FYTT #CJUE CONCLUSIONS 12 septembre 2024 | C- 203/22 | Dun & Bradstreet Austria GmbH │ Intelligence Artificielle, Scoring, Prise de décision & Profilage | Accès aux informations utiles concernant la logique sous-jacente| Droits des tiers | Secret des affaires |

CJUE CONCLUSIONS 12 septembre 2024 | C- 203/22 | Dun & Bradstreet Austria GmbH │

Prise de décision automatisée & Profilage | Scoring & Intelligence Artificielle A.I. | Algorithmes, Boîte noire & Accès aux informations utiles concernant la logique sous-jacente | Vérification de l’exactitude des informations et de la cohérence | Droits d'autrui & Secret des affaires |

Le renvoi préjudiciel C-203/22 traite en profondeur de la question suivante, à savoir, de quelle manière, concrètement, le détenteur d’un score (responsable de traitement) doit-il informer la personne concernée, afin qu’elle puisse vérifier l’exactitude et la licéité du scoring automatisé, exercer effectivement ses droits d’opposition et de contestation (articles 15 et 22 RGPD), et bénéficier des garanties dues, même si le responsable du traitement allègue un secret d’affaires ou la protection de données de tiers.

En d’autres termes, les problématiques posées reposent principalement sur ces six points:

1. Portée des “informations utiles concernant la logique sous-jacente” (article 15(1)(h) RGPD) : Quels détails spécifiques doivent être divulgués pour garantir les droits de CK ?
2. Lien entre les droits de transparence (article 15 RGPD) et les droits de contestation des décisions automatisées (article 22 RGPD) : Existe-t-il une interdépendance entre ces droits ?
3. Gestion des conflits entre le droit d’accès et le respect des droits des tiers (protection des données personnelles d’autres individus impliqués).
4. Poids accordé au secret d’affaires (directive 2016/943) : Dans quelle mesure ce secret peut-il justifier une limitation du droit d’accès ?
5. Délimitation exacte de l’article 15(4) du RGPD : Quelles limites peut-on imposer au droit d’accès pour protéger d’autres libertés fondamentales, comme les secrets d’affaires ?
6. Compatibilité du droit national autrichien avec le RGPD : Une disposition nationale limitant l’accès en raison de secrets d’affaires est-elle conforme au RGPD ?

L’avocat général dans ses conclusions offre une interprétation qui privilégie un  compromis plus qu’un équilibre:

1. Définition de “logique sous-jacente” : Les informations doivent inclure les critères et méthodes essentiels, sans nécessiter la divulgation complète de l’algorithme, lorsque cette divulgation mettrait en péril un secret d’affaires.
2. Transparence et intelligibilité : Les informations doivent être contextualisées pour être compréhensibles par des non-initiés. Une explication des principales caractéristiques influençant la décision est requise, mais pas nécessairement une communication exhaustive de l’algorithme.
3. Compatibilité avec la directive 2016/943 : Le secret d’affaires ne peut pas servir de justification absolue pour refuser toute divulgation. Toutefois, une méthode de communication indirecte (via une autorité ou des données pseudonymisées) peut suffire.
4. Vérification des données utilisées : La personne concernée doit pouvoir vérifier si ses données ont été traitées correctement et si le résultat est cohérent. Cela implique que les erreurs ou biais algorithmiques soient détectables.



CJUE CONCLUSIONS 12 septembre 2024 | C- 203/22 | Dun & Bradstreet Austria GmbH │ Intelligence Artificielle, Scoring, Prise de décision & Profilage | Accès aux informations utiles concernant la logique sous-jacente| Droits des tiers | Secret des affaires |

 


CONCLUSIONS DE L’AVOCAT GENERAL

Cette affaire traite de la question de la transparence des algorithmes utilisés pour des décisions automatisées est au centre du litige.

L’affaire oppose CK, une personne physique, à Dun & Bradstreet Austria GmbH (anciennement Bisnode), une société spécialisée dans l’évaluation automatisée de la solvabilité. CK souhaite accéder à des informations sur la “logique sous-jacente” utilisée par l’algorithme ayant abouti à son évaluation financière, qui lui avait été défavorable au point de se voir refuser un contrat téléphonique. Dun & Bradstreet argue que l’algorithme relève d’un secret d’affaires, protégé par la directive 2016/943.

La demande de décision préjudicielle dans l’affaire C-203/22 porte principalement sur l’interprétation de :

L’article 15, paragraphe 1, sous h), et paragraphe 4 du Règlement (UE) 2016/679 (RGPD),
– L’article 22 du RGPD, relatif à la prise de décision automatisée (y compris le profilage),
L’article 2, point 1, de la Directive (UE) 2016/943 sur la protection des secrets d’affaires,
– Et, en toile de fond, l’éventuelle possibilité de limiter ou de refuser tout ou partie de la communication de certaines informations du fait de la protection des droits et libertés d’autrui (dont le secret d’affaires ou la protection de données de tiers).

La juridiction de renvoi (Verwaltungsgericht Wien, Autriche) interroge la Cour de justice de l’Union européenne (CJUE) sur la portée exacte du droit d’accès et du droit à l’information prévus à l’article 15, paragraphe 1, sous h), RGPD, lorsque la personne concernée fait l’objet d’une décision entièrement automatisée (notamment un profilage d’évaluation de solvabilité). Elle se demande également à quel point la protection des secrets d’affaires ou des données à caractère personnel de tiers peut restreindre l’obligation de transparence.

2. Droit d’accès et droit à l’explication en cas de profilage

2.1. Champ de l’article 15, paragraphe 1, sous h), RGPD

Cette disposition consacre le droit de toute personne concernée d’être informée :

1. Qu’elle fait l’objet (ou peut faire l’objet) d’une prise de décision automatisée, y compris de profilage, au sens de l’article 22 RGPD.
2. « Au moins en pareils cas », d’obtenir des « informations utiles concernant la logique sous-jacente » à cette décision automatisée, ainsi que l’importance et les conséquences prévues de ce traitement.

C’est cette notion d’« informations utiles concernant la logique sous-jacente » qui soulève des difficultés d’interprétation :

– Faut-il y inclure l’algorithme exact, avec sa formule mathématique détaillée, ses paramètres et coefficients ?
– Quel niveau de granularité et de transparence est exigé pour que la personne concernée puisse véritablement comprendre la décision qui la touche ?
– Dans quelle mesure le secret d’affaires ou la protection des droits d’autrui peut-il justifier de restreindre les informations transmises ?

2.2. Lien avec l’article 22 RGPD et l’effectivité du droit à contester la décision

La juridiction de renvoi met en avant que l’article 22 RGPD (qui prohibe en principe la décision totalement automatisée produisant des effets juridiques significatifs, sauf exceptions) confère aussi des garanties procédurales au paragraphe 3 : la personne concernée peut demander l’intervention humaine, formuler ses observations ou encore contester la décision. Or, pour exercer ces droits, la personne doit d’abord comprendre la logique, les données utilisées et la cohérence du raisonnement automatisé.

C’est pourquoi l’organe autrichien (et l’Avocat général dans ses conclusions) font valoir qu’une information sommaire ou purement déclarative (par exemple : « nous avons tenu compte de X et Y pour aboutir à tel score ») peut s’avérer insuffisante pour permettre un exercice réel et « effectif » des droits reconnus. De plus, la personne concernée n’est pas en mesure de vérifier si les données sont exactes ou si la pondération est fidèle si le détail, au moins qualitatif, n’est pas communiqué.

3. Motifs et arguments principaux issus des conclusions de l’Avocat général et des échanges devant la CJUE

Dans cette affaire, l’Avocat général a proposé plusieurs interprétations et réponses possibles aux questions préjudicielles posées :

1. Droit d’accès et transparence :
– L’article 15 RGPD impose au responsable du traitement une information « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » (principe de transparence, article 12 RGPD).
– L’utilité de l’information fournie doit viser l’effectivité des droits de la personne (accès, rectification, opposition, contestation de la décision).

2. Portée de l’« explication » requise :
– Les « informations utiles concernant la logique sous-jacente » ne sauraient se limiter à de vagues indications ou à de simples generalités. Elles doivent offrir un niveau suffisant de détail pour comprendre comment les données personnelles sont combinées, pondérées ou exclues, et comment la notation finale est obtenue.
– Toutefois, cela n’implique pas nécessairement la communication complète et brute de l’algorithme ou de la formule mathématique exacte, laquelle peut être d’une complexité telle qu’elle ne serait pas exploitable par un non spécialiste, et peut aussi être couverte par le secret d’affaires.

3. Conciliation avec le secret d’affaires et la protection de tiers :
– Le point crucial est d’équilibrer l’exigence de transparence et la protection des droits et libertés d’autrui (dont le secret commercial ou la propriété intellectuelle).
– L’avocat général précise qu’on ne peut opposer un secret commercial pour « refuser toute information ». Cela irait à l’encontre de l’essence même du droit d’accès.
– En revanche, on peut mettre en place des modalités pratiques (par exemple, la pseudonymisation des données de comparaison, ou la transmission réservée à la juridiction) pour protéger les intérêts de tiers ou les secrets d’affaires, tout en permettant un contrôle par l’autorité/juridiction.

4. Niveau minimal d’information à fournir :
– Description générale et compréhensible de la méthode de calcul,
– Mention des grandes catégories de données ou paramètres pris en compte, ainsi que leur « importance respective »,
– Explication de la raison pour laquelle la personne concernée a abouti à une note ou un score particulier,
– Possibilité de vérifier la cohérence et l’exactitude (au moins en partie).

5. Limites au droit d’information (article 15, paragraphe 4, RGPD) :
– Cet alinéa précise que le droit d’accéder aux données ne doit pas « porter atteinte aux droits et libertés d’autrui ».
– Il peut donc y avoir une limitation lorsque la communication intégrale d’un algorithme porterait une atteinte disproportionnée à un secret d’affaires, ou lorsque certaines informations de tiers devraient rester confidentielles.
– Toutefois, la CJUE – comme le souligne l’avocat général – exige dans sa jurisprudence de chercher une solution proportionnée (exemples : masquage partiel, communication simplifiée, anonymisation, etc.).

 

Le litige C-203/22 s’inscrit dans la lignée d’autres arrêts récents de la CJUE sur l’interprétation du RGPD et en particulier :

– Arrêt du 7 décembre 2023, SCHUFA Holding e.a. (Scoring) (C-634/21),
– Arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette) (C-26/22 et C-64/22),
– Arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF (C-487/21),
– Arrêt du 26 octobre 2023, FT (Copies du dossier médical) (C-307/22),
– Arrêt du 2 mars 2023, Norra Stockholm Bygg (C-268/21),
– Arrêt du 17 juin 2021, M.I.C.M. (C-597/19) (sur la nécessité de pondération au cas par cas).

La problématique du « droit à l’explication » conduit la Cour à:

– Préciser le contenu concret de la notion « d’informations utiles concernant la logique sous-jacente ».
– Ajuster l’équilibre entre la protection des intérêts légitimes du responsable (secret d’affaires) et les droits de la personne concernée (droit d’exercer efficacement son contrôle, rectification, contestation).
– Questionner la validité de dispositions nationales (par ex. l’article 4, paragraphe 6, de la loi autrichienne DSG), qui prévoient une exclusion de l’accès dès lors qu’un secret d’affaires est en jeu, sans prévoir de mécanismes de mise en balance individualisée.

Si l’arrêt de la CJUE suit les conclusions de l’avocat général :

– Il n’y aura pas de bouleversement radical par rapport à la jurisprudence antérieure, mais un affermissement du droit à la transparence « utile », spécialisé sur le profilage de solvabilité.
– Les responsables de traitement ne pourront plus, en pratique, se retrancher systématiquement derrière un secret d’affaires pour refuser toute information significative.
– Un juste équilibre sera réaffirmé : la transparence nécessaire doit être assurée, mais pas forcément la divulgation brute de l’algorithme (souvent inintelligible). Plutôt, on exigera des explications concrètes, compréhensibles et vérifiables, sur la manière dont la machine a abouti à sa conclusion.