CJUE | ARRÊT DU 27 FÉVRIER 2025 | C-203/22 | DUN & BRADSTREET AUSTRIA │
ALGORITHME DE SCORING, ACCÈS AUX DONNÉES DE PROFILAGE, SECRET DES AFFAIRES
LA CJUE CONSIDÈRE QUE VOUS AVEZ DROIT À UNE EXPLICATION CLAIRE SUR L’UTILISATION DE VOS DONNÉES, ET PAS UNIQUEMENT À UNE FORMULE MATHÉMATIQUE INCOMPRÉHENSIBLE.
ÉVALUATION DE CRÉDIT AUTOMATISÉE : LA PERSONNE CONCERNÉE A DROIT À CE QU’ON LUI EXPLIQUE COMMENT LA DÉCISION A ÉTÉ PRISE À SON ÉGARD
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
PRÉSENTATION GÉNÉRALE ET PORTÉE DE L’ARRÊT
L’arrêt C-203/22 Dun & Bradstreet Austria constitue l’une des décisions les plus significatives rendues par la Cour de justice de l’Union européenne en matière de droits des personnes concernées à l’égard des systèmes de décision individuelle automatisée et de profilage. Rendu le 27 février 2025 par la première chambre, composée sous la présidence du juge rapporteur M. T. von Danwitz, il répond à six questions préjudicielles d’une remarquable densité technique, posées par le Verwaltungsgericht Wien (tribunal administratif de Vienne, Autriche) dans le cadre d’une procédure d’exécution forcée d’une injonction adressée à Dun & Bradstreet Austria GmbH (ci-après « D & B »), entreprise spécialisée dans l’évaluation automatisée de la solvabilité.
La Cour tranche deux questions fondamentales. D’une part, elle détermine le contenu matériel des « informations utiles concernant la logique sous-jacente » au sens de l’article 15, §1, sous h), du RGPD, concept central du droit à l’explication en matière de profilage. D’autre part, elle définit le mécanisme de résolution du conflit entre ce droit d’accès et, respectivement, la protection des données à caractère personnel de tiers et la protection des secrets d’affaires au sens de la directive 2016/943.
CONTENU ET LIMITES
APPROCHE PLURILINGUE ET COMPLÉMENTARITÉ DES ACCEPTIONS
La Cour adopte une démarche interprétative rigoureuse en confrontant les différentes versions linguistiques de l’article 15, §1, sous h), du RGPD. Elle constate que les acceptions retenues dans les différentes versions linguistiques divergent : certaines privilégient la fonctionnalité des informations (« nuttige » en néerlandais, « úteis » en portugais), d’autres la pertinence (« pertinente » en roumain) ou encore l’importance qualitative (« significativa » en espagnol, « istotne » en polonais), tandis que les versions allemande (« aussagekräftig ») et anglaise (« meaningful ») renvoient à la fois à la bonne intelligibilité des informations et à une certaine qualité de celles-ci (§ 40).
La Cour interprète cette pluralité comme une complémentarité des significations, ainsi que l’avait relevé l’avocat général Richard de la Tour, en substance, au point 65 de ses conclusions. Elle en déduit que la notion d’« informations utiles concernant la logique sous-jacente » vise « toute information pertinente relative à la procédure et aux principes d’exploitation, par la voie automatisée, de données à caractère personnel aux fins d’en obtenir un résultat déterminé » (§ 43).
UN DROIT EFFECTIF, NON UN DROIT FORMEL
La Cour consacre expressément, en s’appuyant sur le considérant 71 du RGPD et sur sa jurisprudence antérieure, un véritable droit à l’explication sur le fonctionnement du mécanisme qui sous-tend la prise de décision automatisée (§ 57). Ce droit n’est pas satisfait par :
—-la simple communication d’une formule mathématique complexe, telle qu’un algorithme ;
—-la description détaillée de toutes les étapes de la prise de décision automatisée,
dans la mesure où aucune de ces modalités ne constituerait une explication suffisamment concise et compréhensible (§ 59).
La Cour formule une exigence positive : « les “informations utiles concernant la logique sous-jacente” doivent décrire la procédure et les principes concrètement appliqués de telle manière que la personne concernée puisse comprendre lesquelles de ses données à caractère personnel ont été utilisées de quelle manière lors de la prise de décision automatisée en cause, sans que la complexité des opérations à réaliser dans le cadre d’une prise de décision automatisée puisse libérer le responsable de traitement de son devoir d’explication » (§ 61). Elle cite, à titre d’illustration pertinente, la possibilité d’informer la personne concernée « de la mesure dans laquelle une variation au niveau des données à caractère personnel prises en compte aurait conduit à un résultat différent » (§ 62) — c’est-à-dire une forme d’analyse contrefactuelle.
LIEN FONCTIONNEL
La Cour établit un lien fonctionnel entre l’article 15, §1, sous h), et l’article 22, §3, du RGPD. La finalité principale du droit à l’explication consiste à « permettre à la personne concernée d’exercer de manière efficace les droits qui lui sont reconnus par l’article 22, §3, de ce règlement, à savoir celui d’exprimer son point de vue sur cette décision et celui de contester celle-ci » (§ 55). Si les personnes affectées par une décision automatisée n’étaient pas en mesure de comprendre les raisons ayant conduit à cette décision, ces droits ne sauraient « pleinement remplir leur finalité de protéger ces personnes contre les risques particuliers » que présente le traitement automatisé (§ 56, renvoyant à C-634/21, SCHUFA Holding, § 57).
MÉCANISME DE PONDÉRATION JUDICIAIRE
REJET DU PRINCIPE D’EXCLUSION AUTOMATIQUE
La seconde partie de l’arrêt est peut-être encore plus importante que la première sur le plan pratique. La Cour examine la compatibilité de l’article 4, §6, du Datenschutzgesetz (DSG) autrichien, qui exclut en principe le droit d’accès de la personne concernée lorsque cet accès compromettrait un secret d’affaires ou d’entreprise du responsable ou d’un tiers.
La Cour juge qu’une telle exclusion automatique est incompatible avec l’article 15, §1, sous h), du RGPD. Elle rappelle que le droit à la protection des données n’est pas absolu et doit être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité (considérant 4 du RGPD ; § 68). Toutefois, « ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée » (§ 70).
LE MÉCANISME DE « CHAMBRE NOIRE » JUDICIAIRE OU ADMINISTRATIVE
La solution retenue par la Cour est d’une grande originalité. Elle consacre un mécanisme de pondération concrète et individualisée : lorsque les informations à fournir au titre de l’article 15, §1, sous h), sont susceptibles de contenir des données de tiers ou des secrets d’affaires, « ce responsable est tenu de communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès » (§ 82 et dispositif, point 2).
La Cour s’appuie sur sa jurisprudence antérieure Norra Stockholm Bygg (C-268/21, EU:C:2023:145, point 58), dans laquelle elle avait déjà admis qu’une juridiction nationale peut estimer que des données à caractère personnel doivent lui être communiquées pour lui permettre de pondérer, en toute connaissance de cause et dans le respect du principe de proportionnalité, les intérêts en présence. Elle étend explicitement cette jurisprudence à l’hypothèse des secrets d’affaires et des données de tiers dans le contexte du droit d’accès (§ 73).
La pondération peut, le cas échéant, « conduire [l’autorité ou la juridiction] à autoriser la divulgation complète ou partielle à la partie adverse des données à caractère personnel qui lui ont ainsi été communiquées, si elle considère qu’une telle divulgation ne va pas au-delà de ce qui est nécessaire aux fins de garantir la jouissance effective des droits que les justiciables tirent de l’article 47 de la Charte » (§ 73). L’article 47 de la Charte, qui garantit le droit à un recours effectif, constitue ainsi le critère ultime de la pondération.
UNE LEÇON POUR LES LÉGISLATEURS NATIONAUX
La Cour conclut qu’un État membre ne saurait prescrire de manière définitive le résultat d’une pondération au cas par cas des droits et des intérêts en cause imposé par le droit de l’Union (renvoyant à C-634/21, SCHUFA Holding, § 70 et jurisprudence citée). Cette affirmation de principe interdit les clauses d’exclusion automatique du droit d’accès fondées sur la seule invocation d’un secret d’affaires, sans appréciation in concreto.
ANALYSE CRITIQUE
UNE CLARIFICATION NÉCESSAIRE MAIS AUX CONTOURS INCERTAINS
L’arrêt apporte une clarification bienvenue sur une question essentielle : la notion d’« informations utiles » ne se confond ni avec la divulgation de l’algorithme brut, ni avec une description technique exhaustive. La Cour refuse les deux extrêmes — l’opacité totale comme la transparence algorithmique complète — pour retenir une voie médiane centrée sur l’intelligibilité fonctionnelle pour la personne concernée.
Toutefois, la formule retenue — « décrire la procédure et les principes concrètement appliqués » — demeure d’une précision relative. La Cour elle-même reconnaît qu’il appartient en définitive à la juridiction de renvoi d’apprécier la conformité, en précisant à titre d’exemple ce que pourrait constituer une information « suffisamment transparente et intelligible » (§ 62). Cette délégation à l’appréciation nationale, si compréhensible soit-elle, laisse subsister une incertitude normative que seule l’accumulation jurisprudentielle pourra progressivement réduire.
LA DISSOCIATION ENTRE L’ARTICLE 15§1 H) ET LA VÉRIFICATION DE L’EXACTITUDE
La Cour opère une distinction analytique importante entre, d’une part, les informations sur la logique sous-jacente au titre de l’article 15, §1, sous h), et, d’autre part, le droit à l’accès aux données elles-mêmes, qui relève de la phrase introductive du même §1 (§ 63). La vérification de l’exactitude des données sur lesquelles est fondée la décision automatisée relève de ce second volet, non du premier. Cette distinction, intellectuellement cohérente, peut toutefois s’avérer difficile à mettre en œuvre lorsque — comme en l’espèce — les deux volets se trouvent intimement liés.
UNE INNOVATION PROCÉDURALE MAJEURE MAIS INCERTAINE
Le mécanisme de pondération judiciaire ou administrative est d’une grande portée pratique. Il impose au responsable du traitement de déclassifier auprès de l’autorité ou de la juridiction les informations qu’il prétend protégées, aux fins d’une vérification indépendante. Cette solution préserve à la fois le droit d’accès de la personne concernée et la protection des secrets d’affaires légitimes.
Cependant, ce mécanisme soulève d’importantes questions d’organisation procédurale que l’arrêt ne tranche pas : quelle est la procédure exacte à suivre ? Quelles sont les garanties de confidentialité applicables aux informations déclassifiées auprès de l’autorité de contrôle ? Comment concilier ce mécanisme avec les délais imposés par le RGPD pour répondre aux demandes d’accès ? Ces questions pratiques nécessiteront des réponses tant au niveau national que, le cas échéant, devant la Cour.
COHÉRENCE AVEC LA JURISPRUDENCE SCHUFA HOLDING (C-634/21)
L’arrêt s’inscrit dans la continuité directe de l’arrêt SCHUFA Holding e.a. (Scoring) du 7 décembre 2023 (C-634/21, EU:C:2023:957), qui avait qualifié le scoring de crédit de « décision automatisée » au sens de l’article 22 du RGPD et avait affirmé que le droit d’accès aux informations sur la logique sous-jacente forme « un ensemble » avec les obligations d’information supplémentaires des articles 13 et 14 du RGPD. L’affaire C-203/22 approfondit ce raisonnement en définissant positivement le contenu de ce droit à l’explication.
Il convient cependant de noter que la procédure dans l’affaire C-203/22 avait été suspendue dans l’attente de l’arrêt SCHUFA Holding (§ 34), puis reprise en janvier 2024 à la demande de la juridiction de renvoi (§§ 35-37), qui estimait que cette dernière décision ne permettait pas de répondre à toutes ses questions. C’est précisément ce résidu non tranché par SCHUFA Holding — le contenu précis des informations à fournir et le mécanisme de résolution des conflits avec les secrets d’affaires — que l’arrêt Dun & Bradstreet Austria vient combler.
DISPOSITIF DE L’ARRÊT
« 1) L’article 15, §1, sous h), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que, en cas de prise de décision automatisée, y compris un profilage, au sens de l’article 22, §1, de ce règlement, la personne concernée peut exiger du responsable du traitement, au titre des “informations utiles concernant la logique sous-jacente”, que celui-ci lui explique, au moyen d’informations pertinentes et d’une façon concise, transparente, compréhensible et aisément accessible, la procédure et les principes concrètement appliqués pour exploiter, par la voie automatisée, les données à caractère personnel relatives à cette personne aux fins d’en obtenir un résultat déterminé, tel un profil de solvabilité.
2) L’article 15, §1, sous h), du règlement 2016/679 doit être interprété en ce sens que, dans l’hypothèse où le responsable du traitement considère que les informations à fournir à la personne concernée conformément à cette disposition comportent des données de tiers protégées par ce règlement ou des secrets d’affaires, au sens de l’article 2, point 1, de la directive (UE) 2016/943 du Parlement européen et du Conseil, du 8 juin 2016, sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites, ce responsable est tenu de communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès de la personne concernée prévu à l’article 15 du règlement 2016/679.»
