CJUE | ARRÊT DU 27 FÉVRIER 2025 | C-203/22 | DUN & BRADSTREET AUSTRIA │
ÉVALUATION DE CRÉDIT AUTOMATISÉE : LA PERSONNE CONCERNÉE A DROIT À CE QU’ON LUI EXPLIQUE COMMENT LA DÉCISION A ÉTÉ PRISE À SON ÉGARD
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
I.
Genèse contentieuse et enjeux de la saisine
L’affaire C-203/22 trouve son origine dans un litige de droit autrichien opposant une personne physique, désignée sous les initiales CK, à l’administration municipale de la Ville de Vienne (Magistrat der Stadt Wien), en présence de Dun & Bradstreet Austria GmbH (ci-après « D&B »), société spécialisée dans la fourniture d’évaluations de crédit automatisées. Le renvoi préjudiciel a été introduit par le Verwaltungsgericht Wien (tribunal administratif de Vienne, Autriche) le 16 mars 2022, à la suite du refus de l’administration municipale de faire exécuter la décision juridictionnelle enjoignant à D&B de communiquer à CK les informations utiles concernant la logique sous-jacente à un profilage de solvabilité.
Les faits sont d’une clarté illustrative : CK s’était vu refuser, par un opérateur de téléphonie mobile, la conclusion ou le renouvellement d’un contrat, au motif d’une évaluation défavorable de son crédit réalisée de manière automatisée par D&B. L’autorité autrichienne de protection des données avait enjoint à D&B de fournir à CK des informations utiles sur la logique sous-jacente à cette prise de décision automatisée. Cette décision avait été confirmée, en cas de recours, par le Bundesverwaltungsgericht (tribunal administratif fédéral autrichien) le 23 octobre 2019. Cependant, le Magistrat der Stadt Wien, saisi d’une demande d’exécution forcée formée par CK, avait rejeté cette demande. Saisie par CK d’un recours contre cette décision de refus d’exécution, la juridiction de renvoi a sollicité la Cour de justice afin de clarifier l’étendue substantielle des informations exigibles au titre de l’article 15, paragraphe 1, sous h), du RGPD, et de préciser le régime de la protection concurrente du secret d’affaires et des données de tiers.
L’intérêt systémique de l’affaire est considérable. Elle se situe au confluent de deux dynamiques fondamentales du droit européen des données personnelles : d’une part, la garantie d’effectivité du droit d’accès dans le contexte de la décision automatisée et du profilage ; d’autre part, la conciliation de ce droit avec les secrets protégés que sont le secret d’affaires et les données personnelles des tiers. La Cour est ainsi invitée à préciser, dans le prolongement de son arrêt du 7 décembre 2023, SCHUFA Holding e.a. Scoring (C-634/21), l’architecture normative du droit à l’explication algorithmique.
II.
Le cadre normatif mobilisé
La disposition-pivot est l’article 15, paragraphe 1, sous h), du RGPD, aux termes duquel la personne concernée a le droit d’obtenir, lorsque ses données font l’objet d’un traitement, des informations portant sur « l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ». La disposition doit être lue en combinaison avec l’article 12, paragraphe 1, du RGPD, qui impose que les informations communiquées à la personne concernée le soient « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». Elle dialogue également avec l’article 22, paragraphe 3, du RGPD, qui garantit à la personne concernée soumise à une décision automatisée le droit d’exprimer son point de vue, d’obtenir une intervention humaine et de contester la décision.
En regard, la Directive (UE) 2016/943 du 8 juin 2016 sur la protection des secrets d’affaires constitue l’autre pôle normatif. Son article 2, point 1, définit les secrets d’affaires comme des informations qui répondent cumulativement aux conditions suivantes : elles doivent être secrètes, avoir une valeur commerciale du fait de leur caractère secret, et avoir fait l’objet de dispositions raisonnables de la part de la personne qui en a le contrôle pour les maintenir secrètes. La tension entre ces deux instruments — droit d’accès individuel et protection des intérêts commerciaux légitimes — constitue la ligne de fracture principale de l’affaire.
Le droit autrichien posait en outre un problème spécifique : l’article 4, paragraphe 6, du Datenschutzgesetz (DSG, loi autrichienne sur la protection des données) prévoyait que le droit d’accès de la personne concernée n’était, « en principe », pas constitué lorsque l’accès compromettrait un secret d’affaires ou un secret d’entreprise du responsable ou d’un tiers. Cette disposition nationale tranchait par avance, au niveau législatif, la pondération que le droit de l’Union exige qu’elle soit effectuée au cas par cas. La juridiction de renvoi a soumis à la Cour six questions préjudicielles portant respectivement sur le contenu matériel du droit d’accès, son articulation avec le droit de contestation de l’article 22, paragraphe 3, la vérifiabilité des informations communiquées, la protection des données de tiers, la portée de l’article 15, paragraphe 4 (limite des droits et libertés d’autrui), et la compatibilité de l’article 4, paragraphe 6, du DSG autrichien avec le RGPD.
III.
L’interprétation de la notion d’ « informations utiles concernant la logique sous-jacente »
La première apport majeur de l’arrêt tient à la définition substantielle de ce que recouvrent les « informations utiles concernant la logique sous-jacente » au sens de l’article 15, paragraphe 1, sous h), du RGPD. La Cour adopte une méthode d’interprétation combinant les arguments littéral, contextuel et téléologique, pour aboutir à une définition ambitieuse de l’obligation d’information.
Sur le plan littéral, la Cour observe que les différentes versions linguistiques de la disposition, analysées conjointement, visent « toute information pertinente relative à la procédure et aux principes d’exploitation, par la voie automatisée, de données à caractère personnel aux fins d’en obtenir un résultat déterminé ». Le terme « utiles » (meaningful en anglais, sachdienlich en allemand, pertinentes en espagnol) désigne les informations qui permettent concrètement à la personne concernée de comprendre comment le résultat a été obtenu à partir de ses données, et non de simples mentions génériques sur l’existence d’un algorithme.
Sur le plan contextuel, la Cour rappelle que l’obligation de transparence qui innerve l’ensemble du RGPD, et notamment ses articles 12, 13 et 14, impose que les informations relatives à la prise de décision automatisée soient communiquées « d’une façon concise, transparente, compréhensible et aisément accessible ». Cette exigence de qualité communicationnelle conditionne la définition même du contenu obligatoire de l’information.
Sur le plan téléologique, la Cour souligne que les droits conférés par l’article 15, paragraphe 1, sous h), du RGPD visent à permettre à la personne concernée d’exercer effectivement les droits que lui garantit l’article 22, paragraphe 3, du même règlement. Ces droits — exprimer son point de vue, obtenir une intervention humaine, contester la décision — ne peuvent être exercés de manière effective que si la personne dispose d’une explication concrète, et non purement formelle, de la manière dont la décision a été produite. L’information n’est donc « utile » au sens du texte que si elle permet à la personne concernée d’identifier les paramètres ayant conduit au résultat qui la concerne, de vérifier l’exactitude des données utilisées, et de comprendre le lien causal entre les données d’entrée et le résultat obtenu.
La Cour formule ainsi la règle de droit : au titre des informations utiles concernant la logique sous-jacente, la personne concernée peut exiger que le responsable du traitement lui explique, « au moyen d’informations pertinentes et d’une façon concise, transparente, compréhensible et aisément accessible, la procédure et les principes concrètement appliqués pour exploiter, par la voie automatisée, les données à caractère personnel relatives à cette personne aux fins d’en obtenir un résultat déterminé, tel un profil de solvabilité ».
