CJUE | ARRÊT DU 27 FÉVRIER 2025 | C-203/22 | DUN & BRADSTREET AUSTRIA │
ALGORITHME DE SCORING, ACCÈS AUX DONNÉES DE PROFILAGE, SECRET DES AFFAIRES
LA CJUE CONSIDÈRE QUE VOUS AVEZ DROIT À UNE EXPLICATION CLAIRE SUR L’UTILISATION DE VOS DONNÉES, ET PAS UNIQUEMENT À UNE FORMULE MATHÉMATIQUE INCOMPRÉHENSIBLE.
ÉVALUATION DE CRÉDIT AUTOMATISÉE : LA PERSONNE CONCERNÉE A DROIT À CE QU’ON LUI EXPLIQUE COMMENT LA DÉCISION A ÉTÉ PRISE À SON ÉGARD
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
LA DÉFINITION POSITIVE DU DROIT À L’EXPLICATION
Sur le plan strictement normatif, l’arrêt C-203/22 accomplit ce que ni la lettre du RGPD ni l’arrêt SCHUFA Holding (C-634/21) n’avaient pleinement réalisé : définir positivement le contenu matériel des « informations utiles concernant la logique sous-jacente » au sens de l’article 15, §1, sous h), du RGPD. La Cour retient une formule en deux temps : d’abord, l’explication doit porter sur la « procédure et les principes concrètement appliqués » pour obtenir le résultat produit ; ensuite, cette explication doit permettre à la personne concernée de comprendre « lesquelles de ses données à caractère personnel ont été utilisées de quelle manière » lors de la prise de décision (§ 61).
Cette définition positive comble une lacune de taille. L’article 15, §1, sous h), dans sa formulation textuelle, ne précisait pas la granularité des informations exigées. L’arrêt tranche sans ambiguïté : ni la formule algorithmique brute, ni la description technique exhaustive ne satisfont l’obligation ; seule une explication fonctionnellement intelligible pour la personne concernée — incluant, à titre illustratif, une analyse contrefactuelle — remplit les exigences de la disposition (§§ 59-62). Cette précision revêt une portée considérable pour l’ensemble des opérateurs qui recourent à des systèmes de décision automatisée dans l’espace de l’Union.
LE MÉCANISME DE CHAMBRE NOIRE JUDICIAIRE ET ADMINISTRATIVE
La seconde branche du dispositif est d’une originalité et d’une portée procédurale remarquables. La Cour consacre un mécanisme de pondération en deux temps : le responsable du traitement est d’abord tenu de communiquer les informations prétendument protégées (secret d’affaires, données de tiers) à l’autorité de contrôle ou à la juridiction ; celles-ci procèdent ensuite à une pondération in concreto pour déterminer ce qui peut ou doit être communiqué à la personne concernée.
Ce mécanisme, issu de la jurisprudence Norra Stockholm Bygg (C-268/21, § 58) et ici transposé au régime du droit d’accès RGPD, instaure de facto une procédure de chambre noire (in camera) propre au contentieux de la protection des données. Il impose aux autorités de contrôle et aux juridictions nationales de développer des capacités d’instruction et de pondération qu’elles n’exercaient pas nécessairement jusqu’alors dans le cadre des réclamations RGPD ordinaires. En cela, l’arrêt a une portée organisationnelle significative pour les autorités de protection des données des États membres.
LA HIÉRARCHIE DES DROITS FONDAMENTAUX EN MATIÈRE DE PROFILAGE
L’arrêt établit une hiérarchie instrumentalisée des droits fondamentaux en jeu : le droit à la protection des données (art. 8 Charte), le droit à un recours effectif (art. 47 Charte), la liberté d’entreprise (art. 16 Charte) et la protection des données de tiers (art. 8 Charte) ne sont pas mis en balance de manière abstraite, mais en fonction de leur contribution respective à la finalité protectrice du RGPD dans le contexte spécifique de la décision automatisée.
La liberté d’entreprise — qui sous-tend la protection des secrets d’affaires — ne peut pas, selon la Cour, « aboutir à refuser toute communication d’informations à la personne concernée » (§ 70). Cette formule exprime une subordination fonctionnelle des intérêts économiques aux droits fondamentaux des personnes concernées lorsque ces dernières sont affectées par des décisions automatisées produisant des effets juridiques ou significatifs. Elle constitue un jalon jurisprudentiel important dans la définition de la place de la protection des données au sein de la hiérarchie constitutionnelle de l’Union.
LES INDUSTRIES DU SCORING ET DU PROFILAGE
La portée économique de l’arrêt est directe et immédiate pour les agences de scoring de crédit, les assureurs, les établissements financiers et tous les opérateurs qui recourent à des systèmes de profilage pour prendre des décisions affectant les individus. La décision de la Cour invalide le modèle économique fondé sur l’opacité algorithmique totale protégée derrière l’invocation systématique du secret d’affaires.
Ces opérateurs devront supporter des coûts d’adaptation significatifs : révision des systèmes d’information pour intégrer des mécanismes d’explication automatisée (explainability by design), formation des équipes chargées des demandes d’accès, développement de procédures de compartimentage de l’information pour les cas de conflit entre droit d’accès et secret d’affaires. Le marché européen du credit scoring — dont les acteurs comme D & B, SCHUFA, Experian ou Creditreform tirent une partie substantielle de leur valeur de la propriété de leurs modèles — est directement concerné.
Sur le plan de la concurrence, l’arrêt crée une situation potentiellement asymétrique entre opérateurs : les acteurs dotés de systèmes d’IA explicables (explainable AI, XAI) sont en meilleure position de conformité que ceux reposant sur des modèles de type boîte noire dont l’explicabilité est techniquement difficile à atteindre.
L’EXPLICABILITÉ COMME IMPÉRATIF DE CONCEPTION
L’arrêt produit une rétroaction normative sur la conception des systèmes d’IA utilisés à des fins de profilage. Dès lors que le responsable du traitement doit être en mesure de fournir une explication « concise, transparente, compréhensible et aisément accessible » sur la procédure et les principes appliqués, les systèmes de décision automatisée qui ne sont pas nativement explicables — c’est-à-dire les modèles de deep learning de grande taille, les réseaux de neurones profonds, les modèles d’ensemble (gradient boosting, random forests) — devront faire l’objet d’une couche d’explicabilité post-hoc (LIME, SHAP, ANCHOR ou méthodes équivalentes).
Cette exigence converge avec les obligations du Règlement IA (AI Act, Règlement (UE) 2024/1689), qui impose pour les systèmes d’IA à haut risque (dont les systèmes d’évaluation de solvabilité) des obligations de documentation technique, de transparence et de fourniture d’informations aux personnes affectées (art. 13, 14 et 86 AI Act). L’arrêt Dun & Bradstreet Austria constitue ainsi un pont interprétatif entre le régime RGPD et le régime AI Act, en définissant au niveau du droit d’accès des personnes le standard minimal d’explicabilité que les deux instruments convergent à imposer.
LA MISE EN CONFORMITÉ DES DROITS NATIONAUX
L’incompatibilité constatée par la Cour entre l’article 15, §1, du RGPD et l’article 4, §6, du DSG autrichien soulève la question de la conformité des législations nationales de l’ensemble des États membres. De nombreux États membres ont adopté des dispositions similaires permettant au responsable du traitement d’opposer un secret d’affaires ou commercial pour refuser ou limiter l’accès de la personne concernée.
Ces dispositions doivent désormais être abrogées ou réinterprétées conformément à l’arrêt : la protection d’un secret d’affaires ne peut que déclencher l’obligation de communication à l’autorité ou à la juridiction, jamais justifier un refus absolu et automatique. Les législateurs nationaux qui tarderaient à procéder à cette mise en conformité s’exposent à des actions en manquement au titre de l’article 258 TFUE, ainsi qu’à une responsabilité de l’État pour violation du droit de l’Union dans les conditions de la jurisprudence Francovich.
LA LÉGITIMITÉ DES SYSTÈMES DE DÉCISION AUTOMATISÉE
À un niveau plus fondamental, l’arrêt participe d’une réflexion sur la légitimité démocratique des systèmes de décision automatisée qui affectent la vie quotidienne des individus. La Cour rappelle, en s’appuyant sur le considérant 71 du RGPD, que ces systèmes — qui incluent le « rejet automatique d’une demande de crédit en ligne » — comportent des « risques particuliers pour les droits et libertés » des personnes concernées. Face à ces risques, le droit à l’explication n’est pas un simple droit de savoir : c’est la condition de possibilité du contrôle démocratique de décisions qui, autrement, échapperaient à toute intelligibilité pour les personnes qu’elles affectent.
En refusant que la complexité technique d’un algorithme puisse libérer le responsable du traitement de son « devoir d’explication » (§ 61), la Cour pose un principe de non-abandon de l’exigence d’intelligibilité face à l’opacité technologique. Ce principe a une portée qui dépasse largement le droit de la protection des données : il constitue une réponse normative à la question philosophique et politique de savoir si des systèmes automatisés peuvent valablement se substituer à la décision humaine sans rendre de comptes aux individus qu’ils affectent.
POINTS ESSENTIELS
Rendu le 27 février 2025 par la première chambre de la Cour de justice sur renvoi préjudiciel du Verwaltungsgericht Wien (Autriche), l’arrêt C-203/22 Dun & Bradstreet Austria répond à six questions d’une densité technique exceptionnelle nées d’un litige opposant la personne physique CK à la société D & B, spécialisée dans le scoring de solvabilité automatisé : CK s’était vu refuser un contrat de téléphonie mobile à dix euros par mois à la suite d’une évaluation automatisée défavorable fondée sur des données la concernant, alors même que les informations qui lui avaient été communiquées faisaient état d’une très bonne solvabilité — contradiction au cœur du litige qui illustre les dérives de l’opacité algorithmique que l’arrêt entend précisément réduire.
Sur la première branche, la Cour tranche la question longtemps débattue du contenu matériel des « informations utiles concernant la logique sous-jacente » au sens de l’article 15, §1, sous h), du RGPD : procédant d’abord par une analyse plurilingue qui révèle la complémentarité des acceptions (fonctionnalité, pertinence, intelligibilité, qualité) et suivant explicitement l’avocat général Richard de la Tour en ses points 65 et 67, la Cour consacre un droit à l’explication de la « procédure et des principes concrètement appliqués » pour obtenir un résultat automatisé, explication qui doit être fournie « au moyen d’informations pertinentes et d’une façon concise, transparente, compréhensible et aisément accessible » (§§ 41-62), sans que la complexité technique d’un algorithme puisse libérer le responsable du traitement de ce devoir d’explication (§ 61), et en précisant à titre illustratif qu’une analyse contrefactuelle — informer la personne concernée de la mesure dans laquelle une variation de ses données aurait conduit à un résultat différent — peut constituer une modalité d’explication suffisante (§ 62) ; la Cour écarte en revanche les deux extrêmes symétriquement inopérants que sont la divulgation de la formule mathématique brute et la description technique exhaustive de toutes les étapes du traitement (§ 59), et opère une distinction analytique essentielle entre les informations sur la logique sous-jacente relevant du point h) et le droit à la vérification de l’exactitude des données relevant de la phrase introductive du même article 15, §1 (§ 63).
Sur la seconde branche, d’une portée procédurale tout aussi déterminante, la Cour transpose au contentieux du droit d’accès RGPD le mécanisme de pondération judiciaire ou administrative issu de l’arrêt Norra Stockholm Bygg (C-268/21, § 58) : lorsque le responsable du traitement prétend que les informations à fournir comportent des secrets d’affaires au sens de l’article 2, point 1, de la directive 2016/943 ou des données de tiers protégées par le RGPD, il est tenu de les communiquer — non à la personne concernée, mais à l’autorité de contrôle ou à la juridiction compétentes — auxquelles il incombe ensuite de pondérer in concreto les droits et intérêts en cause pour déterminer l’étendue du droit d’accès (dispositif, point 2), mécanisme qui instaure de facto une procédure de chambre noire propre au contentieux de la protection des données et qui invalide définitivement toute exclusion automatique et absolue du droit d’accès fondée sur la seule invocation du secret d’affaires ; la Cour juge à cet égard incompatible avec le RGPD l’article 4, §6, du Datenschutzgesetz autrichien qui organisait précisément une telle exclusion de principe, au motif qu’« un État membre ne saurait prescrire de manière définitive le résultat d’une pondération au cas par cas des droits et des intérêts en cause imposé par le droit de l’Union » (C-634/21, § 70).
Par sa double contribution — définition positive du droit à l’explication et mécanisme de résolution des conflits avec les secrets d’affaires — l’arrêt Dun & Bradstreet Austria constitue, avec SCHUFA Holding (C-634/21), le second pilier d’un corpus jurisprudentiel en cours de formation sur la gouvernance algorithmique par le droit de la protection des données, dont la portée dépasse le seul secteur du scoring de crédit pour irriguer l’ensemble des industries du profilage automatisé, tout en entrant en résonance directe avec les obligations d’explicabilité et de transparence imposées par le Règlement (UE) 2024/1689 sur l’intelligence artificielle pour les systèmes d’IA à haut risque.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats