CJUE | ARRÊT DU 27 FÉVRIER 2025 | C-203/22 | DUN & BRADSTREET AUSTRIA │
ALGORITHME DE SCORING, ACCÈS AUX DONNÉES DE PROFILAGE, SECRET DES AFFAIRES
LA CJUE CONSIDÈRE QUE VOUS AVEZ DROIT À UNE EXPLICATION CLAIRE SUR L’UTILISATION DE VOS DONNÉES, ET PAS UNIQUEMENT À UNE FORMULE MATHÉMATIQUE INCOMPRÉHENSIBLE.
ÉVALUATION DE CRÉDIT AUTOMATISÉE : LA PERSONNE CONCERNÉE A DROIT À CE QU’ON LUI EXPLIQUE COMMENT LA DÉCISION A ÉTÉ PRISE À SON ÉGARD
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
CONSEILS AUX RESPONSABLES DE TRAITEMENT
1. REFONDRE LES POLITIQUES D’INFORMATION SUR LES DÉCISIONS AUTOMATISÉES
L’arrêt C-203/22 impose au responsable du traitement une obligation d’explication matériellement substantielle, non remplie par la seule mention de l’existence d’un traitement automatisé ni par la communication d’un résultat de scoring non motivé. Il convient en conséquence de réviser immédiatement tous les documents d’information précontractuelle et contractuelle (mentions légales, politiques de confidentialité, notices d’information) pour y intégrer, en des termes « concis, transparents, compréhensibles et aisément accessibles » (art. 12 § 1 RGPD), une description de la procédure et des principes concrètement appliqués dans tout mécanisme de décision automatisée incluant du profilage.
Cette description doit permettre à la personne concernée de comprendre :
—-quelles données la concernant ont été utilisées ;
—-de quelle manière ces données ont influencé le résultat produit ;
—-dans quelle mesure une variation des données d’entrée aurait conduit à un résultat différent (analyse contrefactuelle).
Il est en revanche inutile — et potentiellement contra-productif — de divulguer l’algorithme brut ou de fournir une description technique exhaustive de toutes les étapes de la décision, ce que la Cour exclut expressément (§ 59).
2. METTRE EN PLACE UNE PROCÉDURE DE RÉPONSE AUX DEMANDES D’ACCÈS RELATIVES À LA LOGIQUE SOUS-JACENTE
Les responsables du traitement qui recourent à des systèmes de décision automatisée doivent se doter d’une procédure interne dédiée permettant de répondre dans les délais réglementaires (un mois, prorogeable à trois mois selon la complexité, en application de l’art. 12 §§ 3-4 RGPD) aux demandes d’accès fondées sur l’article 15, §1, sous h), du RGPD. Cette procédure doit :
—-identifier les catégories d’informations permettant de satisfaire à l’obligation d’explication (données utilisées, facteurs d’évaluation, pondération de ces facteurs) ;
—-préparer des modèles d’explication intelligibles pour les personnes non-techniciennes ;
—-prévoir la consultation du DPO avant toute décision de refus ou de limitation fondée sur un prétendu secret d’affaires.
3. RENONCER À L’INVOCATION SYSTÉMATIQUE DU SECRET D’AFFAIRES COMME BOUCLIER ABSOLU
L’arrêt invalide définitivement la stratégie consistant à opposer le secret d’affaires comme motif de refus absolu et automatique à toute demande d’accès portant sur la logique sous-jacente d’un traitement automatisé. La Cour précise que l’invocation du secret d’affaires (ou de la protection des données de tiers) ne libère pas le responsable du traitement de son obligation, mais déclenche une obligation différente : celle de communiquer les informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétente (dispositif, point 2).
En pratique, les responsables du traitement doivent :
—-documenter avec précision les informations qui constituent effectivement des secrets d’affaires au sens des trois conditions cumulatives de l’article 2, point 1, de la directive 2016/943 (caractère secret, valeur commerciale, mesures raisonnables de protection) ;
—-préparer une version compartimentée de la documentation relative aux mécanismes de profilage, distinguant les éléments communicables directement à la personne concernée et ceux qui doivent être soumis à l’appréciation de l’autorité ou de la juridiction ;
—-ne jamais invoquer le secret d’affaires de manière indifférenciée pour s’opposer à toute communication, sous peine d’exposer l’entreprise à des sanctions pour violation des articles 15 et 22 du RGPD.
4. VÉRIFIER LA CONFORMITÉ DU DROIT NATIONAL APPLICABLE
Les responsables du traitement établis en Autriche — ou dans tout autre État membre dont la législation nationale comporte une exclusion automatique du droit d’accès fondée sur la seule invocation d’un secret d’affaires — doivent prendre acte de l’incompatibilité de ces dispositions avec le droit de l’Union telle qu’affirmée par la Cour. Ils ne peuvent plus se prévaloir de telles exclusions nationales pour refuser l’accès. La même vigilance s’impose à l’égard des autorités de contrôle, dont les décisions devront désormais intégrer le mécanisme de pondération judiciaire ou administrative consacré par l’arrêt.
