CJUE | 27 FEVRIER 2025 | C- 203/22 | Dun & Bradstreet Austria GmbH │Credit Scoring, Intelligence Artificielle, Scoring, Prise de décision & Profilage | notion de "logique sous-jacente" au sens de l'article 15, paragraphe 1, sous h)

CJUE | Arrêt du 27 février 2025 | C- 203/22 | Dun & Bradstreet Austria GmbH │

Prise de décision automatisée & Profilage | Scoring & Intelligence Artificielle A.I. | Algorithmes, Boîte noire & Accès aux informations utiles concernant la logique sous-jacente | Vérification de l’exactitude des informations et de la cohérence | Droits d'autrui & Secret des affaires |

Un “droit à l’explication” …
ou comment concilier transparence et intelligibilité

La notion de “logique sous-jacente”, telle qu’évoquée à l’article 15, §1, sous h), du RGPD, représente un outil central dans le cadre de la protection des droits des personnes concernées lorsqu’elles font l’objet d’un traitement automatisé.

Le contexte factuel de cette affaire concerne une cliente, CK, qui s’est vu refuser la conclusion d’un contrat de téléphonie mobile par un opérateur en Autriche. Ce refus était fondé sur une évaluation automatisée —credit scoring — de sa solvabilité, réalisée par l’entreprise Dun & Bradstreet Austria GmbH (D&B). CK a demandé à D&B des informations sur la logique sous-jacente à cette décision automatisée, conformément à son droit d’accès prévu par le RGPD. Face au refus de D&B de fournir des informations suffisantes, invoquant notamment le secret d’affaires, une procédure judiciaire a été engagée.

La Cour de justice de l’Union européenne (CJUE) a eu pour tâche d’éclaircir le contenu, la portée et les limites de cette notion. Cette clarification s’inscrit dans un contexte où les traitements automatisés, souvent soutenus par des algorithmes opaques, posent des défis spécifiques en matière de transparence et de contrôle.

La logique sous-jacente doit être comprise comme une forme d’explication fonctionnelle et accessible, permettant à la personne concernée de comprendre les mécanismes essentiels du traitement de ses données; cette explication doit inclure les critères et méthodes utilisés dans le cadre de ce traitement, sans nécessairement aller jusqu’à dévoiler les détails techniques (comme l’intégralité du code algorithmique).

 

CJUE | C- 203/22 | 27 février 2025 | Dun & Bradstreet Austria GmbH │ Intelligence Artificielle, Scoring, Prise de décision & Profilage | Accès aux informations utiles concernant la logique sous-jacente| Droits des tiers | Secret des affaires |

 

POINTS ESSENTIELS JURISPRUDENCE QPC#1 QPC#2 QPC#3 QPC#4 DISSENT OPINION

Human Intelligence v. Artificial Intelligence   |    HI   <   SEULE LA MACHINE SAIT   <   AI

 

Entre transparence, intérêts bien cachés et confidentialité, la logique sous-jacente aux décisions automatisées doit éclairer sans trahir, pour garantir les droits des individus sans sacrifier les secrets d’affaires.

La CJUE impose au responsable de traitement  d’éclairer la logique brumeuse des algorithmes sans dévoiler les équations, afin de concilier le droit de savoir et le devoir de protéger.

 

NATURE & ETENDUE DES INFORMATIONS DEVANT ETRE FOURNIES

La CJUE a précisé que l’article 15, paragraphe 1, sous h), impose au responsable du traitement de fournir des informations suffisamment claires et détaillées pour que la personne concernée puisse comprendre le raisonnement menant à une décision automatisée. Ces informations doivent permettre :

1. D’assurer une intelligibilité effective : Les données fournies doivent être compréhensibles par une personne non technique. La Cour insiste sur la nécessité pour les informations d’être “concises”, “transparentes”, et formulées en “des termes clairs et simples”, conformément à l’article 12 du RGPD.

2. De donner un aperçu des critères décisifs : La logique sous-jacente doit inclure une explication des facteurs pris en compte dans la décision, la manière dont ces facteurs interagissent et, dans la mesure du possible, leur pondération respective. Pour un traitement basé sur un modèle d’évaluation de solvabilité (comme dans le cas litigieux), cela inclut des informations sur la méthodologie utilisée pour établir le score.

3. De garantir la vérifiabilité : La personne concernée doit être en mesure d’évaluer si les informations fournies sont exactes, cohérentes et fondées sur des données correctes. Cette exigence est cruciale pour lui permettre d’exercer les droits énoncés à l’article 22 du RGPD (obtenir une intervention humaine, contester une décision, etc.).

 

EXCLUSION DES INFORMATIONS PUREMENT TECHNIQUES ET TROP COMPLEXES

La Cour a souligné qu’il n’est pas nécessaire, aux termes de l’article 15, paragraphe 1, sous h), que le responsable du traitement fournisse des détails techniques complexes, tels que l’algorithme précis utilisé. La raison en est double. Premièrement, ces informations pourraient être inaccessibles ou incompréhensibles pour les non-spécialistes, réduisant ainsi leur utilité pratique. Deuxièmement, la divulgation complète des algorithmes pourrait compromettre des secrets d’affaires, protégés notamment par la directive 2016/943.

Ainsi, la CJUE insiste sur un équilibre : fournir des informations suffisamment détaillées pour satisfaire aux exigences de transparence et de vérifiabilité, tout en respectant les droits du responsable du traitement à préserver ses méthodes propriétaires.

 

FONCTION DE LA NOTION DE “LOGIQUE SOUS-JACENTE” : UN OUTIL D’AUTONOMISATION JURIDIQUE

La CJUE considère que le droit à la transparence, tel qu’incarné par l’article 15 du RGPD, vise à protéger la personne concernée contre les risques découlant de décisions automatisées, notamment les effets discriminatoires potentiels ou les erreurs d’évaluation fondées sur des données inexactes.

Ainsi, ce droit participe à une dualité fonctionnelle :
– Permettre à la personne concernée de comprendre les implications du profilage ou du traitement automatisé, notamment en termes d’effets juridiques ou significatifs (par exemple, le refus d’un contrat, comme dans l’affaire en question).
– Faciliter l’exercice des droits correctifs ou contestataires. En permettant à la personne concernée de vérifier la cohérence des données utilisées et de contester la décision automatisée, on garantit un traitement équitable et transparent.

 

DÉFIS LIÉS AUX CONFLITS D’INTÉRÊTS : TRANSPARENCE VS. PROTECTION DES DROITS D’AUTRUI

La CJUE a dû aborder la tension entre le droit d’accès garanti par l’article 15 et les droits légitimes du responsable du traitement ou de tiers, en particulier les secrets d’affaires et la protection des données à caractère personnel des tiers. À ce titre, la Cour rappelle qu’en vertu de l’article 15, paragraphe 4, du RGPD, les droits d’accès ne doivent pas porter atteinte aux droits et libertés d’autres parties.

Pour résoudre ce conflit, un mécanisme de conciliation est proposé :
– Communication à des autorités de contrôle ou juridictions compétentes. Ces dernières peuvent opérer une vérification indépendante des informations sensibles, garantissant à la fois la vérifiabilité des données et la protection des droits en conflit.
– Utilisation de données pseudonymisées ou agrégées. Cette méthode permet d’assurer un équilibre entre la transparence nécessaire et la préservation de la confidentialité des informations concurrentielles.

SUR LES LIMITES POSEES PAR L’ARTICLE 22 du RGPD

L’approche de la CJUE dans l’affaire C-203/22 est indissociable de l’article 22 du RGPD, qui interdit en principe les décisions fondées uniquement sur un traitement automatisé ayant des effets juridiques ou significatifs, sauf exceptions. La Cour affirme que les informations fournies au titre de l’article 15 doivent permettre à la personne concernée de contester utilement de telles décisions et d’obtenir une intervention humaine. En ce sens, l’interprétation de la “logique sous-jacente” vise à garantir l’effectivité des droits substantiels de la personne concernée face à l’automatisation croissante des processus décisionnels.

 

L’arrêt C-203/22 clarifie la portée de la notion de “logique sous-jacente”, en la définissant comme un droit d’accès à des explications suffisamment compréhensibles et détaillées pour permettre à la personne concernée de comprendre les mécanismes en jeu dans une décision automatisée et, au besoin, de contester cette décision. Ce droit à la transparence, bien que limité par les exigences de protection des secrets d’affaires et des droits des tiers, constitue un pilier fondamental dans l’environnement numérique actuel. La CJUE établit ainsi une balance subtile entre les impératifs de transparence et les protections accordées aux responsables de traitement, tout en renforçant les garanties offertes aux citoyens de l’Union face à l’opacité des systèmes automatisés.