Affaire C‑634/21

OQ

contre

Land Hessen

(demande de décision préjudicielle, introduite par le Verwaltungsgericht Wiesbaden)

Arrêt de la Cour (première chambre) du 7 décembre 2023

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 22 – Décision individuelle automatisée – Sociétés fournissant des informations commerciales – Établissement automatisé d’une valeur de probabilité concernant la capacité d’une personne à honorer des engagements de paiement à l’avenir (“scoring”) – Utilisation de cette valeur de probabilité par des tiers »

1. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Voies de recours – Recours juridictionnel contre une décision sur réclamation prise par une autorité de contrôle – Contrôle juridictionnel – Portée – Limites – Absence

   (Règlement du Parlement européen et du Conseil 2016/679, art. 78, § 1)

   (voir point 34)

2. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Droit de la personne concernée de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé – Décision individuelle automatisée – Notion – Établissement automatisé, par une société fournissant des informations commerciales, d’une valeur de probabilité de la solvabilité d’une personne, utilisée par des tiers – Inclusion – Conditions

   (Règlement du Parlement européen et du Conseil 2016/679, considérant 71 et art. 4, point 4, et 22, § 1)

   (voir points 43, 46-50, 60-63, 73 et disp.)

3. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Droit de la personne concernée de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé – Exceptions – Adoption d’une décision fondée exclusivement sur un traitement automatisé, autorisée par le droit d’un État membre – Obligation de respecter les conditions et exigences prévues par ledit règlement – Vérification incombant à la juridiction nationale

   (Règlement du Parlement européen et du Conseil 2016/679, considérant 71 et art. 5, 6 et 22, § 2 à 4)

   (voir points 53-55, 64, 67-70, 72)

Résumé

SCHUFA Holding AG, une société privée de droit allemand, fournit à ses partenaires contractuels des informations sur la solvabilité de personnes. À cette fin, elle attribue à chaque personne concernée une valeur (« score ») qu’elle établit à partir de certaines caractéristiques de cette personne, sur la base de procédures mathématiques et statistiques. L’établissement des scores sert à prédire le comportement futur d’une personne, tel que le remboursement d’un prêt, sur la base de son assignation à un groupe d’autres personnes possédant des caractéristiques comparables.

Après avoir fait l’objet d’informations négatives établies par SCHUFA et transmises à un établissement de crédit, OQ s’est vu refuser, par cet établissement, l’octroi d’un prêt. OQ a demandé à SCHUFA de lui donner accès aux données la concernant et d’effacer les données prétendument erronées. SCHUFA ne lui a cependant communiqué que son score, et, de manière générale, les modalités de son calcul, en invoquant, pour le reste, le secret d’affaires.

OQ a ensuite introduit une réclamation à l’encontre de SCHUFA devant le HBDI ( 1 ), l’autorité de contrôle allemande, que cette dernière a rejeté au motif que l’activité de SCHUFA était conforme à la législation allemande régissant les modalités d’utilisation d’une valeur de probabilité relative à la solvabilité ( 2 ).

Saisi d’un recours contre la décision du HBDI par OQ, le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne) a interrogé la Cour sur l’interprétation des dispositions du RGPD ( 3 ) visant le droit de la personne concernée de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage ( 4 ).

Dans son arrêt, la Cour interprète, pour la première fois, les dispositions du RGPD portant sur le domaine sensible des décisions fondées exclusivement sur un traitement de données automatisé. Dans ce cadre, elle se prononce sur la question de savoir si l’établissement automatisé, par une société fournissant des informations commerciales, d’une valeur de probabilité concernant la solvabilité d’une personne constitue une décision individuelle automatisée et, ainsi, relève du champ d’application de ces dispositions.

Appréciation de la Cour

Tout d’abord, la Cour constate que les trois conditions cumulatives d’applicabilité des dispositions du RGPD qui régissent le droit de la personne de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, sont réunies en l’occurrence.

S’agissant de la première condition, relative à l’existence d’une décision, la Cour précise que la notion de « décision » a une portée large et est susceptible d’englober le résultat du calcul de la solvabilité d’une personne sous la forme d’une valeur de probabilité concernant la capacité de cette personne à honorer des engagements de paiement à l’avenir.

En ce qui concerne la deuxième condition, selon laquelle la décision doit être « fondée exclusivement sur un traitement automatisé, y compris le profilage », il est constant, selon la Cour, que l’activité de la société en question répond à la définition de « profilage » ( 5 ) et donc que cette condition est remplie en l’occurrence. De plus, la juridiction de renvoi mentionne explicitement qu’est en cause l’établissement automatisé d’une valeur de probabilité fondée sur des données à caractère personnel relatives à une personne et concernant la capacité de celle-ci à honorer un prêt à l’avenir.

