « l’analyse probabiliste : l’ensemble des modèles et des techniques d’analyse qui, en exploitant des solutions d’intelligence artificielle ou de statistique inférentielle, permettent d’isoler des risques fiscaux, même s’ils ne sont pas connus a priori, et qui, une fois identifiés, peuvent être utilisés pour l’élaboration de critères sélectifs autonomes, c’est-à-dire qu’ils permettent d’attribuer une certaine probabilité d’occurrence à un risque fiscal connu ».)) pour optimiser le ciblage des contrôles fiscaux. La mise en œuvre de ces nouveautés est soumise à l’adoption d’un décret du ministère de l’économie et des finances devant préciser, au sens de l’art. 23 du RGPD, les limites aux garanties reconnues aux personnes concernées (art. 2, al. 4). Pour appuyer l’élargissement progressif des sources d’information exploitables par l’Agence fiscale, le décret législatif n° 219 du 30 décembre 2023, pris lui aussi sur le fondement de la loi n° 111 de 2023, a introduit un nouvel art. 9-ter dans la loi n° 212 du 27 juillet 2000 établissant le statut des contribuables : « Dans l’exercice de l’action administrative et afin d’améliorer la pertinence du prélèvement fiscal, l’administration fiscale a le pouvoir de recueillir, y compris par le biais de l’interopérabilité, des données et des informations concernant les contribuables contenues dans les bases de données d’autres organismes publics, sous réserve de limitations établies par la loi »39.
Alors que l’affinement des solutions technologiques appuyant le ciblage des contrôles fiscaux passe par l’assouplissement du paradigme protecteur établi par le RGPD au bénéfice des personnes physiques, l’automatisation de la prise d’actes de redressement fiscal s’accompagne de l’assouplissement du contradictoire établi par la loi n° 212 de 2000 au bénéfice des contribuables : le nouvel art. 6-bis40 soumet tout acte de redressement fiscal au respect d’une procédure contradictoire préalable, sous peine d’annulation, à l’exception des actes automatisés, substantiellement automatisés, de liquidation rapide et de contrôle formel des déclarations identifiés par décret du ministre de l’économie et des finances, ainsi que lorsqu’il y a un danger fondé pour le recouvrement. Le contribuable n’aura donc que le recours juridictionnel pour contester l’un des actes automatisés dont la liste figure à présent dans le décret du ministère de l’économie et des finances du 24 avril 202441. Or, cela semble être en contradiction avec l’exposé des motifs du projet de décret législatif n° 219 de 202342, qui présente le nouvel art. 6-bis du « Statut des contribuables » comme un tournant, en ce qu’il dote enfin le système juridique italien d’une réglementation générale, proportionnée et organique du principe du contradictoire en matière fiscale, permettant ainsi d’aligner la protection des droits fondamentaux des contribuables sur les normes de protection internationales, sur celles applicables en vertu du droit de l’Union européenne et sur la jurisprudence de la Cour européenne des droits de l’homme43. En dépit des spécialités du domaine fiscal, on pourrait quand même se poser la question de savoir dans quelle mesure une dérogation au contradictoire fondée uniquement sur le caractère automatisé des actes peut s’avérer compatible avec les articles 41 et 51, par. 1 de la CDFUE.
Enfin, il mérite d’être signalé un deuxième axe de travail de l’Agence fiscale, évoqué dans le rapport annuel de la Cour des comptes transmis au Parlement le 27 juin 202444. Il s’agit d’un projet démarré en 2023 permettant à l’administration fiscale, à l’instar du projet français « Foncier innovant »45, de détecter les anomalies déclaratives concernant les constructions de bâtiments et piscines en confiant à un SIA l’analyse d’orthophotographies. Les résultats de cette photo-interprétation automatique peuvent ensuite être vérifiés, validés et intégrés par les agents de l’administration fiscale. Dans le courant de l’année 2024, une expérience d’enquête territoriale a été menée sur une commune, afin d’évaluer le passage à l’échelle de cette solution technologique.
Pour conclure, on a vu comment, que ce soit sous l’angle du droit commun de la procédure administrative non contentieuse ou des droits sectoriels, tels que le droit fiscal, la recherche d’une « décision administrative performante » met en danger, voire sacrifie, la possibilité de parvenir à une « décision administrative contradictoire », car le temps de l’instant, qui est celui des algorithmes, n’est guère conciliable avec le temps du contradictoire, qui, en y regardant de plus près, est celui de la démocratie.
- Pour une présentation systématique des enjeux soulevés par l’administration électronique et par l’administration algorithmique, v. B. Marchetti, « Amministrazione digitale », Enciclopedia del diritto. I tematici, B.G. Mattarella et M. Ramajoli (dir.), 3, Milano, Giuffrè, 2022. [↩]
- D’après la Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des Régions « Renforcer l’espace administratif européen (ComPAct) » (COM(2023) 667 final du 25 octobre 2023) : « Malgré une grande diversité de structures institutionnelles et de traditions juridiques, les administrations publiques des États membres partagent un ensemble de valeurs et de tâches et une compréhension commune de la bonne administration, formant un espace administratif européen ». Les ambitions de l’UE pour la consolidation de cet espace administratif européen s’articulent en trois piliers : 1) le développement des compétences des agents publics ; 2) le renforcement des capacités des administrations publiques en vue de leur transformation numérique ; 3) le renforcement des capacités des administrations publiques à jouer un rôle moteur dans la transition écologique. [↩]
- Le thème de l’établissement d’un cadre européen relatif à une identité numérique en constitue un exemple parlant. V. le règlement UE n° 910 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, modifié par le règlement UE n° 1183 du 11 avril 2024. [↩]
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. [↩]
- Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) n° 300/2008, (UE) n° 167/2013, (UE) n° 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828. [↩]
- En effet, date de 2021 tant le règlement européen portant sur la Facilité pour la reprise et la résilience (FRR) (v. note suivante) que la proposition de la Commission européenne (COM(2021) 206 final) au fondement du nouveau règlement européen sur l’IA. [↩]
- Il s’agit du plan nation adopté dans le cadre de la « Facilité pour la reprise et la résilience (FRR) » : un instrument temporaire du plan de relance européen NextGenerationEU de 2020, encadré par le règlement (UE) 2021/241 du Parlement européen et du Conseil du 12 février 2021. Le PNRR (https://www.italiadomani.gov.it/content/sogei-ng/it/it/home.html ; voir aussi le dossier réalisé par la Chambre des députés : https://temi.camera.it/leg19/pnrr.html) a été proposé le 25 avril 2021, évalué positivement par la Commission européenne le 22 juin 2021 et approuvé par le Conseil de l’UE le 13 juillet 2021 par la décision d’exécution 2021/0168 ; une première révision du PNRR a été proposée par l’Italie le 11 juillet 2023, évaluée positivement par la Commission européenne en août 2023 et approuvée par le Conseil de l’UE le 19 septembre 2023 par la décision d’exécution 2023/0295 ; une deuxième (et bien plus étendue) révision du PNRR a été proposée par l’Italie le 7 août 2023, évaluée positivement par la Commission européenne le 24 novembre 2023 et approuvée par le Conseil de l’UE le 8 décembre 2023 par la décision d’exécution 2023/0442. Grâce à l’injection de nouveaux fonds, dans le cadre notamment du programme REPowerEU, le montant du PNRR est passé à 194,4 milliards d’euros (contre 191,5 milliards d’euros à l’origine). Les innovations juridiques introduites dans le cadre des engagements PNRR ont été véhiculées, jusqu’à présent, par cinq décrets-lois : n° 77 du 31 mai 2021 (décret gouvernance PNRR) ; n° 152 du 6 novembre 2021 (décret PNRR 1) ; n° 36 du 30 avril 2022 (décret PNRR 2) ; n°13 du 24 février 2023 (décret PNRR 3) ; n°19 du 2 mars 2024, (décret PNRR 4). Pour plus de détails sur l’avancement du PNRR, voir le dernier rapport au Parlement italien : https://www.italiadomani.gov.it/content/dam/sogei-ng/documenti/iv_relazione_al_parlamento_sezi.pdf (page 13 et ss. [↩]
- Pour un aperçu des évolutions les plus récentes du droit italien de l’administration électronique, v. G. Mancosu, « La citoyenneté numérique et la numérisation des contrats publics en Italie, à l’heure de la « Facilité pour la reprise et la résilience » », Revue française de droit administratif, à paraitre. [↩]
- On entend par « système d’intelligence artificielle : « un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels » (art. 3, sous 1 du RIA). [↩]
- Loi n° 241 du 7 août 1990. [↩]
- V, entre autres, T.A.R. Lazio, sect. III bis, jugement n° 9224, 9225, 9226, 9227, 9228, 9229 e 9230 de 2018 et n° 4649, 4650, 5139, 10963 e 10964 de 2019. [↩]
- https://www.giustizia-amministrativa.it/web/guest/dcsnprr. [↩]
- Le décret législatif n° 82 du 7 mars 2005. [↩]
- https://www.senato.it/leg/19/BGT/Schede/Ddliter/58262.htm. Compte tenu de l’effet direct du RIA, l’adoption de règles nationales est susceptible de soulever quelques difficultés d’articulation des textes. A ce propos, dans un avis adressé au Parlement, la Conférence des Régions et des Provinces autonomes a déploré l’initiative législative gouvernementale « en ce que le sujet devrait être abordé dans le cadre des règles européennes. Plus que de produire de nouvelles normes, il est nécessaire d’expérimenter l’IA dans les processus publics et privés dès que possible » (https://www.senato.it/application/xmanager/projects/leg19/attachments/documento_evento_procedura_commissione/files/000/431/077/Documento_Conferenza_Regioni.pdf). V. en ce sens le considérant 3 du RIA : « Le fait que les règles nationales divergent peuvent entraîner une fragmentation du marché intérieur et peut réduire la sécurité juridique pour les opérateurs qui développent, importent ou utilisent des systèmes d’IA ». Dans tous les cas, l’art. 1, al. 2 du projet de loi gouvernemental prend soin de rappeler l’évidence : « Les dispositions de cette loi sont interprétées et appliquées conformément au droit de l’Union européenne ». [↩]
- Dans la foulée des travaux préparatoires du RIA, d’autres projets de loi ont été déposés au Parlement. Il s’agit de projets de loi sur des sujets très ponctuels, dont certains sont susceptibles d’être intégrés dans la loi d’initiative gouvernementale et d’autres sont dépassés par l’adoption du RIA : A.C.1084 du 11 avril 2023 et A.S. 1116 du 23 avril 2024 portant « Dispositions relatives à l’adoption d’un cadre temporaire pour l’expérimentation de l’utilisation de systèmes d’intelligence artificielle » ; A.C. 1444 du 2 octobre 2023 portant « Dispositions relatives à la fourniture et à l’utilisation de systèmes d’intelligence artificielle » ; A.S. 917 du 19 octobre 2023 portant « Mesures sur la transparence des contenus générés par l’intelligence artificielle » ; A.C. 1514 du 25 octobre 2023 portant « Dispositions visant à garantir la transparence dans la publication et la diffusion de contenus produits par des systèmes d’intelligence artificielle » ; A.C.1832 du 19 avril 2024 portant « Introduction de l’enseignement des fondamentaux de l’intelligence artificielle dans l’enseignement secondaire » ; A.C.1751 du 1 mars 2024 portant « Création d’une commission parlementaire chargée d’étudier, de superviser et de contrôler les effets de la diffusion de l’intelligence artificielle dans l’économie, la société et le travail, ainsi que les opportunités et les droits des citoyens » ; A.S.1066 du 12 mars 2024 portant « Dispositions pour le développement et l’adoption de technologies d’intelligence artificielle ». [↩]
- V. E. Carloni, « I principi della legalità algoritmica. Le decisioni automatizzate di fronte al giudice amministrativo », Diritto amministrativo, 2020. [↩]
- Au sujet de l’articulation entre le RGPD et la LPA, v. F. Nassuato, « Legalità algoritmica nell’azione amministrativa e regime dei vizi procedimentali », CERIDAP, 2022. [↩]
- V., ex plurimis, M. Farina, Ambienti, agenti e intelligenze artificiali nella sanità potenziale. Dilemmi etici e giuridici, Napoli, Editoriale Scientifica, 2023, p. 66 et s. [↩]
- On entend par « données concernant la santé, les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne » (art. 4, sous 15, RGPD). A ce sujet, il faut considérer la prochaine adoption d’un règlement européen relatif à l’espace européen des données de santé (proposition de règlement du Parlement européen et du Conseil, COM/2022/197 final), visant à fournir des règles sectorielles pour exploiter le potentiel offert par l’échange, l’utilisation et la réutilisation des données de santé. La création de cet espace se donne notamment pour but de : faciliter l’échange de données pour la prestation de soins de santé dans l’ensemble de l’UE (utilisation primaire des données) ; promouvoir un marché unique des systèmes de dossiers médicaux électroniques ; mettre en place un système cohérent, fiable et efficace pour la réutilisation des données de santé à des fins de recherche, d’innovation, d’élaboration des politiques et de réglementation (utilisation secondaire des données). [↩]
- On entend par robotique, l’« ensemble des études et des techniques de conception et de mise en œuvre des robots effectuant des tâches déterminées en s’adaptant à leur environnement » (révision de l’arrêté du 22 décembre 1981 publiée au JORF du 22 septembre 2000). [↩]
- Le FSE est visé par l’art. 12 du décret-loi n° 179 du 18 octobre 2012. Il faut remarquer que l’achèvement et la diffusion du FSE répondent à l’un des objectifs clés de la « décennie numérique » : « 100 % des citoyens européens aient accès à leurs dossiers médicaux électroniques » Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des Régions « Une boussole numérique pour 2030 : l’Europe balise la décennie numérique » (COM(2021) 118 final du 9 mars 2021). [↩]
- Etablis, conformément à l’art. 117, al. 2, sous m), Const., par le décret du Président du Conseil des ministres (DPCM) du 12 janvier 2017. [↩]
- www.gazzettaufficiale.it/eli/id/2022/05/24/22A03098/sg. [↩]
- www.gazzettaufficiale.it/eli/id/2022/06/22/22G00085/sg. [↩]
- https://www.trovanorme.salute.gov.it/norme/renderNormsanPdf?anno=2022&codLeg=86969&parte=1%20&serie=null. [↩]
- www.gazzettaufficiale.it/eli/id/2022/07/11/22A03961/sg. [↩]
- www.gazzettaufficiale.it/eli/id/2023/11/20/23A06323/sg. [↩]
- Délibération n° 477 du 2 août 2024 – doc. web n° 10043532. [↩]
- L’AGENAS est un établissement public national, créé par le décret législatif n° 266 du 30 juin 1993. Elle est conçue comme un organisme technico-scientifique du SSN, qui mène des activités de recherche et de soutien au bénéfice du ministre de la Santé, des régions et des provinces autonomes de Trente et de Bolzano. L’article 21 du décret-loi n° 4 du 27 janvier 2022, modifiant à cet effet l’article 12 du décret-loi n° 179 du 18 octobre 2012, a attribué à l’AGENAS le rôle d’Agence nationale pour la santé numérique, dans le but d’assurer le renforcement de la numérisation des services et des processus dans le domaine de la santé. [↩]
- https://www.agenas.gov.it/images/2024/DELIBERE/delibera_sospensione_IA_09.01.2024.pdf. V. aussi Garante per la protezione dei dati personali, Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale, Roma, 2023. [↩]
- Tous les détails techniques de la future plateforme d’IA sont fournis dans le cahier des clauses techniques particulières : https://www.agenas.gov.it/images/agenas/gare_concorsi_avvisi/gare_aperte/intelligenza_artificiale_assistenza_primaria/3._Capitolato_AI_27set2024_DEF.pdf. [↩]
- V. G. Mancosu, « La « régulation par la donnée » : approche et perspectives à travers le cas italien de la prévention de la corruption dans le secteur public », Revue française de droit administratif, 2022. [↩]
