CJUE | ARRÊT DU 27 FÉVRIER 2025 | C-203/22 | DUN & BRADSTREET AUSTRIA │
ALGORITHME DE SCORING, ACCÈS AUX DONNÉES DE PROFILAGE, SECRET DES AFFAIRES
LA CJUE CONSIDÈRE QUE VOUS AVEZ DROIT À UNE EXPLICATION CLAIRE SUR L’UTILISATION DE VOS DONNÉES, ET PAS UNIQUEMENT À UNE FORMULE MATHÉMATIQUE INCOMPRÉHENSIBLE.
ÉVALUATION DE CRÉDIT AUTOMATISÉE : LA PERSONNE CONCERNÉE A DROIT À CE QU’ON LUI EXPLIQUE COMMENT LA DÉCISION A ÉTÉ PRISE À SON ÉGARD
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
CONTEXTE FACTUEL
L’affaire tire son origine d’un différend entre une personne physique, désignée sous les initiales CK, et la société Dun & Bradstreet Austria GmbH (ci-après « D & B »), anciennement dénommée Bisnode Austria GmbH, entreprise spécialisée dans la fourniture d’évaluations de crédit. D & B a procédé, par voie automatisée, à un profilage de la solvabilité de CK à la demande d’un opérateur de téléphonie mobile, lequel a refusé à CK la conclusion ou la prolongation d’un contrat de téléphonie mobile impliquant le paiement mensuel d’une somme de dix euros, au motif que CK ne présentait pas une solvabilité financière suffisante (§ 16).
L’aspect saisissant du litige tient à la contradiction manifeste relevée par la juridiction de renvoi entre les informations communiquées à CK — qui faisaient état d’une très bonne solvabilité — et le résultat du profilage réel, qui avait conduit à conclure à l’insolvabilité de CK, y compris pour le paiement de dix euros par mois (§ 27). D & B avait indiqué que le « score » avait été obtenu en agrégeant « de manière équivalente » certaines données sociodémographiques relatives à CK, sans fournir d’explications permettant de comprendre le lien entre ces données et le résultat (§ 20).
PROCÉDURE NATIONALE
PHASE ADMINISTRATIVE
CK a saisi l’autorité autrichienne de protection des données (Datenschutzbehörde), laquelle a enjoint à D & B de communiquer à CK des informations utiles sur la logique sous-jacente à la prise de décision automatisée fondée sur ses données à caractère personnel, conformément à l’article 15, §1, sous h), du RGPD (§ 17).
BUNDESVERWALTUNGSGERICHT
D & B a contesté cette décision devant le Bundesverwaltungsgericht (tribunal administratif fédéral, Autriche), en faisant valoir qu’en raison d’un secret d’affaires protégé, elle n’était pas tenue de communiquer à CK des informations supplémentaires (§ 18).
Par décision du 23 octobre 2019, le Bundesverwaltungsgericht a constaté que D & B avait violé l’article 15, §1, sous h), du RGPD, en ne fournissant pas à CK des informations utiles sur la logique sous-jacente à la prise de décision automatisée fondée sur ses données personnelles, ou en ne motivant pas suffisamment l’impossibilité dans laquelle elle se serait trouvée de fournir ces informations. Cette décision est devenue définitive et exécutoire (§§ 19-21).
PROCÉDURE D’EXÉCUTION FORCÉE
CK a formé une demande d’exécution forcée de la décision du 23 octobre 2019 auprès du Magistrat der Stadt Wien (administration municipale de la ville de Vienne), en sa qualité d’autorité d’exécution. Cette demande a été rejetée, au motif que D & B aurait satisfait à suffisance à son obligation d’information — quand bien même cette société n’avait fourni aucune information supplémentaire depuis l’adoption de la décision (§ 21).
CK a alors introduit un recours contre cette décision de rejet devant le Verwaltungsgericht Wien (tribunal administratif de Vienne), qui est devenu la juridiction de renvoi (§ 22).