Cette formulation emporte des conséquences pratiques importantes. Il ne suffit pas pour le responsable du traitement de mentionner l’existence d’un algorithme ou d’indiquer les catégories générales de données utilisées. Il doit expliquer concrètement comment ses données, à elle, ont été traitées et ont conduit au résultat qui lui a été opposé. La dimension individualisée et contextualisée de l’obligation est ici décisive : l’explication doit être relative au traitement concret qui concerne la personne requérante, et non une description générique du système de scoring.
IV.
Le droit de vérifier l’exactitude des informations communiquées
Un second apport substantiel réside dans l’affirmation, par la Cour, du droit de la personne concernée à vérifier l’exactitude des informations qui lui sont fournies en réponse à sa demande d’accès. Cette question, posée par la juridiction de renvoi dans ses troisième questions, sous a), soulève un problème pratique délicat : comment la personne concernée peut-elle s’assurer que les données et paramètres qui lui sont communiqués sont bien ceux qui ont été effectivement utilisés pour produire le résultat réel du profilage, et non des données reconstituées a posteriori ?
La Cour admet que les informations communiquées en réponse à une demande d’accès au titre de l’article 15, paragraphe 1, sous h), du RGPD doivent être suffisamment détaillées pour permettre à leur destinataire de vérifier qu’elles correspondent bien au traitement effectivement réalisé. Cette exigence de vérifiabilité découle du principe d’exactitude des données (article 5, paragraphe 1, sous d), du RGPD) et du droit général à une protection juridictionnelle effective (article 47 de la Charte).
Dans ce contexte, la Cour réserve expressément le cas dans lequel la vérification de l’exactitude des informations communiquées nécessite l’accès à des données personnelles de tiers, qui sont également protégées par le RGPD. La juridiction qualifie ce cas de figure de « boîte noire » (black box), par lequel le résultat d’un profilage ne peut être rendu intelligible que si la personne concernée a accès aux données d’autres personnes ayant fait l’objet d’un traitement comparatif. Dans cette hypothèse, le responsable du traitement ne peut se soustraire à son obligation de transparence en invoquant la protection des données de tiers : il est tenu de communiquer ces informations à l’autorité de contrôle ou à la juridiction compétentes, à charge pour elles d’effectuer la mise en balance des droits et intérêts en présence. Cet apport, qui constitue la troisième question (sous b et c) de la demande préjudicielle, revêt une portée systémique considérable : il fait de l’autorité de contrôle ou du juge le garant de l’effectivité du droit d’accès lorsque la transparence individuelle se heurte à la protection des tiers.
V.
Le régime du secret d’affaires face au droit d’accès
C’est peut-être sur ce point que l’arrêt livre sa contribution doctrinal la plus décisive. La Cour établit un régime d’articulation entre le droit d’accès et la protection du secret d’affaires qui se distingue nettement de la solution que le droit autrichien avait cru pouvoir adopter.
Le raisonnement de la Cour repose sur deux propositions fondamentales.
La première est que le secret d’affaires ne constitue pas une exception au droit d’accès susceptible d’être invoquée directement et unilatéralement par le responsable du traitement pour se soustraire à ses obligations. Le considérant 63 du RGPD précise certes que le droit d’accès ne doit pas « porter atteinte aux droits et libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel ». Mais cette précision du considérant ne confère pas au responsable du traitement le pouvoir de décider souverainement de refuser l’accès sur le fondement d’une prétendue protection de ses secrets commerciaux. Elle appelle au contraire une mise en balance au cas par cas, par une autorité compétente et impartiale.
La seconde proposition, corrélative, est que lorsque le responsable du traitement estime que les informations à communiquer à la personne concernée comportent des secrets d’affaires, il est tenu de les communiquer à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il revient d’effectuer la pondération des droits et intérêts en cause, et de déterminer l’étendue du droit d’accès de la personne concernée. Cette procédure de médiation institutionnelle garantit à la fois la protection du secret d’affaires légitime et l’effectivité du droit d’accès : l’autorité ou le juge pourra, selon les circonstances, ordonner la communication de certaines informations sous des formes adaptées (pseudonymisation, accès confidentiel, communication partielle), ou au contraire valider le refus si le secret est réel et la divulgation effectivement préjudiciable.
Ce dispositif s’inspire du mécanisme de l’in camera procedure, connu en droit de la concurrence et dans le contentieux des droits de la défense, et adapte ce mécanisme au droit de la protection des données. Il présente l’avantage de ne pas laisser le responsable du traitement juge de ses propres obligations, tout en permettant une protection effective des secrets légitimes.
VI.
L’inconstitutionnalité de l’exclusion législative autrichienne
Le volet le plus directement opérationnel de l’arrêt concerne la compatibilité de l’article 4, paragraphe 6, du DSG autrichien avec le RGPD. Cette disposition établissait une règle d’exclusion de principe du droit d’accès au motif de la protection du secret d’affaires, laissant toutefois au responsable du traitement la charge de démontrer l’existence d’un tel secret. La Cour invalide cette approche avec une clarté sans ambiguïté.
Le principe posé est que le RGPD impose une mise en balance au cas par cas des droits et intérêts en présence. Or une disposition nationale qui exclut, « en principe », le droit d’accès lorsque cet accès compromettrait un secret d’affaires, prescrit de manière préventive le résultat de cette pondération, en dérogeant ainsi au mécanisme que le droit de l’Union impose. Selon la jurisprudence constante de la Cour, notamment l’arrêt SCHUFA Holding e.a. Scoring (C-634/21, point 70), « un État membre ne saurait prescrire de manière définitive le résultat d’une pondération au cas par cas des droits et des intérêts en cause imposée par le droit de l’Union ». L’article 4, paragraphe 6, du DSG est donc contraire au RGPD dans la mesure où il neutralise par avance le droit d’accès sans permettre l’appréciation individualisée que ce règlement exige.
Cette censure porte une signification qui transcende le seul droit autrichien. Elle affirme que le RGPD impose aux États membres non seulement de ne pas adopter des normes qui videraient substantiellement de leur contenu les droits qu’il consacre, mais encore de ne pas établir des régimes de présomption défavorable à ces droits. Toute disposition nationale qui instaure une règle générale d’exclusion ou de restriction du droit d’accès au profilage, fondée sur une exception définie par avance, sans examen au cas par cas, est par nature incompatible avec le RGPD.
VII.
L’articulation avec l’article 22 et la portée fonctionnelle du droit d’accès
Un aspect important de l’arrêt concerne la relation fonctionnelle entre le droit d’accès de l’article 15, paragraphe 1, sous h), et les droits de contestation de l’article 22, paragraphe 3, du RGPD. La juridiction de renvoi avait posé la question de savoir si les deux droits sont liés par un rapport tel que les informations fournies ne seraient « suffisamment utiles » que si elles permettent à la personne concernée d’exercer de manière effective et approfondie les droits de l’article 22, paragraphe 3.
La Cour répond par l’affirmative, en affirmant que le droit à l’explication de la logique sous-jacente doit être compris de manière fonctionnelle : les informations communiquées doivent permettre à la personne concernée d’exercer effectivement ses droits. Cette réponse consacre une conception instrumentale du droit d’accès — il n’est pas une fin en soi, mais un vecteur de l’effectivité des autres droits reconnus par le RGPD. Ce lien fonctionnel entre l’article 15, paragraphe 1, sous h), et l’article 22, paragraphe 3, élargit substantiellement le contenu des informations exigibles : celles-ci doivent être suffisamment complètes pour que la personne concernée soit réellement en mesure de comprendre, contester et, le cas échéant, obtenir révision de la décision automatisée qui la concerne.
VIII.
La portée du dispositif : un double attendu de principe
Le dispositif de l’arrêt articule deux points de droit distincts mais complémentaires.
