Vincent Gautrais

Joël-Emmanuel M. Ngul est étudiant dans le cadre du cours DRT 6929E (Vie privée + numérique) 

Dans l’univers de la protection de la vie privée dans la sphère numérique, le droit à l’information est très certainement l’un des piliers les plus essentiels. Dans un environnement où les algorithmes scrutent, analysent et catégorisent chaque interaction numérique, la transparence est essentielle pour permettre aux individus de comprendre, contester et maîtriser l’utilisation de leurs données. C’est précisément dans ce contexte que s’inscrit la récente décision de la Cour de Justice de l’Union Européenne (Ci-après : « CJUE ») du 27 février 2025 au sujet de l’étendu du droit d’accès ainsi que sa relation avec les droits fondamentaux des tiers et les secrets commerciaux.

De quoi s’agissait-il en l’espèce ?

Un individu s’est vu refuser un contrat de téléphonie mobile en raison d’une évaluation automatisée de sa solvabilité réalisée par une entreprise spécialisée dans la fourniture d’évaluations de crédit. Contestant ce score opaque, il a saisi l’autorité autrichienne de protection des données, qui a ordonné à l’entreprise de fournir des explications sur la logique de son profilage. Cette injonction fera l’objet d’un recours par l’entreprise devant le tribunal administratif fédéral, faisant valoir, en substance, que, en raison d’un secret d’affaires protégé, elle n’avait pas à communiquer à l’individu d’informations supplémentaires à celles qui lui avaient déjà été fournies.

Le tribunal administratif rejettera ce recours en constatant que l’entreprise n’avait pas fourni les informations nécessaires pour comprendre comment le score qui lui avait été attribué avait été calculé, notamment l’agrégation de certaines données socio-démographiques. Malgré cette décision, l’administration municipale de Vienne refuse de procéder à l’exécution au motif que l’entreprise avait rempli son obligation d’information. L’individu a donc contesté ce refus devant le tribunal administratif de Vienne.

Ce tribunal a nommé un expert qui a conclu que l’entreprise devait fournir des informations détaillées sur les données utilisées (date de naissance, adresse, sexe, etc.), la formule mathématique du score, la valeur attribuée à chaque facteur et les intervalles de classification. De plus, pour garantir la transparence et la vérifiabilité des résultats, l’entreprise devait communiquer les scores établis pour d’autres personnes sur une période d’un an.

Enfin, la juridiction de renvoi a relevé une incohérence majeure : bien que le score communiqué à l’individu indiquait une bonne solvabilité, il avait pourtant conduit à un refus de contrat, y compris pour un faible montant de 10 euros par mois. Cette contradiction soulignait l’opacité et le manque de fiabilité du Scoring opéré par l’entreprise.

Les enjeux juridiques 

Face à cette situation, plusieurs questions majeures ont été soumises à la CJUE :

• Quelles sont les exigences matérielles auxquelles doivent répondre les informations communiquées dans le cadre d’un droit d’accès pour être considérées comme suffisamment « utiles » au sens de l’article 15, paragraphe 1, sous h), du Règlement Général de la Protection des Données (Ci-après : « RGPD ») ?
• Dans quelle mesure l’exception tirée de l’existence d’un secret d’affaires est de nature à restreindre ce droit d’accès que garantissent les dispositions combinées de l’article 15, paragraphe 1, sous h), et de l’article 22 du RGPD ?
• Comment faut-il procéder lorsque l’exactitude des informations fournies par un responsable requiert également, pour raison de vérifiabilité, de se voir communiquer des données de tiers protégées par le RGPD (Boîte noire) ?

Les réponses de la Cour : la transparence prime sur le secret commercial

1. Une définition étendue de la notion d’ « information utile concernant la logique sous-jacente »

La notion d’ « informations utiles » dans le RGPD présente une hétérogénéité linguistique marquée, ouvrant la porte à des interprétations diverses. Certaines versions mettent en avant la fonctionnalité (France, Pays-Bas, Portugal), d’autres la pertinence (Roumanie) ou encore l’importance (Espagne, Pologne). Plus encore, en allemand et en anglais, le terme oscille entre une exigence de compréhensibilité et une référence à une qualité intrinsèque, générant une incertitude juridique sur la portée réelle de cette obligation d’information.

Face à cette diversité d’interprétation, la CJUE privilégie une acception large dans le sens d’une « complémentarité des significations » eu égard aux aspects littérale, contextuel et téléologique de l’article 15, paragraphe 1, sous h), du RGPD. Aussi, elle estime que cette notion n’est qu’une partie de celles visées par le droit d’accès visés à cet article, celui-ci concernant également les informations relative à l’importance et aux conséquences prévues du traitement en cause pour la personne concernée.

Ainsi, l’exigence de transparence des informations communiquées, prévue à l’article 12 paragraphe 1, du RGPD, s’applique à toutes les données et informations visées audit article 15, y compris à celles qui sont liées à la prise de décision automatisée. Cela implique donc qu’il est imposé aux responsables du traitement de fournir aux personnes concernées des informations claires, compréhensibles et accessibles, cette obligation ne pouvant être satisfaite par la simple communication d’un algorithme ou d’une description technique du processus décisionnel :

58. Il ressort de l’examen des finalités du RGPD et, en particulier, de celles de l’article 15, paragraphe 1, sous h), de celui-ci que le droit d’obtenir des « informations utiles concernant la logique sous-jacente » à une prise de décision automatisée, au sens de cette disposition, doit être compris comme un droit à l’explication de la procédure et des principes concrètement appliqués pour exploiter, par la voie automatisée, les données à caractère personnel de la personne concernée aux fins d’en obtenir un résultat déterminé, tel un profil de solvabilité. En vue de permettre à la personne concernée d’exercer de manière efficace les droits que lui reconnaît le RGPD et, en particulier, l’article 22, paragraphe 3, de celui-ci, cette explication doit être fournie, au moyen d’informations pertinentes et d’une façon concise, transparente, compréhensible et aisément accessible.

59. Ne saurait satisfaire à ces exigences ni la simple communication d’une formule mathématique complexe, telle qu’un algorithme, ni la description détaillée de toutes les étapes d’une prise de décision automatisée, dans la mesure où aucune de ces modalités ne constituerait une explication suffisamment concise et compréhensible.

En outre, la Cour estime que l’explication des différences existant entre le résultat du profilage réel et de la communication expliquée plus haut relève bien des « informations utiles concernant la logique sous-jacente » au profilage ainsi réalisé.

2. Un équilibre entre droit d’accès et droits des tiers garantie par les autorités de contrôle

La cour débute son argumentaire en rappelant que la protection des données personnelles n’étant pas un droit absolu, il doit être mis en balance avec d’autres droits fondamentaux conformément au principe de proportionnalité. Le droit de toute personne d’accéder aux données à caractère personnel qui ont été collectées à son sujet ne devrait pas porter atteinte aux droits ou aux libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle.
En conséquence, il convient de choisir des modalités de communication des données à caractère personnel qui ne portent pas atteinte aux droits ou libertés d’autrui, en tenant compte du fait que ces considérations ne doivent pas « aboutir à refuser toute communication d’informations à la personne concernée ».

C’est ainsi que dans cette hypothèse, lesdites informations doivent être communiquées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès de la personne concernée aux données à caractère personnel la concernant :

« 73. S’agissant du point de savoir comment le droit d’accès consacré à l’article 15, paragraphe 1, sous h), du RGPD peut être mis en œuvre de manière à respecter les droits et les libertés d’autrui, il convient de rappeler que, selon la jurisprudence, une juridiction nationale peut estimer que des données à caractère personnel des parties ou de tiers doivent lui être communiquées afin de pouvoir pondérer, en toute connaissance de cause et dans le respect du principe de proportionnalité, les intérêts en présence. Cette appréciation peut, le cas échéant, la conduire à autoriser la divulgation complète ou partielle à la partie adverse des données à caractère personnel qui lui ont ainsi été communiquées, si elle considère qu’une telle divulgation ne va pas au-delà de ce qui est nécessaire aux fins de garantir la jouissance effective des droits que les justiciables tirent de l’article 47 de la Charte (arrêt du 2 mars 2023, Norra Stockholm Bygg, C-268/21, EU:C:2023:145, point 58).

74. Comme l’a relevé M. l’avocat général au point 94 de ses conclusions, cette jurisprudence est pleinement transposable à l’hypothèse dans laquelle les informations à fournir à la personne concernée au titre du droit d’accès garanti par l’article 15, paragraphe 1, sous h), du RGPD sont susceptibles d’entraîner une atteinte aux droits et aux libertés d’autrui, notamment en ce qu’elles contiennent des données à caractère personnel de tiers protégées par ledit règlement ou un secret d’affaires, au sens de l’article 2, point 1, de la directive 2016/943. Dans cette hypothèse aussi, lesdites informations doivent être communiquées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès de la personne concernée aux données à caractère personnel la concernant ».

La Cour précise que le RGPD s’oppose à l’application d’une disposition nationale qui exclut, en principe, le droit d’accès en question, lorsqu’il compromettrait un secret d’affaires du responsable du traitement ou d’un tiers”.

La portée : une décision aux répercussions significatives

Cette décision marque une évolution majeure dans l’encadrement des systèmes d’intelligence artificielle et des outils de notation automatisés. En effet, fini les entreprises peu transparentes exploitant des algorithmes opaques. Elles doivent désormais assumer pleinement leur responsabilité en garantissant la transparence de leurs algorithmes et en fournissant aux individus des explications claires sur les décisions qui les concernent.

Cela implique une documentation rigoureuse des critères de notation, une meilleure communication avec les personnes concernées et la mise en place de procédures internes adaptées pour répondre aux demandes d’information. Les algorithmes doivent être explicables, non discriminatoires et conformes au RGPD.

Enfin, cette transition nécessite une révision des contrats, politiques de protection des données et processus internes afin de garantir une transparence accrue et une meilleure conformité aux exigences réglementaires. Un défi, mais aussi une opportunité, pour renforcer la confiance et la fiabilité des systèmes d’IA.

D’ailleurs, comme le souligne Jacob Wulff Wold, la mise en application de cette décision pourrait être imminente, puisque l’ONG Noyb a récemment déposé une plainte auprès de l’autorité suédoise de protection des données suite au refus de Swedbank d’accorder à un citoyen suédois l’accès aux informations le concernant, en invoquant le secret commercial pour justifier son calcul.

 

Source: l’image ci-dessus a été générée par ChatGPT

Ce contenu a été mis à jour le 10 mars 2025 à 11 h 38 min.