RAISONNEMENT DE LA JURIDICTION DE RENVOI ET DÉSIGNATION D’UN EXPERT
La juridiction de renvoi a estimé qu’elle était tenue, en vertu du droit autrichien, de faire exécuter la décision du 23 octobre 2019, ce qui impliquait de déterminer les actes concrets que D & B était tenue d’accomplir. Estimant que cette détermination requérait des compétences spécialisées, elle a désigné un expert (§§ 23-24).
Cet expert a conclu que D & B était tenue de fournir, au minimum, les informations suivantes pour satisfaire à ses obligations à l’égard de CK (§ 24) :
—-les données à caractère personnel relatives à CK traitées dans le cadre de la constitution d’un « facteur » (date de naissance, adresse, sexe, etc.) ;
—-la formule mathématique à la base du calcul ayant abouti au « score » en cause ;
—-la valeur concrète attribuée à CK pour chacun des facteurs concernés ;
—-la précision des intervalles à l’intérieur desquels la même valeur est attribuée à différentes données pour le même facteur (évaluation par intervalles ou évaluation discrète ou indicielle/cadastrale).
L’expert a également estimé que, pour permettre à CK de vérifier l’exactitude de ces informations, D & B devrait fournir une liste établissant les « scores » de personnes (« scoring ») pour la période couvrant les six mois précédant et les six mois suivant l’établissement du « score » de CK, obtenus sur le fondement de la même règle de calcul (§ 25).
La juridiction de renvoi a souscrit à la conclusion de l’expert, estimant que seule la communication de ces informations minimales permettrait de vérifier la cohérence et l’exactitude des informations fournies par le responsable du traitement. Elle a également relevé la question de la compatibilité de l’article 4, §6, du Datenschutzgesetz (DSG) autrichien — qui exclut en principe le droit d’accès lorsque cet accès compromettrait un secret d’affaires — avec les dispositions combinées de l’article 15, §1, et de l’article 22, §3, du RGPD (§§ 26-32).
SUSPENSION DE LA PROCÉDURE ET RENVOI PRÉJUDICIEL
Par décision du 16 mars 2022, le Verwaltungsgericht Wien a saisi la Cour de justice au titre de l’article 267 TFUE. La procédure a été suspendue le 8 décembre 2022 par le président de la Cour dans l’attente de la décision dans l’affaire C-634/21 (SCHUFA Holding e.a., Scoring). Après le prononcé de l’arrêt SCHUFA Holding le 7 décembre 2023 et la notification à la juridiction de renvoi, celle-ci a, par courrier du 29 janvier 2024, indiqué qu’elle maintenait sa demande, au motif que cet arrêt ne permettait pas de répondre à toutes ses questions. La procédure a été reprise par décision du 14 février 2024 (§§ 34-37). L’avocat général M. J. Richard de la Tour a présenté ses conclusions à l’audience du 12 septembre 2024.
QUESTIONS PRÉJUDICIELLES
Le Verwaltungsgericht Wien a posé à la Cour les six questions préjudicielles suivantes :
Question 1
« Quelles sont les exigences matérielles auxquelles doivent répondre les informations communiquées dans le cadre d’un droit d’accès pour être considérées comme suffisamment « utiles » au sens de l’article 15, §1, sous h), du règlement de base sur la protection des données (ci-après le « RGPD ») ?
Dans le cas d’un profilage, et sous l’éventuelle réserve de la préservation d’un secret d’affaires existant, le responsable du traitement est-il en principe tenu, en donnant accès aux informations concernant la « logique sous-jacente », de fournir également les informations essentielles destinées à rendre intelligibles le résultat de la décision individuelle automatisée, et ce, notamment, en communiquant : 1) les données traitées de la personne concernée ; 2) les parties de l’algorithme à la base du profilage qui sont nécessaires à son intelligibilité ; et 3) les informations pertinentes pour établir le lien entre les informations traitées et la valorisation effectuée ?
Dans les cas ayant pour objet un profilage, le titulaire du droit d’accès, au sens de l’article 15, §1, sous h), du RGPD, est-il en droit, même en cas d’exception tirée de l’existence d’un secret d’affaires, d’obtenir l’accès aux informations suivantes, relatives au traitement concret qui le concerne, afin de pouvoir faire valoir ses droits en vertu de l’article 22, §3 du RGPD :
a) communication de toutes les informations, éventuellement pseudonymisées, portant notamment sur la façon dont les données de la personne concernée sont traitées, qui permettent de vérifier le respect du RGPD,
b) mise à disposition des données d’entrée utilisées pour le profilage,
c) les paramètres et les variables d’entrée utilisés pour la détermination de l’évaluation,
d) l’incidence de ces paramètres et variables d’entrée sur l’évaluation calculée,
e) des informations sur l’obtention des paramètres ou des variables d’entrée,
f) explication de la raison pour laquelle le titulaire du droit d’accès au sens de l’article 15, §1, sous h), du RGPD a été associé à un résultat d’évaluation spécifique, et présentation de la déclaration associée à cette évaluation,
g) énumération des catégories de profil et explication de la déclaration associée à chacune d’entre elles ? »
Question 2
« Le droit d’accès que prévoit l’article 15, §1, sous h), du RGPD, d’une part, et les droits d’exprimer son point de vue et de contester une décision automatisée au sens de l’article 22 du RGPD, que garantit l’article 22, §3, du RGPD, d’autre part, sont-ils liés par un rapport tel que les informations à fournir à la suite d’une demande d’accès, au sens de l’article 15, §1, sous h), du RGPD, ne sont suffisamment « utiles » que si la personne sollicitant l’accès, et concernée au sens de l’article 15, §1, sous h), du RGPD, est mise en mesure d’exercer de manière effective, approfondie et prometteuse les droits que lui garantit l’article 22, §3, du RGPD, à savoir d’exprimer son point de vue et de contester la décision automatisée qui la concerne au sens de l’article 22 du RGPD ? »
Question 3 a)
« L’article 15, §1, sous h), du RGPD doit-il être interprété en ce sens que les informations ne peuvent être qualifiées d‘“informations utiles” au sens de cette disposition que si elles sont suffisamment circonstanciées pour permettre au titulaire du droit d’accès, au sens de l’article 15, §1, sous h), du RGPD, de constater si ces informations fournies correspondent bien aux faits, et donc si la décision automatisée concrètement demandée est effectivement fondée sur les informations communiquées ? »
Question 3 b)
« Dans l’affirmative : comment faut-il procéder lorsque l’exactitude des informations fournies par un responsable ne peut être vérifiée que si le titulaire du droit d’accès au sens de l’article 15, §1, sous h), du RGPD doit également se voir communiquer des données de tiers protégées par le RGPD (boîte noire) ?
Ce conflit entre le droit d’accès au sens de l’article 15, §1, du RGPD et le droit des tiers à la protection de leurs données peut-il être résolu en ne communiquant qu’à l’autorité ou à la juridiction les données de tiers qui sont nécessaires à la vérification de l’exactitude, et qui ont également été soumises au même profilage, de telle sorte que l’autorité ou la juridiction vérifiera de manière autonome si les données de ces tiers qui sont communiquées correspondent aux faits ? »
Question 3 c)
« Dans l’affirmative : quels droits le titulaire du droit d’accès au sens de l’article 15, §1, sous h), du RGPD doit-il en tout état de cause se voir reconnaître lorsque la nécessité d’assurer la protection des droits des tiers au sens de l’article 15, §4, du RGPD impose la création de la boîte noire évoquée au point 3 b) ?
Dans cette hypothèse, les données d’autres personnes que le responsable, au sens de l’article 15, §1, du RGPD, est tenu de communiquer pour permettre la vérification de l’exactitude de la prise de décision doivent-elles être en tout état de cause communiquées sous forme pseudonymisée au titulaire du droit d’accès au sens de l’article 15, §1, sous h), du RGPD ? »
Question 4 a)
« Comment faut-il procéder lorsque les informations à fournir, au sens de l’article 15, §1, sous h), du RGPD, répondent également aux conditions d’un secret d’affaires au sens de l’article 2, point 1, de la directive (UE) 2016/943 ?
Le conflit entre le droit d’accès garanti par l’article 15, §1, sous h), du RGPD et le droit à la non-divulgation d’un secret d’affaires protégé par la directive 2016/943 peut-il être résolu en ne communiquant qu’à l’autorité ou à la juridiction les informations considérées comme des secrets d’affaires au sens de l’article 2, point 1, de la directive 2016/943, de telle sorte que l’autorité ou la juridiction vérifiera de manière autonome s’il convient d’admettre l’existence d’un secret d’affaires, au sens de l’article 2, point 1, de la directive 2016/943, et si les informations fournies par le responsable, au sens de l’article 15, §1, du RGPD, correspondent aux faits ? »
Question 4 b)
« Dans l’affirmative : quels droits le titulaire du droit d’accès au sens de l’article 15, §1, sous h), du RGPD doit-il en tout état de cause se voir reconnaître lorsque la nécessité d’assurer la protection des droits des tiers au sens de l’article 15, §4, du RGPD impose la création de la boîte noire évoquée au point 4 a) ?
Dans cette hypothèse d’un démembrement entre les informations à communiquer à l’autorité ou à la juridiction, d’une part, et celles qui sont à communiquer au titulaire du droit d’accès, au sens de l’article 15, §1, sous h), du RGPD, d’autre part, le titulaire du droit d’accès, au sens de l’article 15, §1, sous h), du RGPD, doit-il en tout état de cause, dans les cas ayant pour objet un profilage, se voir (également) communiquer les informations suivantes relatives au traitement concret le concernant, afin de lui permettre de préserver pleinement les droits que lui confère l’article 22, §3 du RGPD :
a) communication de toutes les informations, éventuellement pseudonymisées, portant notamment sur la façon dont les données de la personne concernée sont traitées, qui permettent de vérifier le respect du RGPD,
b) mise à disposition des données d’entrée utilisées pour le profilage,
c) les paramètres et les variables d’entrée utilisés pour la détermination de l’évaluation,
d) l’incidence de ces paramètres et variables d’entrée sur l’évaluation calculée,
e) des informations sur l’obtention des paramètres ou des variables d’entrée,
f) explication de la raison pour laquelle le titulaire du droit d’accès au sens de l’article 15, §1, sous h), du RGPD a été associé à un résultat d’évaluation spécifique, et présentation de la déclaration associée à cette évaluation,
g) énumération des catégories de profil et explication de la déclaration associée à chacune d’entre elles ? »
Question 5
« La disposition prévue à l’article 15, §4, du RGPD limite-t-elle de quelque façon que ce soit la portée des informations à fournir conformément à l’article 15, §1, sous h), du RGPD ?
Dans l’affirmative, de quelle manière ce droit d’accès est-il limité par l’article 15, §4, du RGPD, et comment cette portée de la limitation doit-elle être déterminée dans chaque cas ? »
Question 6
« La disposition prévue à l’article 4, §6, du Datenschutzgesetz (loi sur la protection des données), aux termes de laquelle “le droit d’accès dont bénéficie la personne concernée en vertu de l’article 15 du RGPD n’est en principe pas constitué à l’égard d’un responsable lorsque cet accès compromettrait un secret d’affaires ou d’entreprise du responsable ou d’un tiers”, est-elle conforme aux dispositions combinées de l’article 15, §1, et de l’article 22, §3, du RGPD ? Dans l’affirmative, sous quelles conditions une telle compatibilité est-elle constituée ? »
PARTIES AYANT SOUMIS DES OBSERVATIONS À LA COUR
Ont déposé des observations écrites dans le cadre de la procédure préjudicielle :
—-CK, représentée par Me C. Wirthensohn, Rechtsanwalt ;
—-Dun & Bradstreet Austria GmbH, représentée par M. D. Cooper, solicitor, Me A.-S. Oberschelp de Meneses, avocate, Mes K. Van Quathem et B. Van Vooren, advocaten ;
—-le gouvernement espagnol, par M. A. Ballesteros Panizo ;
—-le gouvernement néerlandais, par Mmes M. K. Bulterman et C. S. Schillemans ;
—-le gouvernement polonais, par M. B. Majczyna ;
—-la Commission européenne, par MM. A. Bouchagiar, F. Erlbacher et H. Kranenborg.
POINTS ESSENTIELS
Rendu le 27 février 2025 par la première chambre de la Cour de justice sur renvoi préjudiciel du Verwaltungsgericht Wien (Autriche), l’arrêt C-203/22 Dun & Bradstreet Austria répond à six questions d’une densité technique exceptionnelle nées d’un litige opposant la personne physique CK à la société D & B, spécialisée dans le scoring de solvabilité automatisé : CK s’était vu refuser un contrat de téléphonie mobile à dix euros par mois à la suite d’une évaluation automatisée défavorable fondée sur des données la concernant, alors même que les informations qui lui avaient été communiquées faisaient état d’une très bonne solvabilité — contradiction au cœur du litige qui illustre les dérives de l’opacité algorithmique que l’arrêt entend précisément réduire.
Sur la première branche, la Cour tranche la question longtemps débattue du contenu matériel des « informations utiles concernant la logique sous-jacente » au sens de l’article 15, §1, sous h), du RGPD : procédant d’abord par une analyse plurilingue qui révèle la complémentarité des acceptions (fonctionnalité, pertinence, intelligibilité, qualité) et suivant explicitement l’avocat général Richard de la Tour en ses points 65 et 67, la Cour consacre un droit à l’explication de la « procédure et des principes concrètement appliqués » pour obtenir un résultat automatisé, explication qui doit être fournie « au moyen d’informations pertinentes et d’une façon concise, transparente, compréhensible et aisément accessible » (§§ 41-62), sans que la complexité technique d’un algorithme puisse libérer le responsable du traitement de ce devoir d’explication (§ 61), et en précisant à titre illustratif qu’une analyse contrefactuelle — informer la personne concernée de la mesure dans laquelle une variation de ses données aurait conduit à un résultat différent — peut constituer une modalité d’explication suffisante (§ 62) ; la Cour écarte en revanche les deux extrêmes symétriquement inopérants que sont la divulgation de la formule mathématique brute et la description technique exhaustive de toutes les étapes du traitement (§ 59), et opère une distinction analytique essentielle entre les informations sur la logique sous-jacente relevant du point h) et le droit à la vérification de l’exactitude des données relevant de la phrase introductive du même article 15, §1 (§ 63).
Sur la seconde branche, d’une portée procédurale tout aussi déterminante, la Cour transpose au contentieux du droit d’accès RGPD le mécanisme de pondération judiciaire ou administrative issu de l’arrêt Norra Stockholm Bygg (C-268/21, § 58) : lorsque le responsable du traitement prétend que les informations à fournir comportent des secrets d’affaires au sens de l’article 2, point 1, de la directive 2016/943 ou des données de tiers protégées par le RGPD, il est tenu de les communiquer — non à la personne concernée, mais à l’autorité de contrôle ou à la juridiction compétentes — auxquelles il incombe ensuite de pondérer in concreto les droits et intérêts en cause pour déterminer l’étendue du droit d’accès (dispositif, point 2), mécanisme qui instaure de facto une procédure de chambre noire propre au contentieux de la protection des données et qui invalide définitivement toute exclusion automatique et absolue du droit d’accès fondée sur la seule invocation du secret d’affaires ; la Cour juge à cet égard incompatible avec le RGPD l’article 4, §6, du Datenschutzgesetz autrichien qui organisait précisément une telle exclusion de principe, au motif qu’« un État membre ne saurait prescrire de manière définitive le résultat d’une pondération au cas par cas des droits et des intérêts en cause imposé par le droit de l’Union » (C-634/21, § 70).
Par sa double contribution — définition positive du droit à l’explication et mécanisme de résolution des conflits avec les secrets d’affaires — l’arrêt Dun & Bradstreet Austria constitue, avec SCHUFA Holding (C-634/21), le second pilier d’un corpus jurisprudentiel en cours de formation sur la gouvernance algorithmique par le droit de la protection des données, dont la portée dépasse le seul secteur du scoring de crédit pour irriguer l’ensemble des industries du profilage automatisé, tout en entrant en résonance directe avec les obligations d’explicabilité et de transparence imposées par le Règlement (UE) 2024/1689 sur l’intelligence artificielle pour les systèmes d’IA à haut risque.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats