CJUE | ARRÊT DU 27 FÉVRIER 2025 | C-203/22 | DUN & BRADSTREET AUSTRIA │
ALGORITHME DE SCORING, ACCÈS AUX DONNÉES DE PROFILAGE, SECRET DES AFFAIRES
LA CJUE CONSIDÈRE QUE VOUS AVEZ DROIT À UNE EXPLICATION CLAIRE SUR L’UTILISATION DE VOS DONNÉES, ET PAS UNIQUEMENT À UNE FORMULE MATHÉMATIQUE INCOMPRÉHENSIBLE.
ÉVALUATION DE CRÉDIT AUTOMATISÉE : LA PERSONNE CONCERNÉE A DROIT À CE QU’ON LUI EXPLIQUE COMMENT LA DÉCISION A ÉTÉ PRISE À SON ÉGARD
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
TABLEAU RÉCAPITULATIF DE LA JURISPRUDENCE CITÉE
| N° | Référence | ECLI | Date | Objet / Matière | §§ C-203/22 | Extrait verbatim de l’arrêt |
|---|---|---|---|---|---|---|
| 1 | SCHUFA Holding e.a. (Scoring), C-634/21 | EU:C:2023:957 | 7 déc. 2023 | RGPD – Art. 15 § 1 h) – Prise de décision automatisée – Profilage – Scoring crédit – Décision automatisée au sens de l’art. 22 RGPD – Art. 6 § 1 – Licéité du traitement | §§ 34, 35, 36, 46, 56, 66 ; Footnotes 1 et 7 du communiqué | § 46 : « le droit d’accès à de telles informations consacré à l’article 15, §1, sous h), [du RGPD] forme un ensemble avec les obligations d’information supplémentaires qui s’imposent au responsable du traitement en vertu de cet article 13, §2, sous f), et de cet article 14, §2, sous g) » // § 56 : « si les personnes affectées par une décision automatisée, y compris un profilage, n’étaient pas en mesure de comprendre les raisons ayant conduit à cette décision avant d’exprimer leur point de vue ou de contester celle-ci, ces droits ne sauraient, partant, pleinement remplir leur finalité de protéger ces personnes contre les risques particuliers » |
| 2 | Österreichische Datenschutzbehörde et CRIF, C-487/21 | EU:C:2023:369 | 4 mai 2023 | RGPD – Art. 15 – Droit d’accès – Obligation de transparence (art. 12 § 1) – Destinataires des données – Finalité du droit d’accès – Droits connexes (art. 16, 17, 18, 21, 79, 82) | §§ 39, 49, 52, 53, 54 | § 39 : « afin d’interpréter une disposition du droit de l’Union, il convient de tenir compte non seulement des termes de celle-ci, mais également de son contexte et des objectifs poursuivis par la réglementation dont elle fait partie » // § 49 : « l’article 12, §1, oblige [le responsable du traitement] à prendre des mesures appropriées notamment pour fournir à la personne concernée ces données et informations d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » |
| 3 | FT (Copies du dossier médical), C-307/22 | EU:C:2023:811 | 26 oct. 2023 | RGPD – Art. 15 § 1 – Droit d’accès – Copie de données – Finalité du droit d’accès – Exactitude et licéité du traitement – Mise en balance avec les droits d’autrui | §§ 53, 68 | § 53 : « ce droit [d’accès] doit permettre à la personne concernée de s’assurer que les données à caractère personnel la concernant sont exactes et qu’elles sont traitées de manière licite » // § 68 : « le RGPD respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte » |
| 4 | Norra Stockholm Bygg, C-268/21 | EU:C:2023:145 | 2 mars 2023 | RGPD – Art. 5 et 6 – Protection des données dans une procédure civile – Production de preuves – Données à caractère personnel de tiers – Pondération des intérêts – Art. 47 Charte – Droit à un recours effectif | § 73 (renvoi au § 58 de cet arrêt) ; Footnote 6 du communiqué | « une juridiction nationale peut estimer que des données à caractère personnel des parties ou de tiers doivent lui être communiquées afin de pouvoir pondérer, en toute connaissance de cause et dans le respect du principe de proportionnalité, les intérêts en présence. Cette appréciation peut, le cas échéant, la conduire à autoriser la divulgation complète ou partielle à la partie adverse des données à caractère personnel qui lui ont ainsi été communiquées, si elle considère qu’une telle divulgation ne va pas au-delà de ce qui est nécessaire aux fins de garantir la jouissance effective des droits que les justiciables tirent de l’article 47 de la Charte » |
| 5 | Schrems (Communication de données au grand public), C-446/21 | EU:C:2024:834 | 4 oct. 2024 | RGPD – Art. 9 § 1 – Données sensibles – Traitement à des fins publicitaires – Orientation sexuelle – Principe de minimisation des données – Objectif de protection du RGPD | § 51 | « l’objectif de ce règlement consiste, notamment, à garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, en particulier de leur droit à la protection des données personnelles, consacré à l’article 16 TFUE et garanti en tant que droit fondamental à l’article 8 de la Charte » |
| 6 | Másdi, C-169/23 | EU:C:2024:988 | 28 nov. 2024 | RGPD – Art. 14 – Informations à fournir lorsque les données n’ont pas été collectées auprès de la personne concernée – Données générées par le responsable du traitement | § 64 | « les données à caractère personnel générées par le responsable du traitement lui-même relèvent de l’article 14 du RGPD » |
| 7 | Österreichische Post (Informations relatives aux destinataires), C-154/21 | EU:C:2022:452 | 12 janv. 2023 | RGPD – Art. 15 § 1 sous e) – Droit d’accès – Identité des destinataires – Étendue de l’obligation d’information | Mentionné dans les observations des parties (CK/partie intervenante) | Principle de l’effet utile : « lorsqu’une disposition du droit de l’Union est susceptible de faire l’objet de plusieurs interprétations, il convient de privilégier celle qui est de nature à sauvegarder son effet utile » |
NOTES SUR LES TEXTES NON JURISPRUDENTIELS CITÉS
LIGNES DIRECTRICES DU GROUPE DE TRAVAIL « ARTICLE 29 » (WP 251 REV.01)
Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679, version révisée et adoptée le 6 février 2018 (devenues lignes directrices du CEPD). Citées aux §§ 45, 60 de l’arrêt.
—-§ 45 : « pour être utiles et compréhensibles, [les informations relatives à l’importance et aux conséquences prévues du traitement] devraient être assorties d‘“exemples réels et tangibles” »
—-§ 60 : « le RGPD exige que ledit responsable fournisse des informations utiles sur la logique sous-jacente à cette décision, “mais pas nécessairement une explication complexe des algorithmes utilisés ou la divulgation de l’algorithme complet” » (p. 28 des lignes directrices)
CONSIDÉRANTS DU RGPD INVOQUÉS
—-Considérant 4 (§ 68) : non-absolutisme du droit à la protection des données — mise en balance avec les droits fondamentaux
—-Considérant 11 (§ 52) : finalité de renforcement des droits des personnes concernées
—-Considérant 58 (§§ 5, 48-50) : principe de transparence — informations concises, aisément accessibles, formulées en termes clairs
—-Considérant 63 (§ 69) : droit d’accès — limite tirée du secret des affaires et des droits d’autrui
—-Considérant 71 (§ 57) : droit à l’explication en cas de décision automatisée — garanties appropriées
DISPOSITIONS DU RGPD DIRECTEMENT INTERPRÉTÉES OU APPLIQUÉES
| Disposition | Objet | §§ de l’arrêt |
|---|---|---|
| Art. 4, point 4 | Définition du profilage | §§ 4, 43 |
| Art. 12 § 1 | Obligation de transparence | §§ 5, 48-50, 58 |
| Art. 13 § 2 f) | Information lors de la collecte — décision automatisée | §§ 6, 46 |
| Art. 14 § 2 g) | Information sans collecte directe — décision automatisée | §§ 6, 46, 64 |
| Art. 15 § 1 h) | Droit d’accès — logique sous-jacente | §§ 7, 38-66, 67-82, dispositif |
| Art. 15 § 3 | Droit à une copie | §§ 7, 47 |
| Art. 15 § 4 | Limite — droits et libertés d’autrui | §§ 7, 68-71, questions 5 et 6 |
| Art. 22 §§ 1-4 | Décision individuelle automatisée | §§ 8, 55-56, 66, dispositif |
| Art. 23 § 1 i) | Limitation par l’État membre — protection des droits d’autrui | §§ 9, 70 |
| Art. 54 § 2 | Secret professionnel des agents de l’autorité de contrôle | § 10 |
| Art. 58 § 1 e) | Pouvoirs d’enquête de l’autorité de contrôle | § 11 |
DIRECTIVE 2016/943 (SECRETS D’AFFAIRES)
| Disposition | Objet | §§ de l’arrêt |
|---|---|---|
| Considérant 35 | Non-incidence sur les droits RGPD | § 12 |
| Art. 2 point 1 | Définition du secret d’affaires (trois conditions cumulatives) | §§ 13, 67-82, dispositif pt 2 |
| Art. 9 | Protection du secret en cours de procédure judiciaire | §§ 14, 31 |
POINTS ESSENTIELS
Rendu le 27 février 2025 par la première chambre de la Cour de justice sur renvoi préjudiciel du Verwaltungsgericht Wien (Autriche), l’arrêt C-203/22 Dun & Bradstreet Austria répond à six questions d’une densité technique exceptionnelle nées d’un litige opposant la personne physique CK à la société D & B, spécialisée dans le scoring de solvabilité automatisé : CK s’était vu refuser un contrat de téléphonie mobile à dix euros par mois à la suite d’une évaluation automatisée défavorable fondée sur des données la concernant, alors même que les informations qui lui avaient été communiquées faisaient état d’une très bonne solvabilité — contradiction au cœur du litige qui illustre les dérives de l’opacité algorithmique que l’arrêt entend précisément réduire.
Sur la première branche, la Cour tranche la question longtemps débattue du contenu matériel des « informations utiles concernant la logique sous-jacente » au sens de l’article 15, §1, sous h), du RGPD : procédant d’abord par une analyse plurilingue qui révèle la complémentarité des acceptions (fonctionnalité, pertinence, intelligibilité, qualité) et suivant explicitement l’avocat général Richard de la Tour en ses points 65 et 67, la Cour consacre un droit à l’explication de la « procédure et des principes concrètement appliqués » pour obtenir un résultat automatisé, explication qui doit être fournie « au moyen d’informations pertinentes et d’une façon concise, transparente, compréhensible et aisément accessible » (§§ 41-62), sans que la complexité technique d’un algorithme puisse libérer le responsable du traitement de ce devoir d’explication (§ 61), et en précisant à titre illustratif qu’une analyse contrefactuelle — informer la personne concernée de la mesure dans laquelle une variation de ses données aurait conduit à un résultat différent — peut constituer une modalité d’explication suffisante (§ 62) ; la Cour écarte en revanche les deux extrêmes symétriquement inopérants que sont la divulgation de la formule mathématique brute et la description technique exhaustive de toutes les étapes du traitement (§ 59), et opère une distinction analytique essentielle entre les informations sur la logique sous-jacente relevant du point h) et le droit à la vérification de l’exactitude des données relevant de la phrase introductive du même article 15, §1 (§ 63).
Sur la seconde branche, d’une portée procédurale tout aussi déterminante, la Cour transpose au contentieux du droit d’accès RGPD le mécanisme de pondération judiciaire ou administrative issu de l’arrêt Norra Stockholm Bygg (C-268/21, § 58) : lorsque le responsable du traitement prétend que les informations à fournir comportent des secrets d’affaires au sens de l’article 2, point 1, de la directive 2016/943 ou des données de tiers protégées par le RGPD, il est tenu de les communiquer — non à la personne concernée, mais à l’autorité de contrôle ou à la juridiction compétentes — auxquelles il incombe ensuite de pondérer in concreto les droits et intérêts en cause pour déterminer l’étendue du droit d’accès (dispositif, point 2), mécanisme qui instaure de facto une procédure de chambre noire propre au contentieux de la protection des données et qui invalide définitivement toute exclusion automatique et absolue du droit d’accès fondée sur la seule invocation du secret d’affaires ; la Cour juge à cet égard incompatible avec le RGPD l’article 4, §6, du Datenschutzgesetz autrichien qui organisait précisément une telle exclusion de principe, au motif qu’« un État membre ne saurait prescrire de manière définitive le résultat d’une pondération au cas par cas des droits et des intérêts en cause imposé par le droit de l’Union » (C-634/21, § 70).
Par sa double contribution — définition positive du droit à l’explication et mécanisme de résolution des conflits avec les secrets d’affaires — l’arrêt Dun & Bradstreet Austria constitue, avec SCHUFA Holding (C-634/21), le second pilier d’un corpus jurisprudentiel en cours de formation sur la gouvernance algorithmique par le droit de la protection des données, dont la portée dépasse le seul secteur du scoring de crédit pour irriguer l’ensemble des industries du profilage automatisé, tout en entrant en résonance directe avec les obligations d’explicabilité et de transparence imposées par le Règlement (UE) 2024/1689 sur l’intelligence artificielle pour les systèmes d’IA à haut risque.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats