POINTS ESSENTIELS JURISPRUDENCE QPC#1 QPC#2 QPC#3 QPC#4 DISSENT OPINION
Human Intelligence v. Artificial Intelligence | HI < SEULE LA MACHINE SAIT < AI
Entre transparence, intérêts bien cachés et confidentialité, la logique sous-jacente aux décisions automatisées doit éclairer sans trahir, pour garantir les droits des individus sans sacrifier les secrets d’affaires.
La CJUE impose au responsable de traitement d’éclairer la logique brumeuse des algorithmes sans dévoiler les équations, afin de concilier le droit de savoir et le devoir de protéger.
L’arrêt C-203/22 constitue une étape significative dans l’interprétation de la notion d'”informations utiles concernant la logique sous-jacente” devant être communiquées aux personnes concernées en vertu de l’article 15, paragraphe 1, sous h), du RGPD. Cette affaire, qui fait suite à l’important arrêt SCHUFA Holding (Scoring) (C-634/21), rendu le 7 décembre 2023, explore les contours de cette notion fondamentale, sa portée et ses limites face aux considérations concurrentes telles que le secret d’affaires.
En l’espèce, CK s’était vu refuser par un opérateur de téléphonie mobile la conclusion d’un contrat qui aurait impliqué le paiement mensuel d’une somme de dix euros, au motif que, selon une évaluation de crédit effectuée par Dun & Bradstreet Austria GmbH (D&B), elle ne présentait pas une solvabilité financière suffisante. Suite à ce refus, CK a demandé à accéder aux informations sur la logique sous-jacente à cette décision automatisée, mais s’est heurtée à un refus partiel de D&B, qui invoquait le secret d’affaires pour limiter les informations communiquées. La juridiction de renvoi, confrontée à la nécessité de déterminer précisément les informations devant être communiquées dans ce contexte, a saisi la Cour de justice pour obtenir une interprétation de l’article 15, paragraphe 1, sous h), du RGPD, notamment quant à la portée de la notion d'”informations utiles concernant la logique sous-jacente”.
Une approche fonctionnelle au service de l’effectivité des droits
Dans son analyse, l’Avocat général Jean Richard de la Tour développe une conception fonctionnelle de la notion d'”informations utiles concernant la logique sous-jacente”. Selon lui, cette notion doit être appréhendée en tenant compte de sa finalité : permettre à la personne concernée de comprendre le processus qui a conduit à la décision automatisée et d’exercer effectivement les droits que lui confère le RGPD, notamment celui d’exprimer son point de vue et de contester cette décision en vertu de l’article 22.
L’Avocat général affirme qu’il s’agit d’un véritable “droit à l’explication” (point 67 des conclusions), en se fondant notamment sur le considérant 71 du RGPD qui évoque la possibilité pour la personne concernée d'”obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation”. Cette lecture est renforcée par le principe de transparence inscrit à l’article 12 du RGPD, qui exige que les informations soient communiquées “d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples”.
La recherche d’un équilibre entre compréhensibilité et exhaustivité / Divergences entre la position de l’Avocat Général et celle de la Cour
La motivation de l’Avocat général met en lumière une tension fondamentale dans l’interprétation de la notion de “logique sous-jacente” : celle entre, d’une part, le besoin de fournir des informations suffisamment détaillées pour permettre une compréhension véritable du processus décisionnel et, d’autre part, la nécessité que ces informations restent accessibles à des personnes ne disposant pas d’expertise technique particulière.
Ainsi, l’Avocat général considère que l’article 15, paragraphe 1, sous h), ne devrait pas être interprété comme imposant “une obligation de divulguer à la personne concernée des informations qui, en raison de leur nature technique, présentent un degré de complexité tel qu’elles ne peuvent pas être comprises par les personnes qui ne disposent pas d’une expertise technique particulière” (point 72 des conclusions). Les algorithmes entreraient dans cette catégorie d’informations trop complexes.
Cette position, qui établit une forme de seuil de complexité au-delà duquel les informations ne seraient plus considérées comme “utiles” au sens du RGPD, représente une limitation potentiellement significative du droit d’accès des personnes concernées. Elle reflète un parti pris en faveur de la compréhensibilité plutôt que de l’exhaustivité, partant du principe qu’une formule mathématique complexe serait moins “utile” pour la personne concernée que des explications accessibles sur le fonctionnement général du système.
L’Avocat Général met un accent fort sur l’exigence de fournir des informations suffisamment détaillées pour permettre à la personne concernée de comprendre l’utilisation des données et la pondération des critères appliqués lors du traitement automatisé. Bien qu’il exclue explicitement l’obligation de divulguer des algorithmes complexes, il maintient que les responsables du traitement doivent fournir des explications complètes sur les critères, leur poids relatif et la manière dont les données personnelles ont été utilisées pour obtenir le résultat de la décision.
Si la Cour partage cette exigence d’informations détaillées et compréhensibles, elle insiste davantage dans les motifs de sa décision sur une approche “proportionnée“, limitant les informations à celles qui permettent à la personne concernée de comprendre les étapes générales de la décision sans nécessairement fournir tous les détails techniques ou méthodologiques. La Cour met en avant la nécessité de garantir que ces informations soient accessibles, c’est-à-dire formulées de manière concise, transparente et dépourvue de complexité inutile, tout en évitant de divulguer des éléments protégés par le secret d’affaires. Ce faisant, la CJUE semble accorder une plus grande flexibilité aux responsables de traitement quant à la granularité des informations à fournir.
L’exigence d’exactitude et de vérifiabilité
Un aspect particulièrement novateur de la motivation dans cette affaire réside dans l’importance accordée à la vérifiabilité des informations communiquées. L’Avocat général souligne que les “informations utiles” doivent non seulement être compréhensibles, mais également permettre à la personne concernée de “vérifier leur exactitude et s’il existe une cohérence ainsi qu’un lien de causalité objectivement vérifiables entre, d’une part, la méthode et les critères utilisés, et, d’autre part, le résultat auquel est parvenue la décision automatisée” (point 68 des conclusions).
Cette exigence de vérifiabilité est d’autant plus pertinente dans le cas d’espèce où, comme le note la juridiction de renvoi, il existe une contradiction apparente entre les informations communiquées par D&B (indiquant une très bonne solvabilité de CK) et le résultat effectif du profilage (conduisant au refus d’un contrat de téléphonie mobile de seulement dix euros par mois).
Contextualisation avec la jurisprudence SCHUFA Holding (Scoring)
L’arrêt C-203/22 s’inscrit dans le prolongement de la jurisprudence SCHUFA Holding (Scoring) (C-634/21), rendue le 7 décembre 2023, à laquelle l’Avocat général fait explicitement référence dans ses conclusions (points 27-29); dans l’affaire SCHUFA Holding, la Cour avait jugé que l’établissement automatisé, par une société fournissant des informations commerciales, d’une valeur de probabilité fondée sur des données à caractère personnel relatives à une personne constituait une “décision individuelle automatisée” au sens de l’article 22 du RGPD lorsque cette valeur influençait de manière déterminante la conclusion, l’exécution ou la fin d’une relation contractuelle avec cette personne.
L’Avocat général s’appuie sur les conclusions de l’Avocat général Pikamäe dans cette affaire, qui avait déjà défini les contours de la notion d'”informations utiles concernant la logique sous-jacente”. Selon ce dernier, cette notion devait être comprise comme comportant “des explications suffisamment détaillées sur la méthode utilisée pour le calcul du score et les raisons qui ont conduit à un résultat déterminé” et “des informations globales, notamment sur les facteurs pris en considération pour le processus décisionnel et sur leur importance respective à un niveau agrégé” (point 38 des conclusions).
L’arrêt C-203/22 approfondit cette interprétation en précisant davantage le contenu de ces “informations utiles“, en insistant notamment sur leur caractère vérifiable et sur la nécessité d’une cohérence entre les explications fournies et le résultat de la décision automatisée.
Clarification du rôle du secret d’affaires
Un autre aspect important de l’arrêt C-203/22 réside dans la clarification du rapport entre le droit d’accès garanti par l’article 15, paragraphe 1, sous h), et la protection du secret d’affaires.
L’Avocat général souligne que le législateur de l’Union a déjà, dans une large mesure, assuré l’équilibre entre l’exigence de transparence et la préservation des droits et libertés d’autrui, y compris la protection du secret d’affaires, en limitant la notion d'”informations utiles” aux informations compréhensibles pour une personne ne disposant pas d’expertise technique particulière (points 80-81 des conclusions).
Cependant, l’Avocat général reconnaît que dans certains cas, le droit d’accès peut entrer en conflit avec la protection des secrets d’affaires ou d’autres droits. Dans de telles situations, il préconise une mise en balance des intérêts en présence, qui doit être effectuée au cas par cas par les autorités ou juridictions compétentes (points 94-95 des conclusions).
Une définition souple mais potentiellement restrictive
La motivation développée dans l’arrêt C-203/22 présente l’avantage de la flexibilité, en proposant une définition fonctionnelle de la notion d'”informations utiles concernant la logique sous-jacente” qui peut s’adapter à divers contextes technologiques. Toutefois, cette souplesse s’accompagne d’une ambiguïté quant au niveau précis de détail requis.
En excluant a priori la divulgation des algorithmes ou formules mathématiques complexes, cette interprétation établit une limitation potentiellement substantielle du droit d’accès, qui pourrait compromettre l’effectivité du droit de contestation garanti par l’article 22 du RGPD. Si la compréhensibilité des informations est effectivement essentielle, le critère de l’expertise technique comme ligne de démarcation peut sembler arbitraire et susceptible d’être instrumentalisé pour refuser la divulgation d’informations pertinentes.
Le défi de la vérifiabilité sans accès aux mécanismes techniques
L’exigence de vérifiabilité des informations communiquées soulève une question fondamentale : comment la personne concernée peut-elle vérifier l’exactitude et la cohérence des informations reçues sans accéder aux mécanismes techniques sous-jacents? Cette tension est particulièrement visible dans le cas d’espèce, où l’expert désigné par la juridiction de renvoi a estimé nécessaire la communication de la formule mathématique utilisée pour le calcul du “score”.
La solution proposée par l’Avocat général, consistant à confier à une autorité ou juridiction compétente le soin de vérifier les informations lorsque leur divulgation risquerait de porter atteinte aux droits d’autrui, représente un compromis intéressant. Cependant, cette approche soulève des questions quant à l’expertise technique dont disposent ces autorités pour effectuer de telles vérifications et quant à la capacité réelle de la personne concernée à exercer ses droits dans un tel contexte.
L’évaluation critique de la proportionnalité
Dans sa motivation, l’Avocat général souligne à juste titre que les restrictions au droit d’accès doivent respecter le principe de proportionnalité et ne peuvent aboutir à “refuser toute communication d’informations à la personne concernée”, conformément au considérant 63 du RGPD. Cette position marque une avancée significative par rapport à des interprétations plus restrictives qui auraient pu donner une préséance systématique au secret d’affaires.
L’Avocat général critique notamment l’article 4, paragraphe 6, du DSG autrichien, qui exclut en principe le droit d’accès lorsqu’il compromettrait un secret d’affaires, au motif qu’une telle disposition ne permet pas une mise en balance au cas par cas des intérêts en présence. Cette approche, qui privilégie une évaluation contextuelle plutôt qu’une exclusion catégorique, mérite d’être saluée.
La dimension collective de la transparence algorithmique
Une limite de la motivation réside dans son approche essentiellement individualisée de la transparence algorithmique. En se concentrant sur les droits individuels d’accès et de contestation, elle néglige potentiellement la dimension collective de la transparence des systèmes automatisés de décision, qui concerne non seulement les individus directement affectés par ces décisions, mais aussi la société dans son ensemble.
Cette approche individualisée peut s’avérer insuffisante face à des systèmes algorithmiques complexes dont les biais ou discriminations potentiels ne peuvent être détectés qu’à travers une analyse plus systémique. La tension entre le droit individuel à l’explication et le besoin collectif de compréhension et de contrôle des systèmes automatisés constitue un défi majeur que la motivation n’aborde que partiellement.
L’arrêt C-203/22 apporte des clarifications significatives sur la notion d'”informations utiles concernant la logique sous-jacente” au sens de l’article 15, paragraphe 1, sous h), du RGPD, en l’interprétant de manière fonctionnelle comme un droit à des explications compréhensibles et vérifiables sur le processus de décision automatisée.
Dans le prolongement de la jurisprudence SCHUFA Holding, cet arrêt contribue à préciser l’équilibre entre le droit d’accès des personnes concernées et la protection des secrets d’affaires des responsables de traitement, en privilégiant une approche proportionnée et contextuelle.
Toutefois, la motivation laisse subsister certaines zones d’ombre, notamment quant au niveau précis de détail requis et à la manière dont la vérifiabilité des informations peut être assurée sans accès aux mécanismes techniques sous-jacents. Ces questions continueront probablement à susciter des débats et à nécessiter des clarifications jurisprudentielles supplémentaires à mesure que les systèmes de décision automatisée se complexifieront et se généraliseront.