5. ANTICIPER LES OBLIGATIONS DÉCOULANT DU RÈGLEMENT SUR L’IA (AI ACT)
L’obligation d’explication consacrée par l’arrêt doit être lue en articulation avec les exigences de transparence posées par le Règlement (UE) 2024/1689 sur l’intelligence artificielle (AI Act) pour les systèmes d’IA à haut risque (notamment les systèmes d’évaluation de solvabilité, visés à l’Annexe III, section 5, point b). Les responsables du traitement qui déploient des systèmes d’IA dans ces domaines doivent anticiper une convergence des exigences : l’obligation d’explicabilité du RGPD (art. 15 § 1 h)) et les obligations de documentation et de transparence de l’AI Act se superposent et se renforcent mutuellement.
CONSEILS AUX PERSONNES CONCERNÉES
1. EXERCER LE DROIT D’ACCÈS DE MANIÈRE PRÉCISE ET DOCUMENTÉE
Toute personne ayant fait l’objet d’une décision automatisée significative — refus de crédit, refus de contrat, évaluation défavorable de solvabilité — dispose du droit d’obtenir des informations utiles sur la logique sous-jacente au titre de l’article 15, §1, sous h), du RGPD. L’arrêt Dun & Bradstreet Austria précise que ces informations doivent lui permettre de comprendre quelles données la concernant ont été utilisées et de quelle manière, y compris dans quelle mesure une variation de ces données aurait conduit à un résultat différent.
La demande d’accès doit être formulée par écrit, en précisant expressément :
—-qu’elle est fondée sur l’article 15, §1, sous h), du RGPD ;
—-qu’elle porte sur la logique sous-jacente à la prise de décision automatisée dont la personne a fait l’objet ;
—-la date approximative de la décision contestée et le résultat qui lui a été communiqué.
Il est recommandé de conserver une copie de la demande et de la réponse (ou de l’absence de réponse) aux fins de tout recours ultérieur.
2. CONTESTER LE REFUS FONDÉ SUR UN SECRET D’AFFAIRES
L’argument du secret d’affaires ne peut désormais plus justifier un refus absolu et définitif. Si le responsable du traitement refuse de communiquer les informations relatives à la logique sous-jacente en invoquant ce motif, la personne concernée est en droit de :
—-saisir l’autorité de contrôle nationale (en France, la CNIL ; en Autriche, la Datenschutzbehörde) d’une réclamation fondée sur l’article 77 du RGPD ;
—-demander à l’autorité ou à la juridiction d’exercer son pouvoir de pondération tel que consacré par la Cour — c’est-à-dire d’exiger que le responsable du traitement lui communique les informations prétendument protégées aux fins de vérification et de pondération in concreto ;
—-saisir la juridiction compétente d’un recours direct fondé sur l’article 79 du RGPD pour obtenir l’exécution forcée de l’obligation d’information.
3. FAIRE VALOIR LE DROIT DE CONTESTER LA DÉCISION AUTOMATISÉE (ART. 22 § 3 RGPD)
L’arrêt consacre le lien fonctionnel entre le droit à l’explication et le droit de contester la décision automatisée. Une fois en possession des informations utiles sur la logique sous-jacente, la personne concernée peut exercer les droits garantis par l’article 22, §3, du RGPD :
—-exprimer son point de vue sur la décision dont elle a fait l’objet ;
—-contester la décision si elle estime que les données utilisées sont inexactes, que la pondération des facteurs est incorrecte ou que la décision méconnaît d’autres droits ;
—-demander une intervention humaine de la part du responsable du traitement.
L’exercice de ces droits est d’autant plus efficace que les informations obtenues au titre de l’article 15, §1, sous h), sont suffisamment détaillées pour permettre une vérification concrète de la cohérence et de l’exactitude de la décision — ce que l’arrêt place précisément au cœur de l’obligation d’explication.
4. EXERCER LES DROITS DE RECTIFICATION ET D’EFFACEMENT EN CAS D’INEXACTITUDE
Si les informations communiquées font apparaître que la décision automatisée est fondée sur des données inexactes ou incomplètes, la personne concernée peut invoquer concomitamment :
—-l’article 16 RGPD (droit de rectification) pour demander la correction des données erronées ;
—-l’article 17 RGPD (droit à l’effacement) si les données ne sont plus nécessaires ou ont été collectées illicitement ;
—-l’article 18 RGPD (droit à la limitation du traitement) pour bloquer l’utilisation des données contestées le temps que le litige soit résolu.
5. ENGAGER LA RESPONSABILITÉ DU RESPONSABLE DU TRAITEMENT EN CAS DE PRÉJUDICE
Toute violation de l’obligation d’information prévue à l’article 15, §1, sous h), du RGPD constitue une violation du RGPD ouvrant droit, en cas de préjudice, à réparation sur le fondement de l’article 82 du RGPD. La personne concernée qui a subi un préjudice — notamment le refus injustifié d’un contrat — peut demander la réparation de son dommage matériel et/ou moral devant la juridiction compétente. Il lui appartient d’établir le lien de causalité entre la violation de l’obligation d’information et le préjudice subi.
POINTS ESSENTIELS
Rendu le 27 février 2025 par la première chambre de la Cour de justice sur renvoi préjudiciel du Verwaltungsgericht Wien (Autriche), l’arrêt C-203/22 Dun & Bradstreet Austria répond à six questions d’une densité technique exceptionnelle nées d’un litige opposant la personne physique CK à la société D & B, spécialisée dans le scoring de solvabilité automatisé : CK s’était vu refuser un contrat de téléphonie mobile à dix euros par mois à la suite d’une évaluation automatisée défavorable fondée sur des données la concernant, alors même que les informations qui lui avaient été communiquées faisaient état d’une très bonne solvabilité — contradiction au cœur du litige qui illustre les dérives de l’opacité algorithmique que l’arrêt entend précisément réduire.
Sur la première branche, la Cour tranche la question longtemps débattue du contenu matériel des « informations utiles concernant la logique sous-jacente » au sens de l’article 15, §1, sous h), du RGPD : procédant d’abord par une analyse plurilingue qui révèle la complémentarité des acceptions (fonctionnalité, pertinence, intelligibilité, qualité) et suivant explicitement l’avocat général Richard de la Tour en ses points 65 et 67, la Cour consacre un droit à l’explication de la « procédure et des principes concrètement appliqués » pour obtenir un résultat automatisé, explication qui doit être fournie « au moyen d’informations pertinentes et d’une façon concise, transparente, compréhensible et aisément accessible » (§§ 41-62), sans que la complexité technique d’un algorithme puisse libérer le responsable du traitement de ce devoir d’explication (§ 61), et en précisant à titre illustratif qu’une analyse contrefactuelle — informer la personne concernée de la mesure dans laquelle une variation de ses données aurait conduit à un résultat différent — peut constituer une modalité d’explication suffisante (§ 62) ; la Cour écarte en revanche les deux extrêmes symétriquement inopérants que sont la divulgation de la formule mathématique brute et la description technique exhaustive de toutes les étapes du traitement (§ 59), et opère une distinction analytique essentielle entre les informations sur la logique sous-jacente relevant du point h) et le droit à la vérification de l’exactitude des données relevant de la phrase introductive du même article 15, §1 (§ 63).
Sur la seconde branche, d’une portée procédurale tout aussi déterminante, la Cour transpose au contentieux du droit d’accès RGPD le mécanisme de pondération judiciaire ou administrative issu de l’arrêt Norra Stockholm Bygg (C-268/21, § 58) : lorsque le responsable du traitement prétend que les informations à fournir comportent des secrets d’affaires au sens de l’article 2, point 1, de la directive 2016/943 ou des données de tiers protégées par le RGPD, il est tenu de les communiquer — non à la personne concernée, mais à l’autorité de contrôle ou à la juridiction compétentes — auxquelles il incombe ensuite de pondérer in concreto les droits et intérêts en cause pour déterminer l’étendue du droit d’accès (dispositif, point 2), mécanisme qui instaure de facto une procédure de chambre noire propre au contentieux de la protection des données et qui invalide définitivement toute exclusion automatique et absolue du droit d’accès fondée sur la seule invocation du secret d’affaires ; la Cour juge à cet égard incompatible avec le RGPD l’article 4, §6, du Datenschutzgesetz autrichien qui organisait précisément une telle exclusion de principe, au motif qu’« un État membre ne saurait prescrire de manière définitive le résultat d’une pondération au cas par cas des droits et des intérêts en cause imposé par le droit de l’Union » (C-634/21, § 70).
Par sa double contribution — définition positive du droit à l’explication et mécanisme de résolution des conflits avec les secrets d’affaires — l’arrêt Dun & Bradstreet Austria constitue, avec SCHUFA Holding (C-634/21), le second pilier d’un corpus jurisprudentiel en cours de formation sur la gouvernance algorithmique par le droit de la protection des données, dont la portée dépasse le seul secteur du scoring de crédit pour irriguer l’ensemble des industries du profilage automatisé, tout en entrant en résonance directe avec les obligations d’explicabilité et de transparence imposées par le Règlement (UE) 2024/1689 sur l’intelligence artificielle pour les systèmes d’IA à haut risque.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats