POINTS ESSENTIELS JURISPRUDENCE QPC#1 QPC#2 QPC#3 QPC#4 DISSENT OPINION
Human Intelligence v. Artificial Intelligence | HI < SEULE LA MACHINE SAIT < AI
Entre transparence, intérêts bien cachés et confidentialité, la logique sous-jacente aux décisions automatisées doit éclairer sans trahir, pour garantir les droits des individus sans sacrifier les secrets d’affaires.
La CJUE impose au responsable de traitement d’éclairer la logique brumeuse des algorithmes sans dévoiler les équations, afin de concilier le droit de savoir et le devoir de protéger.
CK, une personne physique, s’est vu refuser par un opérateur de téléphonie mobile la conclusion ou la prolongation d’un contrat de téléphonie mobile au motif qu’elle était jugée comme présentant une solvabilité insuffisante. Cette évaluation a été effectuée par un système automatisé mis en œuvre par l’entreprise Dun & Bradstreet Austria GmbH (D & B), spécialiste des évaluations de crédit.
CK a demandé à cette entreprise des informations sur la “logique sous-jacente” utilisée pour calculer le “score” de sa solvabilité, conformément à l’article 15, paragraphe 1, sous h), du RGPD. Cette demande a été appuyée par l’autorité autrichienne de protection des données, mais D & B a refusé de fournir certaines informations au motif qu’elles étaient couvertes par le secret d’affaires. Une juridiction administrative locale, en rendant une décision définitive, a estimé que D & B avait violé le RGPD en ne fournissant pas les informations demandées.
Devant le refus persistant de D & B de communiquer les informations requises, CK a cherché à obtenir l’exécution forcée de la décision administrative devant la juridiction de renvoi, le Verwaltungsgericht Wien (Tribunal administratif de Vienne). Cette juridiction s’est interrogée sur l’étendue des obligations imposées par l’article 15, paragraphe 1, sous h), du RGPD, ainsi que sur l’interaction entre le RGPD et les protections conférées par le secret d’affaires en vertu de la directive (UE) 2016/943.
La CJUE, dans son arrêt du 27 février 2025, répond aux questions préjudicielles posées par la juridiction autrichienne, en précisant les obligations de transparence imposées par le RGPD dans un contexte de profilage et de prise de décisions automatisées.
1. Notion de “logique sous-jacente” au sens de l’article 15, paragraphe 1, sous h), du RGPD
La Cour a clarifié que les “informations utiles concernant la logique sous-jacente” doivent permettre à la personne concernée de comprendre les critères essentiels et le fonctionnement général du système automatisé ayant conduit à une décision la concernant. Ces informations doivent être :
– Concises, transparentes et intelligibles pour une personne non technicienne.
– Suffisamment détaillées pour permettre à la personne concernée de vérifier l’exactitude des données traitées et la cohérence de la décision.
Cependant, la Cour affirme que cette obligation ne s’étend pas à la communication complète de l’algorithme utilisé, notamment parce que cela impliquerait souvent la divulgation d’informations trop techniques ou protégées par le secret d’affaires.
2. Exigences d’exactitude et de vérification des informations fournies
Un élément central de l’arrêt est la mise en avant du droit de la personne concernée à vérifier l’exactitude des informations fournies par le responsable du traitement, ainsi que leur cohérence avec la décision prise. Si un “score” ou toute autre décision automatisée repose sur des données incorrectes ou incohérentes, cela pourrait constituer une violation des droits prévus au RGPD, y compris ceux relatifs à l’article 22.
3. Interaction avec le secret d’affaires protégé par la directive 2016/943
La CJUE reconnaît que les informations demandées au titre de l’article 15, paragraphe 1, sous h), peuvent se heurter à des considérations de secret d’affaires. Cependant, conformément au considérant 63 du RGPD, le secret d’affaires ou la propriété intellectuelle ne peuvent justifier un refus total de communication d’informations.
Lorsque des informations sont qualifiées de “secret d’affaires”, une solution adaptée peut consister à communiquer ces informations à une autorité de contrôle ou à une juridiction compétente, qui procédera elle-même à une vérification dans le respect du principe de proportionnalité. L’autorité ou le tribunal agira alors en tant que tiers neutre pour garantir un juste équilibre entre les droits de la personne concernée et ceux de l’entreprise.
4. Lien entre l’article 15, paragraphe 1, sous h), et l’article 22 du RGPD
La Cour met en évidence l’interdépendance entre ces dispositions :
– L’article 15 permet à la personne concernée de comprendre le fonctionnement d’une décision automatisée.
– L’article 22, en revanche, garantit que la personne concernée peut contester une telle décision ou demander une intervention humaine dans certains cas. La CJUE insiste sur le fait qu’une personne concernée doit recevoir des informations suffisantes pour exercer efficacement ses droits en vertu de l’article 22.
5. Portée des limitations imposées à l’article 15
L’article 15, paragraphe 4, du RGPD permet de limiter l’étendue du droit d’accès aux informations si cela porte atteinte aux droits et libertés d’autrui. Cependant, la CJUE souligne qu’une telle limitation ne doit pas vider de son contenu le droit d’accès, sauf si une justification proportionnée et nécessaire est apportée.
En l’espèce, la CJUE a rappelé que les États membres ne peuvent introduire dans leur législation nationale (comme l’article 4, paragraphe 6, du DSG autrichien) des restrictions générales et automatiques excluant tout droit d’accès aux données couvertes par un secret d’affaires. Une analyse doit être effectuée au cas par cas, par une autorité de contrôle ou une juridiction, pour concilier les droits en présence.
La CJUE établit une position équilibrée dans laquelle les personnes concernées doivent recevoir des informations suffisantes pour comprendre et contester les décisions automatisées, tout en tenant compte de la complexité technique et des intérêts légitimes du responsable du traitement à protéger ses secrets d’affaires; sur un autre plan, les juridictions nationales doivent jouer un rôle actif pour arbitrer les conflits entre les droits de transparence et ceux liés au secret des affaires, dans le respect des principes de proportionnalité et de confidentialité.
Cette décision constitue une étape importante dans la clarification des droits des individus face à l’opacité potentielle des systèmes de décision automatisée, tout en ménageant les intérêts légitimes des entreprises.