Par un arrêt du 27 février 2025, la CJUE a clarifié les obligations d’information et de transparence qui incombent au responsable du traitement qui reçoit une demande de droit d’accès liée à une prise de décision automatisée.
Une consommatrice autrichienne s’était vu refuser la conclusion d’un contrat de téléphonie mobile par un opérateur, au motif qu’elle ne présentait pas une solvabilité financière suffisante. Ce refus était fondé sur une évaluation de crédit automatisée, effectuée sur la base de données personnelles de la consommatrice, réalisée par une société spécialisée dans le scoring financier.
La consommatrice avait alors saisi l’autorité de protection des données autrichienne qui avait enjoint la société de scoring de communiquer les informations utiles sur la logique sous-jacente à cette prise de décision automatisée. Cette dernière avait refusé de s’exécuter en invoquant notamment la protection des secrets des affaires.
Saisie d’un recours par la société de scoring, les juridictions autrichiennes ont interrogé la Cour de justice de l’Union européenne (CJUE) sur l’étendue et les modalités du droit d’accès des personnes concernées prévu par le RGPD[1] dans le cadre d’une prise de décision automatisée.
Clarification des exigences de transparence en matière de décisions automatisées
La CJUE a tout d’abord précisé que les « informations utiles concernant la logique sous-jacente » à une prise de décision automatisée, qui doivent être communiquées par le responsable de traitement à la personne concernée, sont celles relatives à la procédure et aux principes d’exploitation automatisés de données personnelles aux fins d’en obtenir un résultat déterminé, tel un profil de solvabilité.
Ce droit à l’information peut être rapproché de celui prévu par le règlement européen sur l’intelligence artificielle, qui permet aux personnes qui font l’objet d’une prise de décision à l’aide d’un système d’intelligence artificielle à haut risque d’obtenir une explication « claire et utile » sur le rôle de l’IA dans le processus décisionnel et sur les principaux éléments de la décision[2].
La Cour a ensuite souligné qu’au titre de son obligation de transparence[3], qui s’applique à la communication des « informations utiles concernant la logique sous-jacente », le responsable de traitement doit fournir ces informations de façon concise, transparente, compréhensible et aisément accessible.
En effet, le droit d’accès, exercé dans le cadre d’une décision automatisée, a pour objectif principal de permettre à la personne concernée d’exprimer son point de vue sur cette décision et de la contester. Dès lors, il est essentiel qu’elle puisse obtenir des explications sur le mécanisme qui sous-tend la prise de décision automatisée ainsi que sur le résultat obtenu.
La CJUE a précisé que la communication de l’algorithme ou de son fonctionnement technique ne suffit pas à satisfaire aux exigences précitées. Les explications doivent permettre à la personne concernée de savoir quelles données ont été utilisées et comment elles ont été exploitées.
Selon la CJUE, en cas de profilage de solvabilité, l’explication détaillant comment une modification de certains paramètres pourrait aboutir à un résultat différent pourrait constituer une information suffisamment transparente.
La nécessaire conciliation du droit d’accès avec la protection des secrets des affaires
La CJUE s’est également prononcée sur les modalités de conciliation du droit d’accès et de la protection du secret des affaires sur laquelle la société de scoring s’était appuyée afin de refuser toute communication d’informations complémentaires.
La Cour a d’abord rappelé que le droit d’accès n’est pas absolu. Dès lors, il ne devrait pas porter atteinte aux droits et libertés d’autrui, y compris les secrets des affaires ou le droit d’auteur qui protège un logiciel.
Cela étant, elle a considéré qu’un tel cas de figure ne doit pas aboutir à refuser systématiquement la communication d’information à la personne concernée.
Ainsi, la CJUE a conclu que, dans l’hypothèse où le responsable de traitement considère que la demande de droit d’accès implique des données personnelles de tiers ou des éléments couverts par son secret des affaires, il doit communiquer ces informations à l’autorité de contrôle ou à la juridiction compétente. Celle-ci devra pondérer les droits et intérêts en présence pour déterminer si ces informations doivent être communiquées à la personne concernée au titre de son droit d’accès.
Lire l’arrêt de la Cour de justice de l’Union européenne du 27 février 2025, C‑203/22
[1] Article 15 du RGPD
[2] Article 86 du Règlement 2024/1689 établissant des règles harmonisées concernant l’intelligence artificielle
[3] Article 12 §1 du RGPD
