CJUE | ARRÊT DU 27 FÉVRIER 2025 | C-203/22 | DUN & BRADSTREET AUSTRIA │
ÉVALUATION DE CRÉDIT AUTOMATISÉE : LA PERSONNE CONCERNÉE A DROIT À CE QU’ON LUI EXPLIQUE COMMENT LA DÉCISION A ÉTÉ PRISE À SON ÉGARD
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
I.
Ce que la Cour a décidé — et pourquoi cela vous concerne
L’arrêt C-203/22 Dun & Bradstreet Austria du 27 février 2025 répond à une question devenue centrale dans notre économie numérique : lorsqu’un algorithme automatisé détermine votre score de crédit et vous refuse un contrat de téléphonie mobile, avez-vous le droit de savoir comment ce score a été calculé à partir de vos données ? Et l’entreprise peut-elle vous opposer le secret de son modèle de scoring pour refuser de vous répondre ?
La Cour de justice répond avec netteté : oui, vous avez le droit de savoir, et non, le secret d’affaires ne constitue pas un bouclier absolu. Ce faisant, l’arrêt détermine les obligations pratiques des entreprises qui utilisent des systèmes de profilage ou de scoring automatisé — établissements de crédit, assureurs, plateformes numériques, gestionnaires de ressources humaines utilisant des outils d’évaluation automatique.
II.
Les faits : une personne refusée, une boîte noire
Une personne (CK) se voit refuser un contrat de téléphonie mobile. Le refus est fondé sur une évaluation automatisée de sa solvabilité réalisée par Dun & Bradstreet Austria, une société spécialisée dans les scores de crédit. CK demande à connaître la logique de cet algorithme. L’autorité autrichienne de protection des données enjoint à D&B de lui fournir ces explications. D&B fait recours, perd devant le tribunal administratif fédéral autrichien, mais l’administration municipale de Vienne refuse ensuite d’exécuter la décision. Plusieurs années de procédures conduisent finalement la question à la Cour de justice de l’Union européenne.
III.
Ce que l’entreprise doit communiquer : une explication concrète, pas des généralités
La Cour pose une règle claire : les « informations utiles concernant la logique sous-jacente » au sens du RGPD ne se réduisent pas à une description générique du système de scoring. Le responsable du traitement doit expliquer, de manière concise, transparente, compréhensible et aisément accessible, la procédure et les principes concrètement appliqués pour traiter, par voie automatisée, les données personnelles de la personne concernée afin d’en obtenir son résultat particulier.
Ce droit à l’explication doit être suffisamment précis pour permettre à la personne concernée d’exercer ses droits de contestation : comprendre pourquoi elle a obtenu ce score, identifier les données utilisées, vérifier leur exactitude, et éventuellement demander une révision. Une réponse de type « notre modèle utilise des critères statistiques standard » ne satisfait pas à cette obligation.
IV.
Secret d’affaires : une limite qui n’est pas un veto
La question la plus sensible pour les entreprises est celle du secret d’affaires. Beaucoup d’opérateurs invoquent la protection de leur modèle algorithmique pour refuser ou limiter les informations communiquées. La Cour balise strictement cette invocation.
Le responsable du traitement qui estime que les informations à communiquer constituent des secrets d’affaires ne peut pas décider seul de les retenir. Il est tenu de les soumettre à l’autorité de contrôle (en France, la CNIL) ou au juge compétent, à charge pour eux d’apprécier au cas par cas ce qui peut légitimement être protégé et ce qui doit néanmoins être communiqué. La même règle s’applique lorsque les informations concernent des données personnelles de tiers.
La Cour censure également la disposition autrichienne qui excluait en principe le droit d’accès en cas de risque pour un secret d’affaires : une telle exclusion législative préventive est incompatible avec le RGPD, car elle présuppose le résultat de la pondération sans permettre l’appréciation individualisée que le droit de l’Union impose.
V.
ALERTES PRATIQUES
DIRECTION GÉNÉRALE / DIRECTION JURIDIQUE
Toute entreprise utilisant des systèmes de scoring, de profilage ou de prise de décision automatisée dans ses relations avec des clients, des partenaires ou des candidats à l’emploi est directement concernée. La décision d’opposer le secret d’affaires à une demande d’accès ne peut plus être prise unilatéralement par le responsable du traitement : elle doit être soumise à l’autorité de contrôle ou au juge. Les modèles de réponse aux demandes d’accès doivent être revus pour intégrer une description concrète et individualisée de la logique de traitement appliquée à la personne requérante.
DIRECTION DES RESSOURCES HUMAINES
Les systèmes d’évaluation automatique des candidatures, de scoring des performances ou d’aide à la décision en matière de gestion des parcours professionnels tombent dans le champ d’application de l’arrêt. Tout salarié ou candidat peut désormais exiger, sur le fondement de l’article 15 §1 h) du RGPD, une explication concrète de la manière dont l’algorithme a traité ses données pour produire le résultat qui le concerne. L’invocation du secret industriel ne suffira pas à faire obstacle à cette demande si elle n’est pas soumise au contrôle d’une autorité indépendante.
POINTS ESSENTIELS
26.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats