Protection des données : éclairages sur « les informations utiles concernant la logique sous-jacente » d’un traitement automatisé

Un particulier autrichien s’est vu refuser la conclusion ou la prolongation d’un contrat par un opérateur de téléphonie mobile. Cette décision se basait sur l’évaluation de sa solvabilité financière réalisée par voie automatisée par une entreprise tierce. Conformément à l’article 15 du RGPD, il a exercé son droit d’accès, dans le but notamment de se voir communiquer « des informations utiles concernant la logique sous-jacente » de la prise de décision automatisée fondée sur ses données personnelles. La détermination de ces informations et des modalités de communication posant des difficultés à la juridiction de renvoi autrichienne, cette dernière a sursis à statuer et a posé des questions préjudicielles auxquelles la CJUE a répondu dans un arrêt du 27 février 2025.

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

S’appuyant sur les aspects linguistiques et contextuels ainsi que sur les finalités du RGPD, notamment de son article 15, § 1, la CJUE estime que toute personne a « un droit à l’explication de la procédure et des principes concrètement appliqués pour exploiter, par la voie automatisée, [ses] données à caractère personnel […] aux fins d’en obtenir un résultat déterminé, tel un profil de solvabilité » (point 58). Cette explication doit être fournie, au moyen d’informations pertinentes et d’une façon concise, transparente, compréhensible et aisément accessible.

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Cela implique pour le responsable du traitement de « décrire la procédure et les principes concrètement appliqués de telle manière que la personne concernée puisse comprendre lesquelles de ses données à caractère personnel ont été utilisées […] lors de la prise de décision automatisée en cause » (point 61). La Cour considère logiquement que le responsable faillit à cette obligation lorsqu’il se contente de procéder à « la simple communication d’une formule mathématique complexe, telle qu’un algorithme » ou qu’il communique « la description détaillée de toutes les étapes d’une prise de décision automatisée » (point 59).

Dans le cadre du profilage qui avait été opéré via l’utilisation de données sociodémographiques de la personne concernée ayant « été agrégées de manière équivalente », la Cour indique qu’une information transparente et intelligible pourrait consister en la transmission d’éléments sur la « mesure dans laquelle une variation au niveau des données à caractère personnel prises en compte aurait conduit à un résultat différent » (point 62).

En tout état de cause, le responsable du traitement ne peut s’exonérer de son obligation de transmettre les informations utiles relatives à la logique sous-jacente du traitement en faisant valoir la complexité des opérations réalisées pour parvenir au résultat.

À l’obligation d’informer la personne concernée, s’oppose l’intérêt du responsable à conserver la confidentialité des secrets d’affaires. Il est, dès lors, nécessaire de procéder à une conciliation entre les règles découlant respectivement du RGPD et de la directive (UE) 2016/943 sur le secret des affaires (Dir. (UE) 2016/943 du Parlement européen et du Conseil, 8 juin 2016 : JOUE n° L 157, 15 juin). Cette conciliation s’opère via la mise en place d’un droit d’accès indirect, avec l’intervention d’une autorité de contrôle ou d’une juridiction compétente.

La Cour précise que, dans ce cadre, le responsable du traitement est tenu de communiquer les « informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès de la personne concernée prévu à l’article 15 du RGPD » (point 76).

Après l’arrêt « SCHUFA Holding e.a. (Scoring) », la CJUE continue son œuvre d’interprétation du RGPD en donnant un éclairage sur les exigences imposées au responsable qui recourt à un traitement automatisé pour prendre une décision à l’égard d’une personne (CJUE, 7 déc. 2023, C‑634/21, SCHUFA Holding e.a. (Scoring)). Cet éclairage est bienvenu, même s’il ne répond pas à toutes les interrogations soulevées par les obligations d’information et de communication qui découlent de la prise d’une décision automatisée.