CONCLUSIONS DE L’AVOCAT GENERAL
Cette affaire traite de la question de la transparence des algorithmes utilisés pour des décisions automatisées est au centre du litige.
L’affaire oppose CK, une personne physique, à Dun & Bradstreet Austria GmbH (anciennement Bisnode), une société spécialisée dans l’évaluation automatisée de la solvabilité. CK souhaite accéder à des informations sur la “logique sous-jacente” utilisée par l’algorithme ayant abouti à son évaluation financière, qui lui avait été défavorable au point de se voir refuser un contrat téléphonique. Dun & Bradstreet argue que l’algorithme relève d’un secret d’affaires, protégé par la directive 2016/943.
La demande de décision préjudicielle dans l’affaire C-203/22 porte principalement sur l’interprétation de :
– L’article 15, paragraphe 1, sous h), et paragraphe 4 du Règlement (UE) 2016/679 (RGPD),
– L’article 22 du RGPD, relatif à la prise de décision automatisée (y compris le profilage),
– L’article 2, point 1, de la Directive (UE) 2016/943 sur la protection des secrets d’affaires,
– Et, en toile de fond, l’éventuelle possibilité de limiter ou de refuser tout ou partie de la communication de certaines informations du fait de la protection des droits et libertés d’autrui (dont le secret d’affaires ou la protection de données de tiers).
La juridiction de renvoi (Verwaltungsgericht Wien, Autriche) interroge la Cour de justice de l’Union européenne (CJUE) sur la portée exacte du droit d’accès et du droit à l’information prévus à l’article 15, paragraphe 1, sous h), RGPD, lorsque la personne concernée fait l’objet d’une décision entièrement automatisée (notamment un profilage d’évaluation de solvabilité). Elle se demande également à quel point la protection des secrets d’affaires ou des données à caractère personnel de tiers peut restreindre l’obligation de transparence.
—
2. Droit d’accès et droit à l’explication en cas de profilage
2.1. Champ de l’article 15, paragraphe 1, sous h), RGPD
Cette disposition consacre le droit de toute personne concernée d’être informée :
1. Qu’elle fait l’objet (ou peut faire l’objet) d’une prise de décision automatisée, y compris de profilage, au sens de l’article 22 RGPD.
2. « Au moins en pareils cas », d’obtenir des « informations utiles concernant la logique sous-jacente » à cette décision automatisée, ainsi que l’importance et les conséquences prévues de ce traitement.
C’est cette notion d’« informations utiles concernant la logique sous-jacente » qui soulève des difficultés d’interprétation :
– Faut-il y inclure l’algorithme exact, avec sa formule mathématique détaillée, ses paramètres et coefficients ?
– Quel niveau de granularité et de transparence est exigé pour que la personne concernée puisse véritablement comprendre la décision qui la touche ?
– Dans quelle mesure le secret d’affaires ou la protection des droits d’autrui peut-il justifier de restreindre les informations transmises ?
2.2. Lien avec l’article 22 RGPD et l’effectivité du droit à contester la décision
La juridiction de renvoi met en avant que l’article 22 RGPD (qui prohibe en principe la décision totalement automatisée produisant des effets juridiques significatifs, sauf exceptions) confère aussi des garanties procédurales au paragraphe 3 : la personne concernée peut demander l’intervention humaine, formuler ses observations ou encore contester la décision. Or, pour exercer ces droits, la personne doit d’abord comprendre la logique, les données utilisées et la cohérence du raisonnement automatisé.
C’est pourquoi l’organe autrichien (et l’Avocat général dans ses conclusions) font valoir qu’une information sommaire ou purement déclarative (par exemple : « nous avons tenu compte de X et Y pour aboutir à tel score ») peut s’avérer insuffisante pour permettre un exercice réel et « effectif » des droits reconnus. De plus, la personne concernée n’est pas en mesure de vérifier si les données sont exactes ou si la pondération est fidèle si le détail, au moins qualitatif, n’est pas communiqué.
3. Motifs et arguments principaux issus des conclusions de l’Avocat général et des échanges devant la CJUE
Dans cette affaire, l’Avocat général a proposé plusieurs interprétations et réponses possibles aux questions préjudicielles posées :
1. Droit d’accès et transparence :
– L’article 15 RGPD impose au responsable du traitement une information « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » (principe de transparence, article 12 RGPD).
– L’utilité de l’information fournie doit viser l’effectivité des droits de la personne (accès, rectification, opposition, contestation de la décision).
2. Portée de l’« explication » requise :
– Les « informations utiles concernant la logique sous-jacente » ne sauraient se limiter à de vagues indications ou à de simples generalités. Elles doivent offrir un niveau suffisant de détail pour comprendre comment les données personnelles sont combinées, pondérées ou exclues, et comment la notation finale est obtenue.
– Toutefois, cela n’implique pas nécessairement la communication complète et brute de l’algorithme ou de la formule mathématique exacte, laquelle peut être d’une complexité telle qu’elle ne serait pas exploitable par un non spécialiste, et peut aussi être couverte par le secret d’affaires.
3. Conciliation avec le secret d’affaires et la protection de tiers :
– Le point crucial est d’équilibrer l’exigence de transparence et la protection des droits et libertés d’autrui (dont le secret commercial ou la propriété intellectuelle).
– L’avocat général précise qu’on ne peut opposer un secret commercial pour « refuser toute information ». Cela irait à l’encontre de l’essence même du droit d’accès.
– En revanche, on peut mettre en place des modalités pratiques (par exemple, la pseudonymisation des données de comparaison, ou la transmission réservée à la juridiction) pour protéger les intérêts de tiers ou les secrets d’affaires, tout en permettant un contrôle par l’autorité/juridiction.
4. Niveau minimal d’information à fournir :
– Description générale et compréhensible de la méthode de calcul,
– Mention des grandes catégories de données ou paramètres pris en compte, ainsi que leur « importance respective »,
– Explication de la raison pour laquelle la personne concernée a abouti à une note ou un score particulier,
– Possibilité de vérifier la cohérence et l’exactitude (au moins en partie).
5. Limites au droit d’information (article 15, paragraphe 4, RGPD) :
– Cet alinéa précise que le droit d’accéder aux données ne doit pas « porter atteinte aux droits et libertés d’autrui ».
– Il peut donc y avoir une limitation lorsque la communication intégrale d’un algorithme porterait une atteinte disproportionnée à un secret d’affaires, ou lorsque certaines informations de tiers devraient rester confidentielles.
– Toutefois, la CJUE – comme le souligne l’avocat général – exige dans sa jurisprudence de chercher une solution proportionnée (exemples : masquage partiel, communication simplifiée, anonymisation, etc.).
Le litige C-203/22 s’inscrit dans la lignée d’autres arrêts récents de la CJUE sur l’interprétation du RGPD et en particulier :
– Arrêt du 7 décembre 2023, SCHUFA Holding e.a. (Scoring) (C-634/21),
– Arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette) (C-26/22 et C-64/22),
– Arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF (C-487/21),
– Arrêt du 26 octobre 2023, FT (Copies du dossier médical) (C-307/22),
– Arrêt du 2 mars 2023, Norra Stockholm Bygg (C-268/21),
– Arrêt du 17 juin 2021, M.I.C.M. (C-597/19) (sur la nécessité de pondération au cas par cas).
La problématique du « droit à l’explication » conduit la Cour à:
– Préciser le contenu concret de la notion « d’informations utiles concernant la logique sous-jacente ».
– Ajuster l’équilibre entre la protection des intérêts légitimes du responsable (secret d’affaires) et les droits de la personne concernée (droit d’exercer efficacement son contrôle, rectification, contestation).
– Questionner la validité de dispositions nationales (par ex. l’article 4, paragraphe 6, de la loi autrichienne DSG), qui prévoient une exclusion de l’accès dès lors qu’un secret d’affaires est en jeu, sans prévoir de mécanismes de mise en balance individualisée.
Si l’arrêt de la CJUE suit les conclusions de l’avocat général :
– Il n’y aura pas de bouleversement radical par rapport à la jurisprudence antérieure, mais un affermissement du droit à la transparence « utile », spécialisé sur le profilage de solvabilité.
– Les responsables de traitement ne pourront plus, en pratique, se retrancher systématiquement derrière un secret d’affaires pour refuser toute information significative.
– Un juste équilibre sera réaffirmé : la transparence nécessaire doit être assurée, mais pas forcément la divulgation brute de l’algorithme (souvent inintelligible). Plutôt, on exigera des explications concrètes, compréhensibles et vérifiables, sur la manière dont la machine a abouti à sa conclusion.