CJUE | ARRÊT DU 27 FÉVRIER 2025 | C-203/22 | DUN & BRADSTREET AUSTRIA │
ALGORITHME DE SCORING, ACCÈS AUX DONNÉES DE PROFILAGE, SECRET DES AFFAIRES
LA CJUE CONSIDÈRE QUE VOUS AVEZ DROIT À UNE EXPLICATION CLAIRE SUR L’UTILISATION DE VOS DONNÉES, ET PAS UNIQUEMENT À UNE FORMULE MATHÉMATIQUE INCOMPRÉHENSIBLE.
ÉVALUATION DE CRÉDIT AUTOMATISÉE : LA PERSONNE CONCERNÉE A DROIT À CE QU’ON LUI EXPLIQUE COMMENT LA DÉCISION A ÉTÉ PRISE À SON ÉGARD
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
MÉTHODE D’INTERPRÉTATION ET RESTRUCTURATION DES QUESTIONS
La Cour procède à une jonction analytique des questions posées en deux groupes distincts : d’une part, les première et deuxième questions ainsi que la troisième question, sous a), qui portent toutes sur le contenu matériel des « informations utiles concernant la logique sous-jacente » au sens de l’article 15, §1, sous h), du RGPD (§ 38) ; d’autre part, les troisième question, sous b) et c), quatrième question, sous a) et b), et cinquième et sixième questions, qui concernent le mécanisme de résolution des conflits entre le droit d’accès et les droits de tiers ou les secrets d’affaires (§ 67).
Fidèle à sa jurisprudence constante, elle rappelle d’emblée que « pour interpréter une disposition du droit de l’Union, il convient de tenir compte non seulement des termes de celle-ci, mais également de son contexte et des objectifs poursuivis par la réglementation dont elle fait partie » (§ 39, renvoyant à l’arrêt Österreichische Datenschutzbehörde et CRIF, C-487/21, EU:C:2023:369, § 19).
SUR LE CONTENU DES « INFORMATIONS UTILES CONCERNANT LA LOGIQUE SOUS-JACENTE » (QUESTIONS 1, 2 ET 3A)
PLURALITÉ ET COMPLÉMENTARITÉ DES VERSIONS LINGUISTIQUES
La Cour relève, dès l’abord, que les différentes versions linguistiques de l’article 15, §1, sous h), du RGPD emploient des termes qui, s’ils divergent en apparence, se révèlent complémentaires :
« certaines [versions] privilégiant, à l’instar de la version en langue française, la fonctionnalité (“nuttige” en langue néerlandaise, “úteis” en langue portugaise) ou la pertinence (“pertinente” en langue roumaine) des informations à fournir, alors que d’autres insistent davantage sur l’importance de celles-ci (“significativa” en langue espagnole et “istotne” en langue polonaise). Enfin, tant dans la version en langue allemande que dans celle en langue anglaise de ladite disposition, le terme retenu (respectivement, “aussagekräftig” et “meaningful”) peut être compris aussi bien comme faisant référence à la bonne intelligibilité desdites informations que comme se rapportant à une certaine qualité de celles-ci. » (§ 40)
La Cour conclut de cette pluralité, suivant en cela M. l’avocat général au point 65 de ses conclusions, que cette diversité d’acceptions « doit être comprise dans le sens d’une complémentarité des significations » et que la notion d’« informations utiles concernant la logique sous-jacente » vise « toute information pertinente relative à la procédure et aux principes d’exploitation, par la voie automatisée, de données à caractère personnel aux fins d’en obtenir un résultat déterminé » (§§ 41-43).
La référence à la « logique sous-jacente », ajoute la Cour, est susceptible de couvrir un large éventail de logiques d’exploitation de données et d’autres données. Cette interprétation est corroborée par les versions tchèque (« postupu » = procédure) et polonaise (« zasady » = principes) (§ 42).
LE PRINCIPE DE TRANSPARENCE COMME STANDARD D’INTELLIGIBILITÉ
L’interprétation littérale est confirmée par l’analyse contextuelle. La Cour souligne, d’abord, que les « informations utiles concernant la logique sous-jacente » ne constituent qu’une partie des informations prévues à l’article 15, §1, sous h), le même article prévoyant également des informations relatives à l’importance et aux conséquences prévues du traitement pour la personne concernée (§ 44). Elle rappelle ensuite, en se référant aux Lignes directrices du Groupe de travail « Article 29 » sur la prise de décision individuelle automatisée et le profilage (version révisée du 6 février 2018), que ces informations doivent être assorties d’« exemples réels et tangibles » pour être utiles et compréhensibles (§ 45).
La Cour rappelle également, en s’appuyant sur l’arrêt SCHUFA Holding e.a. (Scoring) (C-634/21, § 56), que le droit d’accès aux informations sur la logique sous-jacente prévu à l’article 15, §1, sous h), du RGPD « forme un ensemble avec les obligations d’information supplémentaires qui s’imposent au responsable du traitement en vertu de [l’article 13, §2, sous f), et de l’article 14, §2, sous g)] » (§ 46).
Suivant la jurisprudence Österreichische Datenschutzbehörde et CRIF (C-487/21, § 38), la Cour rappelle que l’article 12, §1, du RGPD oblige le responsable du traitement à fournir les données et informations « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » (§§ 48-50). Cette obligation de transparence s’applique à toutes les informations visées à l’article 15, y compris celles relatives à la prise de décision automatisée (§ 48).
LE DROIT À L’EXPLICATION COMME GARANTIE FONCTIONNELLE
La Cour rappelle que l’objectif du RGPD consiste à « garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques » (§ 51, renvoyant à Schrems – Communication de données au grand public, C-446/21, § 45) et que le droit d’accès prévu à l’article 15 doit « permettre à la personne concernée de s’assurer que les données à caractère personnel la concernant sont exactes et qu’elles sont traitées de manière licite » (§ 53, renvoyant à Österreichische Datenschutzbehörde et CRIF, § 34, et FT – Copies du dossier médical, C-307/22, § 73).
En particulier, dans le contexte spécifique d’une prise de décision automatisée, la Cour formule le lien fonctionnel entre l’article 15, §1, sous h), et l’article 22, §3 :
« la finalité principale du droit de la personne concernée à obtenir les informations prévues à l’article 15, §1, sous h), du RGPD consiste à lui permettre d’exercer de manière efficace les droits qui lui sont reconnus par l’article 22, §3, de ce règlement, à savoir celui d’exprimer son point de vue sur cette décision et celui de contester celle-ci. » (§ 55)
Reprenant l’arrêt SCHUFA Holding (§ 57), la Cour énonce qu’« [e]n effet, si les personnes affectées par une décision automatisée, y compris un profilage, n’étaient pas en mesure de comprendre les raisons ayant conduit à cette décision avant d’exprimer leur point de vue ou de contester celle-ci, ces droits ne sauraient, partant, pleinement remplir leur finalité de protéger ces personnes contre les risques particuliers pour leurs droits et libertés que présente le traitement automatisé de leurs données à caractère personnel » (§ 56).
Se fondant sur le considérant 71 du RGPD et, de manière explicite, sur les conclusions de M. l’avocat général au point 67, la Cour consacre formellement le droit à l’explication :
« l’article 15, §1, sous h), du RGPD offre à la personne concernée un véritable droit à l’explication sur le fonctionnement du mécanisme qui sous-tend une prise de décision automatisée dont cette personne a fait l’objet et sur le résultat auquel cette décision a abouti. » (§ 57)
LA DÉFINITION POSITIVE DU CONTENU DE L’EXPLICATION
La Cour synthétise sa démarche en une formule positive :
« le droit d’obtenir des “informations utiles concernant la logique sous-jacente” à une prise de décision automatisée, au sens de cette disposition, doit être compris comme un droit à l’explication de la procédure et des principes concrètement appliqués pour exploiter, par la voie automatisée, les données à caractère personnel de la personne concernée aux fins d’en obtenir un résultat déterminé, tel un profil de solvabilité. En vue de permettre à la personne concernée d’exercer de manière efficace les droits que lui reconnaît le RGPD et, en particulier, l’article 22, §3, de celui-ci, cette explication doit être fournie, au moyen d’informations pertinentes et d’une façon concise, transparente, compréhensible et aisément accessible. » (§ 58)
Elle rejette expressément les deux modalités extrêmes :
« Ne saurait satisfaire à ces exigences ni la simple communication d’une formule mathématique complexe, telle qu’un algorithme, ni la description détaillée de toutes les étapes d’une prise de décision automatisée, dans la mesure où aucune de ces modalités ne constituerait une explication suffisamment concise et compréhensible. » (§ 59)
S’appuyant sur les Lignes directrices WP 251 rev.01 (p. 28), la Cour rappelle que le RGPD exige « des informations utiles sur la logique sous-jacente, mais pas nécessairement une explication complexe des algorithmes utilisés ou la divulgation de l’algorithme complet » (§ 60).