Le premier point dispose que l’article 15, paragraphe 1, sous h), du RGPD doit être interprété en ce sens que, en cas de prise de décision automatisée, y compris un profilage au sens de l’article 22, paragraphe 1, la personne concernée peut exiger du responsable du traitement qu’il lui explique, au moyen d’informations pertinentes et d’une façon concise, transparente, compréhensible et aisément accessible, la procédure et les principes concrètement appliqués pour exploiter, par la voie automatisée, les données à caractère personnel relatives à cette personne aux fins d’en obtenir un résultat déterminé, tel un profil de solvabilité.
Le second point dispose que, dans l’hypothèse où le responsable du traitement considère que les informations à fournir à la personne concernée comportent des données de tiers protégées par le RGPD ou des secrets d’affaires au sens de la Directive 2016/943, ce responsable est tenu de communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès de la personne concernée prévu à l’article 15 du RGPD.
Ce double attendu construit une architecture normative cohérente : transparence maximale en régime de principe, médiation institutionnelle en régime d’exception. Le responsable du traitement ne peut se retrancher derrière ses secrets pour opposer un refus total : il doit soumettre la question au tiers garant que constitue l’autorité de contrôle ou le juge.
IX.
Positionnement dans la jurisprudence de la Cour
L’arrêt C-203/22 s’inscrit dans une ligne jurisprudentielle en construction rapide, dont les jalons essentiels sont l’arrêt SCHUFA Holding e.a. Scoring (C-634/21, 7 décembre 2023), qui avait posé le principe selon lequel un score de crédit établi par une agence constitue une prise de décision automatisée au sens de l’article 22, paragraphe 1, du RGPD lorsqu’un tiers est déterminant dans la décision finale. L’arrêt C-203/22 prolonge cet arrêt en précisant le contenu de l’obligation d’information corrélative, et en dégageant la procédure à suivre en cas de conflit avec des intérêts concurrents.
La Cour mobilise également la jurisprudence relative à l’article 5, paragraphe 2, du RGPD (principe d’accountability), rappelant que la charge de la preuve que les données sont traitées conformément au règlement pèse sur le responsable du traitement. Cette inversion de la charge probatoire renforce l’obligation de transparence : c’est au responsable du traitement de démontrer, devant l’autorité compétente, que les informations qu’il refuse de communiquer relèvent effectivement d’un secret légitime, et non à la personne concernée d’établir l’absence de secret.
X.
Analyse critique
L’arrêt C-203/22 présente une ambition normative indéniable, mais soulève également des questions opérationnelles que la doctrine ne manquera pas de soulever.
La notion même de « procédure et principes concrètement appliqués » est susceptible d’interprétations divergentes selon les opérateurs. Pour une entreprise comme D&B, dont les modèles de scoring constituent des actifs commerciaux de première importance, l’obligation de description concrète du processus algorithmique pour chaque demande individuelle représente une charge opérationnelle et un risque de dévoilement potentiellement significatifs. La Cour a certes ménagé la voie de la médiation institutionnelle, mais cette voie suppose que les autorités de contrôle disposent des ressources et des compétences techniques nécessaires pour évaluer des modèles algorithmiques complexes. L’effectivité du droit d’accès est donc tributaire de la capacité des autorités de contrôle à exercer une expertise technique de haut niveau.
Par ailleurs, la Cour n’a pas tranché la question de savoir si l’obligation d’information au titre de l’article 15, paragraphe 1, sous h), impose la communication de l’algorithme lui-même, ou seulement de ses paramètres essentiels et de leur incidence sur le résultat. Cette indétermination laisse une marge d’appréciation aux juridictions nationales et aux autorités de contrôle, qui devront préciser au cas par cas ce que recouvre concrètement l’obligation d’explication.
Enfin, la procédure de soumission à l’autorité de contrôle ou au juge imposée au responsable du traitement soulève des questions procédurales non résolues : dans quel délai doit-il soumettre les informations ? Quelle procédure l’autorité ou le juge doit-il suivre ? Ces questions pratiques, non résolues par l’arrêt, appelleront des développements jurisprudentiels et réglementaires ultérieurs.
POINTS ESSENTIELS
26.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats