POINTS ESSENTIELS JURISPRUDENCE QPC#1 QPC#2 QPC#3 QPC#4 DISSENT OPINION
Human Intelligence v. Artificial Intelligence | HI < SEULE LA MACHINE SAIT < AI
Entre transparence, intérêts bien cachés et confidentialité, la logique sous-jacente aux décisions automatisées doit éclairer sans trahir, pour garantir les droits des individus sans sacrifier les secrets d’affaires.
La CJUE impose au responsable de traitement d’éclairer la logique brumeuse des algorithmes sans dévoiler les équations, afin de concilier le droit de savoir et le devoir de protéger.
Le contexte factuel de cette affaire concerne une cliente, CK, qui s’est vu refuser la conclusion d’un contrat de téléphonie mobile par un opérateur en Autriche. Ce refus était fondé sur une évaluation automatisée —credit scoring — de sa solvabilité, réalisée par l’entreprise Dun & Bradstreet Austria GmbH (D&B). CK a demandé à D&B des informations sur la logique sous-jacente à cette décision automatisée, conformément à son droit d’accès prévu par le RGPD. Face au refus de D&B de fournir des informations suffisantes, invoquant notamment le secret d’affaires, une procédure judiciaire a été engagée.
L’article 15, paragraphe 1, sous h), du RGPD confère un droit d’accès aux « informations utiles concernant la logique sous-jacente » des décisions prises par des systèmes automatisés, en particulier celles susceptibles d’avoir des effets juridiques significatifs sur la vie des individus.
La directive 2016/943, quant à elle, protège les secrets d’affaires, définis comme des informations confidentielles présentant une valeur commerciale et ayant fait l’objet de mesures raisonnables pour en préserver la confidentialité (art. 2).
La tension entre ces normes repose sur le possible chevauchement de ces deux droits : d’une part, les individus doivent comprendre et vérifier les processus automatisés susceptibles de violer leurs droits, et, d’autre part, les entreprises doivent protéger leurs informations stratégiques contre toute divulgation compromettante.
Face à cette interaction, la CJUE a réaffirmé dans l’arrêt que le droit d’accès garanti par le RGPD ne peut être vidé de son contenu sous couvert de la protection des secrets d’affaires.
Néanmoins, elle souligne qu’il est possible de restreindre la communication d’informations dès lors que cette restriction respecte le principe de proportionnalité, protège l’essence des droits fondamentaux et préserve la finalité recherchée par les différentes normes.
En pratique, cela signifie que le droit à la transparence algorithmique ne peut obliger à la divulgation complète des algorithmes ou des méthodologies techniques qui sous-tendent le profilage, si cette divulgation viole les intérêts légitimes de l’entreprise.
Critères de proportionnalité et mécanismes de conciliation
Le raisonnement de la Cour est structuré autour de deux exigences fondamentales : garantir la transparence fonctionnelle pour l’individu tout en ménageant les intérêts commerciaux légitimes de l’entreprise.
Elle procède à une mise en balance des intérêts conflictuels sur la base du principe de proportionnalité.
Trois éléments ressortent de cette analyse :
Premièrement, les informations fournies au titre de l’article 15, paragraphe 1, sous h), doivent être utiles, compréhensibles et fournies en des termes simples. Elles doivent permettre à l’individu de comprendre les critères et méthodes essentiels ayant permis de produire la décision automatisée; toutefois, la Cour exclut que cela implique la communication intégrale des algorithmes ou des secrets d’affaires, considérant qu’une telle communication serait disproportionnée et souvent peu compréhensible pour une personne non technique.
Deuxièmement, la Cour propose des mécanismes intermédiaires pour résoudre les conflits, tels que la transmission des informations controversées à une autorité de contrôle ou à une juridiction indépendante. Ces entités jouent alors le rôle de tiers neutres capables de vérifier si les droits de la personne concernée ont été respectés, tout en préservant la confidentialité des secrets commerciaux. Cette solution garantit que la transparence, bien que réduite, ne soit jamais totalement compromise.
Troisièmement, la CJUE critique les restrictions absolues prévues par la loi autrichienne (article 4, paragraphe 6, du Datenschutzgesetz), qui exclut d’emblée tout droit d’accès lorsque le profilage engage un secret d’affaires. La Cour rappelle que de telles dispositions nationales doivent être nuancées et appliquées au cas par cas, car une limitation systématique violerait le principe de proportionnalité et l’intention du RGPD.
Bien que la motivation de la CJUE reflète un effort pour concilier les intérêts divergents, plusieurs limites peuvent être relevées dans son raisonnement :
D’une part, l’absence de directive claire quant à la nature précise des informations devant être divulguées ou à leur degré de granularité laisse place à d’importantes marges d’interprétation pour les autorités nationales; cela pourrait entraîner des divergences dans l’application du RGPD selon les États membres et accroître l’incertitude juridique pour les parties concernées.
D’autre part, les mécanismes de conciliation proposés, bien qu’équilibrés en théorie, soulèvent des défis pratiques importants; les autorités et juridictions nationales peuvent manquer de ressources ou d’expertise technique nécessaires pour examiner efficacement les algorithmes et les données commerciales sensibles, ce qui risque d’affaiblir les garanties offertes aux individus.
Enfin, même si le responsable du traitement n’est pas tenu de divulguer des informations techniques complexes comme des algorithmes, ce raisonnement soulève des inquiétudes quant à la possibilité pour les entreprises de masquer des pratiques discriminatoires ou illégales sous couvert de secret d’affaires.
La CJUE, dans son arrêt C-203/22, pose des bases solides pour réconcilier la protection des droits individuels à la transparence et la sauvegarde des secrets d’affaires.
En affirmant que ces intérêts doivent être mis en balance et que le droit d’accès ne peut être ni absolu ni entièrement refusé, la Cour favorise une logique pragmatique et proportionnée.
Néanmoins, certaines incertitudes demeurent quant à la mise en œuvre pratique de ce raisonnement, en particulier concernant les mécanismes de vérification judiciaire et la standardisation du niveau d’information à communiquer dans l’UE.
Cette décision marque donc une étape importante dans la régulation des conflits entre transparence algorithmique et protection des droits économiques, tout en appelant à des clarifications ultérieures pour assurer une application cohérente et efficace.