Le dispositif Parcoursup autorise les établissements à recourir à un algorithme, sans les y contraindre. L'article 10 de la loi Informatique et libertés, dans sa rédaction antérieure à la loi RGPD du 20 juin, interdisait toute prise de décision entièrement automatisée. Mais désormais l'article 22 du RGPD donne une marge de manoeuvre aux États membres. En France, le principe de l'interdiction des décisions entièrement automatisées n'a pas été levé, mais plusieurs exceptions sont désormais prévues.
Avant le RGPD, le 5° du I de l'article 39 de la loi Informatique et libertés garantissait la transparence en assurant un droit d'accès aux données. Selon la CNIL, ce droit devait permettre aux personnes de comprendre la logique qui sous-tend l'algorithme, chacun devant pouvoir disposer des éléments utiles pour comprendre l'application du traitement automatisé à sa candidature, qu'il s'agisse des critères utilisés, de leur pondération et de leur hiérarchisation dans la décision finale.
Avant le RGPD, des dispositions spécifiques figuraient également dans le code des relations entre le public et l'administration (CRPA), prévoyant notamment que les administrations recourant à un traitement algorithmique pour prendre des décisions individualisées devaient fournir toutes les informations nécessaires à l'intéressé.
À cela s'ajoute l'article L. 612-3 du code de l'éducation faisant obligation aux établissements d'informer les candidats de la possibilité, s'ils en font la demande, de se voir communiquer les informations relatives aux critères d'examen de leur candidature ainsi que des motifs pédagogiques justifiant la décision. Dans sa délibération du 22 mars 2018, la CNIL a indiqué que cette disposition du code de l'éducation ne dérogeait pas à la loi Informatique et libertés ni au RGPD, précisant qu'il s'agissait d'une strate spécifique pouvant être mobilisée indépendamment du fait que le traitement soit automatisé ou pas. Ce point figure dans la huitième question de la foire aux questions publiée sur le site de la CNIL.
Autre difficulté, les articles 12, 13 et 15 du RGPD rattachent l'obligation de transparence à l'article 22 qui vise uniquement les traitements entièrement automatisés. Dès lors que Parcoursup a été conçu pour ne jamais être entièrement automatisé, la CNIL ne peut rien imposer en matière de transparence. D'où l'intérêt de sa recommandation sur l'article L. 612-3 du code de l'éducation, parfaitement conforme à l'avis du G29 qui indique que la transparence en matière de profilage doit être recommandée et réalisée.