- La mise en œuvre de ce dispositif a nécessité : l’adoption du décret du ministère de l’économie et des finances du 28 juin 2022, précisant, au sens de l’art. 23, RGPD, les limites aux garanties reconnues aux personnes concernées ; la diffusion sur le site web de l’Agence fiscale d’une fiche d’information portant sur la logique utilisée et les bases de données exploitées et de l’analyse d’impact relative à la protection des données (https://www.agenziaentrate.gov.it/portale/web/guest/analisi-basate-sui-dati-archivio-dei-rapporti-finanziari), après l’avis favorable du GPDP (délibération n° 276 du 30 juillet 2022 – doc. web n° 9808839). Le dispositif s’inscrit dans le projet « A data driven approach to tax evasion risk analysis in Italy », sélectionné par l’UE comme l’une des initiatives à financer dans le cadre des programmes européens de soutien aux réformes structurelles en réponse à la crise de la COVID-19. V. la présentation du projet par le Directeur de l’Agence fiscale à l’occasion de son audition, le 5 mai 2021, à la Commission parlementaire de surveillance sur le Répertoire fiscal national (« Anagrafe tributaria ») : https://www.agenziaentrate.gov.it/portale/documents/20143/232968/Audizione+ADE+05.05.21.pdf/bf500398-f12f-6fcc-6569-808911ef9b6c. [↩]
- V. https://www.agenziaentrate.gov.it/portale/documents/20143/4791397/direttore_atto_2023_74424_modifiche_divcontr_dcpmi_15032023.pdf/2ba23ed7-6629-104f-3541-e737c53eae17. [↩]
- L’entreprise publique SOGEI (Società Generale d’Informatica S.p.A.) a réalisé pour l’Agence fiscale le logiciel « Ve.R.A » (vérification des rapports financiers), qui établit des listes de contribuables à risque afin d’orienter les activités de contrôle menées par les directions régionales et provinciales. Les critères de fonctionnement ont été illustrés par la circulaire n° 21/e du 20 juin 2022 (https://www.agenziaentrate.gov.it/portale/web/guest/giugno-2022). Le logiciel Ve.R.A intègre aujourd’hui un nouveau modèle d’analyse appelé VEAR (« Vestizione elenchi con dati Archivio dei rapporti »), produisant des listes de contribuables à risque sur la base de parcours sélectifs non liés aux données financières. [↩]
- Le PNRR comprend la réalisation de réformes visant à combler l’écart fiscal (« tax gap », à savoir la différence entre les impôts qui seraient payés si toutes les obligations étaient respectées et les impôts qui sont réellement recouvrés) au biais, entre autres, du renforcement de l’efficacité des contrôles. En plus de réformes ad hoc, le PNRR finance le recrutement de 4113 agents, dans le but de mener à bien des projets d’analyse de données mobilisant des techniques de machine learning, text mining et analyse des relations. [↩]
- L’un des textes adoptés par le gouvernement sur le fondement de la loi n° 111 de 2023. [↩]
- Ça pourrait être le cas, par exemple, des informations diffusées sur la toile par les contribuables et librement accessibles. À ce sujet, il faut signaler que le gouvernement a ignoré le GPDP, qui avait conditionné son avis favorable sur le projet de décret législatif à la suppression de la disposition autorisant l’Agence fiscale à collecter et exploiter même les informations librement disponibles (délibération n° 3 du 11 janvier 2024 – doc. web n° 9978230). [↩]
- Pour de plus amples détails sur l’évolution des techniques d’analyse du risque mobilisées par l’administration fiscale italienne, v. le « Rapport sur l’économie non surveillée et l’évasion fiscale et contributive 2024 » (p. 113 et s.), établi par une commission permanente d’experts au sein du ministère de l’économie et des finances (https://www.mef.gov.it/export/sites/MEF/documenti-allegati/2024/1_Relazione-2024.pdf). [↩]
- Cette disposition aussi a été prévue par le décret législatif n° 219 de 2023. [↩]
- L’art. 2, al. 1 de ce décret qualifie d’actes automatisés et substantiellement automatisés les actes adoptés par l’administration fiscale et portant sur des infractions détectées par recoupement d’éléments tirés des bases de données à la disposition de cette même administration. [↩]
- https://documenti.camera.it/apps/nuovosito/attigoverno/Schedalavori/getTesto.ashx?file=0097_F001.pdf&leg=XIX. [↩]
- V., notamment, CEDH., grande chambre, 23 novembre 2006, Jussila c. Finlande. [↩]
- Volume I, tome I, p. 54 (https://www.corteconti.it/Download?id=48274f67-375f-419b-9220-215ccc96b6c7). [↩]
- V. https://www.impots.gouv.fr/actualite/generalisation-du-foncier-innovant. [↩]
Table des matières