CJUE | 27 FEVRIER 2025 | C- 203/22 | JURISPRUDENCE | Dun & Bradstreet Austria GmbH │ Credit Scoring, Intelligence Artificielle, Scoring, Prise de décision & Profilage | otion de "logique sous-jacente" au sens de l'article 15, paragraphe 1, sous h)

CJUE | Arrêt du 27 février 2025 | C- 203/22 | Dun & Bradstreet Austria GmbH │

Prise de décision automatisée & Profilage | Scoring & Intelligence Artificielle A.I. | Algorithmes, Boîte noire & Accès aux informations utiles concernant la logique sous-jacente | Vérification de l’exactitude des informations et de la cohérence | Droits d'autrui & Secret des affaires |

Un “droit à l’explication” …
ou comment concilier transparence et intelligibilité

Le contexte factuel de cette affaire concerne une cliente, CK, qui s’est vu refuser la conclusion d’un contrat de téléphonie mobile par un opérateur en Autriche. Ce refus était fondé sur une évaluation automatisée —credit scoring — de sa solvabilité, réalisée par l’entreprise Dun & Bradstreet Austria GmbH (D&B). CK a demandé à D&B des informations sur la logique sous-jacente à cette décision automatisée, conformément à son droit d’accès prévu par le RGPD. Face au refus de D&B de fournir des informations suffisantes, invoquant notamment le secret d’affaires, une procédure judiciaire a été engagée.

La notion de “logique sous-jacente”, telle qu’évoquée à l’article 15, §1, sous h), du RGPD, représente un outil central dans le cadre de la protection des droits des personnes concernées lorsqu’elles font l’objet d’un traitement automatisé.

La Cour de justice de l’Union européenne (CJUE) a eu pour tâche d’éclaircir le contenu, la portée et les limites de cette notion. Cette clarification s’inscrit dans un contexte où les traitements automatisés, souvent soutenus par des algorithmes opaques, posent des défis spécifiques en matière de transparence et de contrôle.

La logique sous-jacente doit être comprise comme une forme d’explication fonctionnelle et accessible, permettant à la personne concernée de comprendre les mécanismes essentiels du traitement de ses données; cette explication doit inclure les critères et méthodes utilisés dans le cadre de ce traitement, sans nécessairement aller jusqu’à dévoiler les détails techniques (comme l’intégralité du code algorithmique).

 

CJUE | C- 203/22 | 27 février 2025 | Dun & Bradstreet Austria GmbH │ Intelligence Artificielle, Scoring, Prise de décision & Profilage | Accès aux informations utiles concernant la logique sous-jacente| Droits des tiers | Secret des affaires |

 

POINTS ESSENTIELS JURISPRUDENCE QPC#1 QPC#2 QPC#3 QPC#4 DISSENT OPINION

Human Intelligence v. Artificial Intelligence   |    HI   <   SEULE LA MACHINE SAIT   <   AI

 

Entre transparence, intérêts bien cachés et confidentialité, la logique sous-jacente aux décisions automatisées doit éclairer sans trahir, pour garantir les droits des individus sans sacrifier les secrets d’affaires.

La CJUE impose au responsable de traitement  d’éclairer la logique brumeuse des algorithmes sans dévoiler les équations, afin de concilier le droit de savoir et le devoir de protéger.

 

Le contexte factuel de cette affaire concerne une cliente, CK, qui s’est vu refuser la conclusion d’un contrat de téléphonie mobile par un opérateur en Autriche. Ce refus était fondé sur une évaluation automatisée —credit scoring — de sa solvabilité, réalisée par l’entreprise Dun & Bradstreet Austria GmbH (D&B). CK a demandé à D&B des informations sur la logique sous-jacente à cette décision automatisée, conformément à son droit d’accès prévu par le RGPD. Face au refus de D&B de fournir des informations suffisantes, invoquant notamment le secret d’affaires, une procédure judiciaire a été engagée.

 

JURISPRUDENCE EUROPÉENNE

1. CJUE, aff. C-634/21, “SCHUFA Holding (Scoring)”, arrêt du 7 décembre 2023
– Sujet : Décision automatisée et transparence du “scoring” basé sur des données personnelles.
– Mentionné aux paragraphes de l’arrêt C-203/22 : §§ 27, 49-50, 57-59.
La CJUE a considéré qu’une valeur de probabilité utilisée par une entité commerciale pour évaluer la solvabilité d’une personne peut constituer une décision automatisée au sens de l’article 22 RGPD.

2. CJUE, aff. C-26/22 et C-64/22, “SCHUFA Holding (Libération de reliquat de dette)”, arrêt du 7 décembre 2023
– Sujet : Traitement automatisé d’informations relatives aux engagements contractuels.
– Mentionné aux paragraphes : §§ 70-71, 43.
Mise en évidence des ingérences graves dans les droits fondamentaux lors d’évaluations automatisées.

3. CJUE, aff. C-487/21, “Österreichische Datenschutzbehörde et CRIF”, arrêt du 4 mai 2023
– Sujet : Obligation de fournir une copie fidèle des données personnelles dans le cadre de l’article 15, paragraphe 3 RGPD.
– Mentionné aux paragraphes : §§ 24, 34-36, 44-46.
Interprétation des droits d’accès des individus à leurs données personnelles.

4. CJUE, aff. C-307/22, “FT (Copies du dossier médical)”, arrêt du 26 octobre 2023
– Sujet : Relations entre droits d’accès et droits tiers.
– Mentionné aux paragraphes : §§ 37-39.
Clarification de la conciliation entre le principe de transparence et la protection des droits d’autrui.

5. CJUE, aff. C-268/21, “Norra Stockholm Bygg”, arrêt du 2 mars 2023
– Sujet : Modalités de communication respectueuses des droits d’autrui.
– Mentionné aux paragraphes : § 93.
Arbitrage entre droits d’accès et protection due aux tiers dans le cadre d’un traitement de données.

6. CJUE, aff. C-597/19, “M.I.C.M.”, arrêt du 17 juin 2021
– Mentionné aux paragraphes : § 95.
Observation de la proportionnalité dans les mises en balance juridictionnelles.

 

JURISPRUDENCE NATIONALE (AUTRICHE)

1. Oberster Gerichtshof (Cour suprême autrichienne)
– Sujet : Caractère juridique des algorithmes comme secrets d’affaires en vertu de la directive 2016/943.
– Mentionné aux paragraphes : § 21.
Les juges nationaux ont défendu le statut d’algorithmes comme secrets protégés face aux obligations de transparence.

 

LIGNES DIRECTRICES ET RÉFÉRENTIELS DU CEPD

1. Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage en vertu du RGPD
– Référencées dans l’arrêt en relation avec une transparence suffisante et compréhensible des décisions automatisées.
– Mentionné aux paragraphes : § 74.
– Source : Groupe de travail Article 29 (dont les fonctions sont reprises par le CEPD).
– Point clé : Nécessité de fournir des explications simples et utiles, non limitées par la complexité technique des algorithmes.

 

TEXTES NORMATIFS APPLIQUES

1. Directive 2016/943 sur la protection des secrets d’affaires
– Mentionné aux paragraphes : §§ 12, 89-90.
– Points discutés : Définition des secrets d’affaires (article 2) et protection en contexte judiciaire (article 9). L’arrêt spécifie la mise en balance des intérêts liés à la transparence et à la confidentialité.

2. Charte des droits fondamentaux de l’Union européenne
– Mentionné aux paragraphes : §§ 85, 90.
– Point clé : Droit à la protection des données (article 8) et sa balance avec la protection des droits tiers (article 16).