POINTS ESSENTIELS JURISPRUDENCE QPC#1 QPC#2 QPC#3 QPC#4 DISSENT OPINION
Human Intelligence v. Artificial Intelligence | HI < SEULE LA MACHINE SAIT < AI
Entre transparence, intérêts bien cachés et confidentialité, la logique sous-jacente aux décisions automatisées doit éclairer sans trahir, pour garantir les droits des individus sans sacrifier les secrets d’affaires.
La CJUE impose au responsable de traitement d’éclairer la logique brumeuse des algorithmes sans dévoiler les équations, afin de concilier le droit de savoir et le devoir de protéger.
L’article 15, §1, sous h), comme prérequis au plein exercice des droits conférés par l’article 22
Le contexte factuel de cette affaire concerne une cliente, CK, qui s’est vu refuser la conclusion d’un contrat de téléphonie mobile par un opérateur en Autriche. Ce refus était fondé sur une évaluation automatisée —credit scoring — de sa solvabilité, réalisée par l’entreprise Dun & Bradstreet Austria GmbH (D&B). CK a demandé à D&B des informations sur la logique sous-jacente à cette décision automatisée, conformément à son droit d’accès prévu par le RGPD. Face au refus de D&B de fournir des informations suffisantes, invoquant notamment le secret d’affaires, une procédure judiciaire a été engagée.
Dans son raisonnement, la CJUE souligne que le droit d’accès prévu à l’article 15, paragraphe 1, sous h), est une condition préalable essentielle pour l’exercice effectif des droits garantis par l’article 22, paragraphe 3, du RGPD.
L’objectif affiché de l’article 22 est double : protéger les individus contre les décisions entièrement automatisées, qui peuvent avoir des conséquences juridiques ou des effets significatifs, et assurer un contrôle humain dans de telles situations; ce contrôle ne peut avoir lieu sans une transparence suffisante sur le fonctionnement des systèmes automatisés qui sous-tendent ces décisions.
La CJUE rappelle que l’article 15, paragraphe 1, sous h), impose aux responsables du traitement de fournir des informations “utiles” sur la logique sous-jacente à une décision automatisée. Cette obligation implique que la personne concernée puisse disposer des éléments nécessaires pour comprendre la méthode utilisée (facteurs pris en compte, pondération des données, règles de décision) et la manière dont ces éléments ont conduit à une évaluation ou une décision la concernant.
Cependant, l’information brute n’est pas suffisante : la motivation insiste sur la compréhensibilité de ces informations pour une personne non experte. La Cour met en avant l’exigence d’une transparence intelligible et significative, conforme à l’article 12, paragraphe 1, du même règlement, qui impose l’utilisation de termes clairs et simples.
La CJUE insiste également sur la finalité fonctionnelle de l’article 15, §1, sous h) : il ne s’agit pas seulement d’informer la personne concernée sur l’existence d’un traitement automatisé, mais de lui permettre d’évaluer si ses droits ont été violés ou de contester utilement la décision.
Pour ce faire, l’accès à ces informations doit être suffisamment détaillé et précis pour que l’individu puisse envisager d’exercer les droits suivants garantis par l’article 22, paragraphe 3 :
– le droit de contester une décision automatisée ;
– le droit d’exprimer son point de vue ;
– le droit de solliciter une intervention humaine.
En d’autres termes, la CJUE réinterprète l’article 15 sous un prisme fonctionnel : sa mise en œuvre doit viser à permettre l’effectivité des droits garantis par l’article 22.
Lien entre transparence et contestation : vers une effectivité des garanties procédurales
L’un des apports majeurs de l’arrêt réside dans la mise en avant des droits procéduraux effectifs associés aux décisions automatisées.
La CJUE reconnaît que l’article 22 constitue une garantie renforcée contre les effets potentiellement arbitraires des décisions prises sans intervention humaine.
La capacité d’exercer ces droits dépend étroitement des informations fournies en vertu de l’article 15; à ce titre, il n’est pas suffisant de fournir des explications superficielles ou génériques.
Les “informations utiles” doivent inclure des détails permettant à la personne concernée de :
1. Comprendre si les données utilisées sont exactes et pertinentes ;
2. Vérifier la cohérence entre la logique annoncée et la décision elle-même ;
3. Identifier d’éventuelles erreurs, biais ou incohérences dans le traitement.
En l’absence de telles informations, le droit de contester utilement la décision, garanti par l’article 22, est vidé de son contenu réel.
La CJUE précise que ces droits doivent être exercés facilement et de manière prometteuse par la personne concernée, ce qui suppose une transparence accrue sur les processus de décision automatisée, tout en respectant les droits des tiers (comme le secret des affaires).
Une particularité intéressante est le rôle de l’autorité de contrôle ou des juridictions nationales; en cas de conflit entre la transparence requise et la protection d’intérêts concurrentiels (par exemple, les secrets industriels invoqués par le responsable du traitement), la CJUE indique que l’examen de ces équilibres doit être confié à une entité indépendante, qui agira en tant que garant de la proportionnalité et de la préservation des droits fondamentaux.
L’interdépendance entre les droits substantiels et procéduraux du RGPD
La motivation de la CJUE met en exergue une interdépendance normative entre les droits substantiels et procéduraux du RGPD.
Par ce raisonnement, la Cour élargit la portée de l’article 15 pour lui conférer une fonction réparatrice et préventive.
Non seulement cet article permet au citoyen d’être informé, mais il garantit également :
1. Le respect du droit à ne pas être soumis à une décision entièrement automatisée sans garanties adéquates ;
2. Une protection contre les erreurs ou les discriminations potentiellement engendrées par des biais algorithmiques ;
3. Le rétablissement de l’équilibre d’information entre la personne concernée et le responsable du traitement.
Ainsi, la CJUE considère que l’article 22 ne peut être lu isolément ; il se nourrit des garanties informatives prévues à l’article 15, qui en assurent l’ancrage pratique.
Une interprétation encadrée par le principe de proportionnalité
Enfin, la CJUE tempère sa lecture en insistant sur le principe de proportionnalité, qui constitue un des fondements du RGPD.
Toute exigence de transparence accrue doit être pondérée par les droits et libertés d’autrui, notamment les secrets d’affaires protégés par la directive 2016/943: toutefois, la Cour affirme avec force que ces limitations ne sauraient “aboutir à un refus absolu d’information”.
Cette articulation est particulièrement importante dans le cas des algorithmes ou des logiques de décision complexes.
La CJUE insiste sur le fait que ce n’est pas forcément l’algorithme entier qui doit être divulgué, mais les informations essentielles permettant à la personne concernée de comprendre le raisonnement décisionnel.