Elle formule ensuite l’obligation positive :
« les “informations utiles concernant la logique sous-jacente” à une prise de décision automatisée, au sens de l’article 15, §1, sous h), du RGPD, doivent décrire la procédure et les principes concrètement appliqués de telle manière que la personne concernée puisse comprendre lesquelles de ses données à caractère personnel ont été utilisées de quelle manière lors de la prise de décision automatisée en cause, sans que la complexité des opérations à réaliser dans le cadre d’une prise de décision automatisée puisse libérer le responsable de traitement de son devoir d’explication. » (§ 61)
À titre illustratif, pour le profilage en cause, la juridiction de renvoi pourrait « considérer comme étant suffisamment transparent et intelligible le fait d’informer la personne concernée de la mesure dans laquelle une variation au niveau des données à caractère personnel prises en compte aurait conduit à un résultat différent » — c’est-à-dire une analyse contrefactuelle (§ 62).
ARTICLE 15§1 H) ET VÉRIFICATION DE L’EXACTITUDE DES DONNÉES
La Cour opère une distinction analytique essentielle :
« s’agissant du point de savoir si les informations fournies doivent permettre à la personne concernée de vérifier l’exactitude des données à caractère personnel la concernant sur lesquelles est fondée la prise de décision automatisée, le droit d’accès auxdites données relève non pas du point h) du §1 de l’article 15 du RGPD, mais de la phrase introductive du même paragraphe qui garantit à la personne concernée de pouvoir s’assurer de l’exactitude de ces données » (§ 63).
Elle précise par ailleurs que les données générées par le responsable du traitement lui-même relèvent de l’article 14 du RGPD, renvoyant à l’arrêt Másdi (C-169/23, EU:C:2024:988, § 48) (§ 64).
SUR LE MÉCANISME DE RÉSOLUTION DES CONFLITS (QUESTIONS 3B-C, 4A-B, 5, 6)
LE DROIT À LA PROTECTION DES DONNÉES N’EST PAS ABSOLU
La Cour rappelle que « le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité » (§ 68, renvoyant au considérant 4 du RGPD et à FT – Copies du dossier médical, § 59). Le considérant 63 du RGPD précise lui-même que le droit d’accès « ne devrait pas porter atteinte aux droits ou aux libertés d’autrui, y compris au secret des affaires » (§ 69).
Toutefois, ces considérations « ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée » (§ 70). L’article 23, §1, sous i), du RGPD impose qu’une limitation du droit d’accès « respecte l’essence des libertés et des droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique » (§ 70).
LE MÉCANISME DE PONDÉRATION JUDICIAIRE OU ADMINISTRATIVE
La Cour transpose à l’hypothèse de l’article 15, §1, sous h), sa jurisprudence Norra Stockholm Bygg (C-268/21, EU:C:2023:145, § 58), selon laquelle :
« une juridiction nationale peut estimer que des données à caractère personnel des parties ou de tiers doivent lui être communiquées afin de pouvoir pondérer, en toute connaissance de cause et dans le respect du principe de proportionnalité, les intérêts en présence. Cette appréciation peut, le cas échéant, la conduire à autoriser la divulgation complète ou partielle à la partie adverse des données à caractère personnel qui lui ont ainsi été communiquées, si elle considère qu’une telle divulgation ne va pas au-delà de ce qui est nécessaire aux fins de garantir la jouissance effective des droits que les justiciables tirent de l’article 47 de la Charte. » (§ 73)
Ce mécanisme est pleinement transposable : lorsque les informations à fournir au titre de l’article 15, §1, sous h), « sont susceptibles d’entraîner une atteinte aux droits et aux libertés d’autrui, notamment en ce qu’elles contiennent des données à caractère personnel de tiers protégées par ce règlement ou un secret d’affaires », ces informations doivent être communiquées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et intérêts en cause (§§ 73-74 et dispositif, point 2).
L’INCOMPATIBILITÉ DU DSG AUTRICHIEN
Tirant la conséquence directe de ce qui précède, la Cour conclut que « l’article 15, §1, sous h), du RGPD s’oppose notamment à l’application d’une disposition nationale qui exclut, en principe, le droit d’accès de la personne concernée lorsque cet accès compromettrait un secret d’affaires ou un secret d’entreprise du responsable du traitement ou d’un tiers » (§ 82, synthèse du communiqué). Elle rappelle, en s’appuyant sur l’arrêt SCHUFA Holding (C-634/21, § 70 et jurisprudence citée), « qu’un État membre ne saurait prescrire de manière définitive le résultat d’une pondération au cas par cas des droits et des intérêts en cause imposé par le droit de l’Union » (communiqué, Footnote 7).
MOTIVATION DE L’AVOCAT GÉNÉRAL M. J. RICHARD DE LA TOUR (12 SEPTEMBRE 2024)
L’avocat général Richard de la Tour a présenté ses conclusions lors de l’audience du 12 septembre 2024. Sa contribution est explicitement citée et suivie par la Cour en plusieurs points essentiels.
Sur la complémentarité des versions linguistiques (point 65 des conclusions) : l’Avocat Général avait déjà relevé que la pluralité d’acceptions doit être comprise comme une complémentarité, ce que la Cour reprend textuellement (§ 41). Cette approche plurilingue — valorisant chaque version comme un éclairage partiel d’une même réalité normative — constitue l’ossature méthodologique de la première partie de l’arrêt.
Sur le droit à l’explication (point 67 des conclusions) : l’Avocat Général avait soutenu que l’article 15, §1, sous h), offre un « véritable droit à l’explication » sur le fonctionnement du mécanisme sous-tendant la décision automatisée, formulation que la Cour reprend intégralement (§ 57). Cette reconnaissance dépasse le strict contenu textuel de la disposition pour en consacrer l’effet utile maximal.
Sur l’interprétation contextuelle des droits d’accès (points 58 à 60 des conclusions) : l’Avocat Général avait développé la nécessité de tenir compte, dans le cadre de l’interprétation de l’article 15, §1, sous h), de la jurisprudence de la Cour relative aux exigences de l’article 15, §3, du RGPD — notamment l’obligation de transparence de l’article 12, §1. La Cour intègre ce raisonnement à son propre développement contextuel (§ 47).
L’Avocat Général avait ainsi proposé une lecture instrumentale du droit d’accès aux informations sur la logique sous-jacente : celles-ci ne sont utiles que dans la mesure où elles permettent l’exercice effectif des droits de l’article 22, §3, du RGPD. Cette lecture, qui conditionne l’étendue de l’obligation du responsable du traitement à la finalité procédurale du droit d’accès, a été entièrement consacrée par la Cour (§§ 55-58).
DISPOSITIF
« 1) L’article 15, §1, sous h), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que, en cas de prise de décision automatisée, y compris un profilage, au sens de l’article 22, §1, de ce règlement, la personne concernée peut exiger du responsable du traitement, au titre des “informations utiles concernant la logique sous-jacente”, que celui-ci lui explique, au moyen d’informations pertinentes et d’une façon concise, transparente, compréhensible et aisément accessible, la procédure et les principes concrètement appliqués pour exploiter, par la voie automatisée, les données à caractère personnel relatives à cette personne aux fins d’en obtenir un résultat déterminé, tel un profil de solvabilité.
2) L’article 15, §1, sous h), du règlement 2016/679 doit être interprété en ce sens que, dans l’hypothèse où le responsable du traitement considère que les informations à fournir à la personne concernée conformément à cette disposition comportent des données de tiers protégées par ce règlement ou des secrets d’affaires, au sens de l’article 2, point 1, de la directive (UE) 2016/943 du Parlement européen et du Conseil, du 8 juin 2016, sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites, ce responsable est tenu de communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès de la personne concernée prévu à l’article 15 du règlement 2016/679.»
POINTS ESSENTIELS
Rendu le 27 février 2025 par la première chambre de la Cour de justice sur renvoi préjudiciel du Verwaltungsgericht Wien (Autriche), l’arrêt C-203/22 Dun & Bradstreet Austria répond à six questions d’une densité technique exceptionnelle nées d’un litige opposant la personne physique CK à la société D & B, spécialisée dans le scoring de solvabilité automatisé : CK s’était vu refuser un contrat de téléphonie mobile à dix euros par mois à la suite d’une évaluation automatisée défavorable fondée sur des données la concernant, alors même que les informations qui lui avaient été communiquées faisaient état d’une très bonne solvabilité — contradiction au cœur du litige qui illustre les dérives de l’opacité algorithmique que l’arrêt entend précisément réduire.
Sur la première branche, la Cour tranche la question longtemps débattue du contenu matériel des « informations utiles concernant la logique sous-jacente » au sens de l’article 15, §1, sous h), du RGPD : procédant d’abord par une analyse plurilingue qui révèle la complémentarité des acceptions (fonctionnalité, pertinence, intelligibilité, qualité) et suivant explicitement l’avocat général Richard de la Tour en ses points 65 et 67, la Cour consacre un droit à l’explication de la « procédure et des principes concrètement appliqués » pour obtenir un résultat automatisé, explication qui doit être fournie « au moyen d’informations pertinentes et d’une façon concise, transparente, compréhensible et aisément accessible » (§§ 41-62), sans que la complexité technique d’un algorithme puisse libérer le responsable du traitement de ce devoir d’explication (§ 61), et en précisant à titre illustratif qu’une analyse contrefactuelle — informer la personne concernée de la mesure dans laquelle une variation de ses données aurait conduit à un résultat différent — peut constituer une modalité d’explication suffisante (§ 62) ; la Cour écarte en revanche les deux extrêmes symétriquement inopérants que sont la divulgation de la formule mathématique brute et la description technique exhaustive de toutes les étapes du traitement (§ 59), et opère une distinction analytique essentielle entre les informations sur la logique sous-jacente relevant du point h) et le droit à la vérification de l’exactitude des données relevant de la phrase introductive du même article 15, §1 (§ 63).
Sur la seconde branche, d’une portée procédurale tout aussi déterminante, la Cour transpose au contentieux du droit d’accès RGPD le mécanisme de pondération judiciaire ou administrative issu de l’arrêt Norra Stockholm Bygg (C-268/21, § 58) : lorsque le responsable du traitement prétend que les informations à fournir comportent des secrets d’affaires au sens de l’article 2, point 1, de la directive 2016/943 ou des données de tiers protégées par le RGPD, il est tenu de les communiquer — non à la personne concernée, mais à l’autorité de contrôle ou à la juridiction compétentes — auxquelles il incombe ensuite de pondérer in concreto les droits et intérêts en cause pour déterminer l’étendue du droit d’accès (dispositif, point 2), mécanisme qui instaure de facto une procédure de chambre noire propre au contentieux de la protection des données et qui invalide définitivement toute exclusion automatique et absolue du droit d’accès fondée sur la seule invocation du secret d’affaires ; la Cour juge à cet égard incompatible avec le RGPD l’article 4, §6, du Datenschutzgesetz autrichien qui organisait précisément une telle exclusion de principe, au motif qu’« un État membre ne saurait prescrire de manière définitive le résultat d’une pondération au cas par cas des droits et des intérêts en cause imposé par le droit de l’Union » (C-634/21, § 70).
Par sa double contribution — définition positive du droit à l’explication et mécanisme de résolution des conflits avec les secrets d’affaires — l’arrêt Dun & Bradstreet Austria constitue, avec SCHUFA Holding (C-634/21), le second pilier d’un corpus jurisprudentiel en cours de formation sur la gouvernance algorithmique par le droit de la protection des données, dont la portée dépasse le seul secteur du scoring de crédit pour irriguer l’ensemble des industries du profilage automatisé, tout en entrant en résonance directe avec les obligations d’explicabilité et de transparence imposées par le Règlement (UE) 2024/1689 sur l’intelligence artificielle pour les systèmes d’IA à haut risque.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats