POINTS ESSENTIELS JURISPRUDENCE QPC#1 QPC#2 QPC#3 QPC#4 DISSENT OPINION
Human Intelligence v. Artificial Intelligence | HI < SEULE LA MACHINE SAIT < AI
Entre transparence, intérêts bien cachés et confidentialité, la logique sous-jacente aux décisions automatisées doit éclairer sans trahir, pour garantir les droits des individus sans sacrifier les secrets d’affaires.
La CJUE impose au responsable de traitement d’éclairer la logique brumeuse des algorithmes sans dévoiler les équations, afin de concilier le droit de savoir et le devoir de protéger.
L’exigence d’exactitude des informations selon le RGPD : un principe fondamental pour éviter les biais et discriminations
Le contexte factuel de cette affaire concerne une cliente, CK, qui s’est vu refuser la conclusion d’un contrat de téléphonie mobile par un opérateur en Autriche. Ce refus était fondé sur une évaluation automatisée —credit scoring — de sa solvabilité, réalisée par l’entreprise Dun & Bradstreet Austria GmbH (D&B). CK a demandé à D&B des informations sur la logique sous-jacente à cette décision automatisée, conformément à son droit d’accès prévu par le RGPD. Face au refus de D&B de fournir des informations suffisantes, invoquant notamment le secret d’affaires, une procédure judiciaire a été engagée.
L’article 5, paragraphe 1, sous d), du RGPD impose au responsable du traitement une obligation d’exactitude des données personnelles, en précisant que celles-ci doivent être “exactes et, si nécessaire, tenues à jour”. Cette disposition vise à éviter que des décisions fondées sur des données erronées ou biaisées ne produisent des effets juridiques ou significatifs pour les personnes concernées. Dans l’arrêt C-203/22, cette obligation est mise en relation avec le droit d’accès prévu à l’article 15 du RGPD, en vertu duquel la personne concernée peut obtenir une copie des données personnelles traitées ainsi que des informations sur la logique sous-jacente au traitement.
La CJUE, reprenant les arguments soulevés par la juridiction de renvoi, a souligné que la contradiction entre les informations fournies par le responsable du traitement et la décision réelle prise à l’égard de CK—un refus de contrat justifié par un manque de solvabilité alors que les informations communiquées indiquaient une solvabilité élevée—pose un problème manifeste d’exactitude. Cette situation reflète non seulement un défaut de transparence, mais aussi un risque accru de préjudice pour la personne concernée, qui se trouve dans l’incapacité de contester efficacement la décision automatisée en raison d’un accès insuffisant aux informations nécessaires.
À cet égard, la Cour a affirmé que l’exactitude ne se limite pas à la correspondance factuelle des données brutes utilisées dans le traitement, mais concerne également la cohérence entre ces données, leur traitement algorithmique et le résultat final (le “score” attribué à la personne concernée dans cette affaire). L’exactitude doit donc s’apprécier de manière dynamique, en tenant compte de l’ensemble du processus décisionnel automatisé.
Vérification de l’exactitude : une dimension essentielle pour garantir l’effectivité des droits des personnes concernées
L’article 15, paragraphe 1, sous h), du RGPD ne se limite pas à garantir un simple droit d’accès aux données brutes et aux informations pertinentes concernant le traitement. Il impose que ces informations soient suffisamment précises et intelligibles pour permettre à la personne concernée de vérifier leur exactitude et leur cohérence avec le traitement réalisé. Cette exigence est directement liée aux droits correctifs prévus par le RGPD, notamment les droits de rectification (article 16), d’effacement (article 17) et de limitation du traitement (article 18).
Dans l’arrêt C-203/22, la CJUE a insisté sur le fait que l’accès garanti par l’article 15 doit permettre à la personne concernée d’évaluer si les données utilisées pour le traitement sont exactes, si la méthode de traitement est cohérente et si la décision qui en résulte est justifiée. Pour ce faire, trois dimensions sont essentielles :
1. La description du raisonnement algorithmique : La personne concernée doit comprendre les principaux facteurs pris en compte, leur pondération et la logique de calcul utilisée.
2. Le lien entre les données et le résultat : La Cour a souligné l’importance de fournir des informations permettant d’établir un lien clair entre les données utilisées et la décision automatisée afin de vérifier que la logique annoncée correspond bien à la réalité.
3. L’intelligibilité des informations : Les informations communiquées doivent être formulées en termes accessibles, conformément au principe de transparence énoncé à l’article 12 du RGPD.
La vérification en pratique : limites et solutions proposées par la CJUE
La vérification de l’exactitude pose des défis pratiques, notamment lorsque les informations nécessaires pour effectuer cette vérification impliquent :
– des données protégées par des droits de tiers, tels que des secrets d’affaires (par exemple, la formule algorithmique utilisée) ;
– des informations personnelles relatives à d’autres individus (dans les cas de traitements agrégés ou comparatifs).
Pour répondre à ces enjeux, la Cour a proposé des mécanismes souples permettant de concilier les intérêts divergents.
Premièrement, elle a confirmé que l’accès direct à l’intégralité des algorithmes ou formules mathématiques n’est pas nécessairement requis, dans la mesure où des explications agrégées ou contextuelles peuvent suffire à rendre le processus intelligible. Cependant, la Cour a également souligné qu’un refus total de fournir des informations sous prétexte de confidentialité est incompatible avec l’article 15 du RGPD.
Deuxièmement, la CJUE a envisagé l’utilisation d’autorités ou de juridictions indépendantes comme intermédiaires pour vérifier l’exactitude des informations dans les cas où des intérêts concurrents empêchent une divulgation intégrale. Ces entités pourraient, par exemple, analyser les algorithmes ou les données comparables pour s’assurer de leur cohérence et communiquer un résumé à la personne concernée, exempt de toute donnée sensible.
Une approche fonctionnelle du droit d’accès : vers un équilibre entre transparence et confidentialité
La CJUE a adopté une approche fonctionnelle de l’article 15, paragraphe 1, sous h), en affirmant que les informations fournies doivent non seulement être exactes, mais également utiles pour permettre à la personne concernée de protéger ses droits. Cette utilité implique que les informations soient suffisamment détaillées et contextualisées pour permettre une vérification effective de leur exactitude. En même temps, la Cour a pris soin de préserver un équilibre avec les droits des responsables du traitement, en reconnaissant la légitimité de certaines restrictions basées sur le secret des affaires ou la confidentialité des données de tiers.
Une exigence accrue de responsabilité pour les décisions automatisées
L’arrêt C-203/22 constitue une étape importante dans l’interprétation des obligations de transparence et d’exactitude imposées par le RGPD. En renforçant les exigences de vérification des informations fournies aux personnes concernées, la CJUE réaffirme l’importance d’une transparence effective dans les traitements automatisés, tout en tenant compte des contraintes pratiques et juridiques auxquelles font face les responsables du traitement. Cette décision contribue à responsabiliser les acteurs du numérique tout en offrant aux individus les moyens de contester les décisions susceptibles de porter atteinte à leurs droits.