La CJCE a décidé par Arrêt du 27 février 2025 (affaire C‑203/22 dans l’affaire CK c. Magistrat der Stadt Wien) précise les informations qu’un responsable du traitement doit fournir à une personne concernée dans le cadre du droit d’accès prévu à l’article 15, paragraphe 1, point h), du RGPD concernant les la “logique impliquée” dans la prise de décision automatisée et le profilage doit fournir. Au final, le responsable doit fournir toutes les informations permettant à la personne concernée de comprendre,
- quelles données personnelles sont utilisées dans le cadre de la prise de décision automatisée.
- de quelle manière ils ont été utilisés.
Une formule mathématique complexe (par exemple un algorithme) n’est pas suffisante pour cela, pas plus qu’une description détaillée de chaque étape d’une prise de décision automatisée.
Cet arrêt concerne directement le droit d’accès dans le cadre de des décisions individuelles automatisées. Il a un effet indirect sur le droit d’accès dans son ensemble, car il renforce son importance en tant que droit préalable : Il sert à l’exercice d’autres droits, raison pour laquelle il doit permettre cet exercice. Cela conduit à une tendance à interprétation large du droit d’accès.
Le cas concret concernait le refus d’un contrat de téléphonie mobile en raison d’un contrôle de solvabilité automatisé. Dun & Bradstreet Austria avait omis, malgré la demande de l’autorité autrichienne de protection des données, de transmettre des informations pertinentes sur la logique impliquée dans le contrôle de solvabilité. Le site Cour administrative fédérale autrichienne est parvenu à la conclusion suivante :
19 Par décision du 23 octobre 2019 […], le Tribunal administratif fédéral a constaté que D & B avait violé l’article 15, paragraphe 1, sous h), du RGPD en ne fournissant pas à CK des informations pertinentes sur la logique impliquée dans la prise de décision automatisée effectuée sur la base des données à caractère personnel de CK ou, à tout le moins, en ne justifiant pas suffisamment pourquoi elle n’était pas en mesure de fournir de telles informations.
20 Dans sa décision, le Tribunal administratif fédéral a notamment constaté que les explications de D & B n’avaient pas suffi à mettre CK en situation, de comprendre comment la probabilité de leur comportement futur (“score”) est pronostiquée. avait été établi. Ce score avait été communiqué à CK par D & B en précisant que pour le déterminer certaines données sociodémographiques de CK “pondérées de manière équivalente entre elles”. ont été faites.
La Cour de justice européenne a déclaré à ce sujet
- Les “informations significatives sur la logique impliquée” d’une prise de décision automatisée comprennent toutes les informations déterminantes sur la procédure et les principes du traitement automatisé :
50 […] l’interprétation […] selon laquelle “des informations significatives sur la logique impliquée” dans une prise de décision automatisée au sens de cette disposition toutes les informations pertinentes sur la procédure et les principes du traitement automatisé de données à caractère personnel en vue d’obtenir un résultat déterminé et que, en raison de l’exigence de transparence, ces informations doivent en outre être fournies sous une forme précise, transparente, intelligible et aisément accessible.
- Les informations doivent permettre à la personne concernée de exercice effectif de leurs droits en vertu de l’article 22, paragraphe 3, du RGPD (présentation de leur propre point de vue et contestation de la décision) :
53 Concrètement, en ce qui concerne le droit d’accès prévu à l’article 15 du RGPD, il doit, selon la jurisprudence de la Cour, permettre à la personne concernée de vérifiersi des données la concernant correct sont et s’ils sont traitées de manière licite être […].
[…]55 En particulier, dans le contexte spécifique de l’adoption d’une décision fondée exclusivement sur un traitement automatisé, le droit de la personne concernée […] vise principalement à lui permettre d’exercer de manière effective les droits qui lui sont conférés par l’article 22, paragraphe 3, du RGPD, à savoir droit d’exposer son point de vue et de contester la décision.
[…]58 […] il en résulte que, dans le cas d’une prise de décision automatisée au sens de cette disposition, le droit d’obtenir des “informations pertinentes sur la logique impliquée” est considéré comme un droit fondamental. Droit à l’explication de la procédure et des principes qui ont été appliquées lors du traitement automatisé des données à caractère personnel de la personne concernée afin d’obtenir, sur la base de ces données, un résultat déterminé, tel qu’un profil de solvabilité. […]
- Ni la simple transmission d’une formule mathématique complexe (comme un Algorithme) ni les description détaillée de chaque étape d’une prise de décision automatisée répondent à ces exigences. La personne concernée doit au contraire pouvoir comprendre quelles données personnelles dans le cadre de la prise de décision automatisée de quelle manière ont été
59 Ni la simple transmission d’une formule mathématique complexe (telle qu’un Algorithme), ni la description détaillée de chaque étape d’une prise de décision automatisée répondent à ces exigences, car elles ne constituent pas toutes deux des explications suffisamment précises et compréhensibles.
[…]61 Les “informations significatives sur la logique impliquée” d’une prise de décision automatisée […] doivent donc décrire la procédure et les principes qui sont concrètement appliqués de telle sorte que la personne concernée puisse de comprendre quelles données à caractère personnel la concernant ont été utilisées dans le cadre de la prise de décision automatisée en question, et de quelle manièreLa complexité des opérations à effectuer dans le cadre d’une prise de décision automatisée ne saurait dispenser le responsable du traitement de son obligation d’explication.
62 Concrètement, en ce qui concerne un profilage tel que celui en cause au principal, la juridiction de renvoi pourrait notamment considérer qu’il est suffisamment transparent et compréhensible d’informer la personne concernée, dans quelle mesure une différence dans les données à caractère personnel prises en compte aboutit à un résultat différent aurait entraîné.
- Si des informations Secrets d’affaires ou données personnelles de tiers doivent, le cas échéant, être à l’autorité de contrôle ou à la juridiction compétente Les autorités de protection des données doivent mettre en balance les droits et les intérêts en présence :
73 […] une juridiction nationale […] peut estimer que des données à caractère personnel doivent lui être transmises par des parties ou des tiers afin qu’elle puisse […] mettre en balance les intérêts en jeu. Cette appréciation peut, le cas échéant, l’amener à autoriser la divulgation totale ou partielle à la partie adverse des données à caractère personnel qui lui sont ainsi transmises […].
- Les dispositions nationales, comme ici l’article 4, paragraphe 6, de la DSG-AT, qui Exclure globalement le droit d’accèsLes personnes qui, en fournissant des informations, risquent de compromettre un secret commercial ou industriel sont tenues de respecter les règles de confidentialité. n’est pas conforme à l’article 15 du RGPD compatible. Une restriction globale n’est pas admissible, car la mise en balance doit se faire au cas par cas :
75 En ce qui concerne la nécessité de déterminer cela au cas par cas, l’article 15, paragraphe 1, sous h), du RGPD s’oppose notamment à l’application d’une disposition telle que l’article 4, paragraphe 6, de la DSG, qui exclut en principe le droit d’accès de la personne concernée prévu à l’article 15 du RGPD lorsque cet accès compromettrait un secret commercial ou industriel du responsable du traitement ou d’un tiers. Un État membre ne peut pas prescrire de manière définitive le résultat d’une mise en balance des droits et intérêts en présence, prescrite par le droit de l’Union et effectuée au cas par cas (voir en ce sens Arrêt du 7 décembre 2023, SCHUFA Holding e.a. [Scoring], C‑634/21, EU:C:2023:957, point 70 et la jurisprudence citée).