Quant à la troisième condition, selon laquelle la décision doit produire « des effets juridiques » concernant la personne en cause ou l’affecter « de manière significative de façon similaire », la Cour relève que, en l’occurrence, l’action de la tierce partie à laquelle la valeur de probabilité est transmise est guidée « de manière déterminante » par cette valeur. En effet, une valeur de probabilité insuffisante entraîne, presque toujours, le refus d’accorder un prêt. Ainsi, cette valeur affecte, à tout le moins, la personne concernée de manière significative.

La Cour en conclut que dans le cas où la valeur de probabilité établie par une société fournissant des informations commerciales et communiquée à une banque joue un rôle déterminant dans l’octroi d’un crédit, l’établissement de cette valeur doit être qualifié en soi de décision produisant à l’égard d’une personne concernée « des effets juridiques la concernant ou l’affectant de manière significative de façon similaire » ( 6 ).

Ensuite, la Cour souligne que cette interprétation, et surtout la portée large de la notion de « décision », renforce la protection effective visée par le RGPD. En revanche, une interprétation restrictive, selon laquelle l’établissement de la valeur de probabilité doit seulement être considéré comme un acte préparatoire et seul l’acte adopté par la tierce partie peut, le cas échéant, être qualifié de « décision », entraînerait une lacune dans la protection juridique. En effet, dans cette hypothèse, l’établissement d’une telle valeur échapperait aux exigences spécifiques prévues par le RGPD ( 7 ), alors même que cette procédure repose sur un traitement automatisé et qu’elle produit des effets affectant de manière significative la personne concernée dans la mesure où l’action de la tierce partie, à laquelle cette valeur de probabilité est transmise, est guidée de manière déterminante par celle-ci.

En outre, d’une part, la personne concernée ne pourrait pas faire valoir, auprès de la société fournissant des informations commerciales qui établit la valeur de probabilité la concernant, son droit d’accès aux informations spécifiques ( 8 ), en l’absence de prise de décision automatisée par cette société. D’autre part, à supposer même que l’acte adopté par la tierce partie relève pour sa part des dispositions du RGPD qui visent le droit de la personne de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, cette tierce partie ne serait pas en mesure de fournir ces informations spécifiques car elle n’en dispose généralement pas.

Enfin, la Cour note que le fait que l’établissement d’une valeur de probabilité est couvert par les dispositions du RGPD régissant le droit de la personne de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé a pour conséquence qu’il est interdit à moins que l’une des exceptions soit applicable et que les exigences spécifiques prévues par le RGPD soient respectées.

En outre, tout traitement de données à caractère personnel doit, d’une part, être conforme aux principes relatifs au traitement des données fixés par le RGPD et, d’autre part, eu égard en particulier au principe de la licéité du traitement, répondre à l’une des conditions de licéité.

Dans ce contexte, la Cour relève que la juridiction de renvoi fait référence à l’exception selon laquelle l’adoption de la décision fondée exclusivement sur un traitement automatisé peut être autorisée lorsque cela est prévu par le droit de l’État membre. À cet égard, elle précise qu’il incombe à cette juridiction de vérifier si la législation nationale régissant les modalités d’utilisation d’une valeur de probabilité relative à la solvabilité peut être qualifiée de base légale autorisant l’adoption d’une telle décision et, dans l’affirmative, si les conditions entourant cette exception et celles relatives aux principes applicables au traitement, prévues par le RGPD, sont remplies en l’occurrence.

( 1 ) Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Commissaire à la protection des données et à la liberté de l’information pour le Land de Hesse, Allemagne).

( 2 ) Article 31 du Bundesdatenschutzgesetz (loi fédérale relative à la protection des données), du 30 juin 2017 (BGBl. I, p. 2097).

( 3 ) Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2, ci-après le « RGPD ).

( 4 ) Article 22 du RGPD.

( 5 ) Au sens de l’article 4, point 4, du RGPD.

( 6 ) Au sens de l’article 22, paragraphe 1, du RGPD.

( 7 ) Visées à l’article 22, paragraphes 2 à 4, du RGPD. Il ressort de ces dispositions que l’interdiction d’une décision individuelle fondée exclusivement sur un traitement automatisé est assortie de trois exceptions, entourées des garanties supplémentaires. Ainsi, une telle décision est admise lorsqu’elle est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement, lorsqu’elle est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis ou lorsqu’elle est fondée sur le consentement explicite de la personne concernée, à condition que des mesures appropriées pour la sauvegarde des droits et des libertés ainsi que des intérêts légitimes de la personne concernée soient en place.

( 8 ) Visées à l’article 15, paragraphe 1, sous h), du RGPD, qui dans le cas d’une prise de décision automatisée accorde à la personne concernée un droit d’accès étendu.