POINTS ESSENTIELS
Rendu le 27 février 2025 par la première chambre de la Cour de justice sur renvoi préjudiciel du Verwaltungsgericht Wien (Autriche), l’arrêt C-203/22 Dun & Bradstreet Austria répond à six questions d’une densité technique exceptionnelle nées d’un litige opposant la personne physique CK à la société D & B, spécialisée dans le scoring de solvabilité automatisé : CK s’était vu refuser un contrat de téléphonie mobile à dix euros par mois à la suite d’une évaluation automatisée défavorable fondée sur des données la concernant, alors même que les informations qui lui avaient été communiquées faisaient état d’une très bonne solvabilité — contradiction au cœur du litige qui illustre les dérives de l’opacité algorithmique que l’arrêt entend précisément réduire.
Sur la première branche, la Cour tranche la question longtemps débattue du contenu matériel des « informations utiles concernant la logique sous-jacente » au sens de l’article 15, §1, sous h), du RGPD : procédant d’abord par une analyse plurilingue qui révèle la complémentarité des acceptions (fonctionnalité, pertinence, intelligibilité, qualité) et suivant explicitement l’avocat général Richard de la Tour en ses points 65 et 67, la Cour consacre un droit à l’explication de la « procédure et des principes concrètement appliqués » pour obtenir un résultat automatisé, explication qui doit être fournie « au moyen d’informations pertinentes et d’une façon concise, transparente, compréhensible et aisément accessible » (§§ 41-62), sans que la complexité technique d’un algorithme puisse libérer le responsable du traitement de ce devoir d’explication (§ 61), et en précisant à titre illustratif qu’une analyse contrefactuelle — informer la personne concernée de la mesure dans laquelle une variation de ses données aurait conduit à un résultat différent — peut constituer une modalité d’explication suffisante (§ 62) ; la Cour écarte en revanche les deux extrêmes symétriquement inopérants que sont la divulgation de la formule mathématique brute et la description technique exhaustive de toutes les étapes du traitement (§ 59), et opère une distinction analytique essentielle entre les informations sur la logique sous-jacente relevant du point h) et le droit à la vérification de l’exactitude des données relevant de la phrase introductive du même article 15, §1 (§ 63).
Sur la seconde branche, d’une portée procédurale tout aussi déterminante, la Cour transpose au contentieux du droit d’accès RGPD le mécanisme de pondération judiciaire ou administrative issu de l’arrêt Norra Stockholm Bygg (C-268/21, § 58) : lorsque le responsable du traitement prétend que les informations à fournir comportent des secrets d’affaires au sens de l’article 2, point 1, de la directive 2016/943 ou des données de tiers protégées par le RGPD, il est tenu de les communiquer — non à la personne concernée, mais à l’autorité de contrôle ou à la juridiction compétentes — auxquelles il incombe ensuite de pondérer in concreto les droits et intérêts en cause pour déterminer l’étendue du droit d’accès (dispositif, point 2), mécanisme qui instaure de facto une procédure de chambre noire propre au contentieux de la protection des données et qui invalide définitivement toute exclusion automatique et absolue du droit d’accès fondée sur la seule invocation du secret d’affaires ; la Cour juge à cet égard incompatible avec le RGPD l’article 4, §6, du Datenschutzgesetz autrichien qui organisait précisément une telle exclusion de principe, au motif qu’« un État membre ne saurait prescrire de manière définitive le résultat d’une pondération au cas par cas des droits et des intérêts en cause imposé par le droit de l’Union » (C-634/21, § 70).
Par sa double contribution — définition positive du droit à l’explication et mécanisme de résolution des conflits avec les secrets d’affaires — l’arrêt Dun & Bradstreet Austria constitue, avec SCHUFA Holding (C-634/21), le second pilier d’un corpus jurisprudentiel en cours de formation sur la gouvernance algorithmique par le droit de la protection des données, dont la portée dépasse le seul secteur du scoring de crédit pour irriguer l’ensemble des industries du profilage automatisé, tout en entrant en résonance directe avec les obligations d’explicabilité et de transparence imposées par le Règlement (UE) 2024/1689 sur l’intelligence artificielle pour les systèmes d’IA à haut risque.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats