CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. JEAN RICHARD DE LA TOUR
présentées le 12 septembre 2024 ( 1 )
Affaire C‑203/22
CK
en présence de
Dun & Bradstreet Austria GmbH,
Magistrat der Stadt Wien
[demande de décision préjudicielle formée par le Verwaltungsgericht Wien (tribunal administratif de Vienne, Autriche)]
« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Article 15, paragraphe 1, sous h) – Article 22 – Prise de décision automatisée, y compris un profilage – Appréciation de la solvabilité d’une personne physique – Accès aux informations utiles concernant la logique sous-jacente à une prise de décision automatisée – Vérification de l’exactitude des informations fournies et de leur cohérence avec la décision de notation en cause – Protection des droits et libertés d’autrui – Directive (UE) 2016/943 – Secret d’affaires »
I. Introduction
|
1. |
La présente demande de décision préjudicielle porte sur l’interprétation, d’une part, de l’article 15, paragraphe 1, sous h), et paragraphe 4, ainsi que de l’article 22 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ( 2 ) (ci-après le « RGPD »), et, d’autre part, de l’article 2, point 1, de la directive (UE) 2016/943 du Parlement européen et du Conseil, du 8 juin 2016, sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites ( 3 ). |
|
2. |
Cette demande a été présentée dans le cadre d’un litige opposant CK au Magistrat der Stadt Wien (municipalité de Vienne, Autriche) au sujet de la demande d’exécution forcée d’une décision juridictionnelle obligeant une entreprise d’évaluation de la solvabilité à fournir à CK des informations utiles concernant la logique sous-jacente d’un profilage portant sur ses données à caractère personnel. |
|
3. |
Dans les développements qui suivent, je serai amené à préciser ce qu’il convient, selon moi, d’entendre par « informations utiles concernant la logique sous-jacente » à une prise de décision automatisée, au sens de l’article 15, paragraphe 1, sous h), du RGPD, ainsi que les modalités selon lesquelles une mise en balance doit être effectuée entre, d’une part, le droit d’accès à de telles informations et, d’autre part, la protection des droits et libertés d’autrui, tels que le secret d’affaires. |
II. Les faits du litige au principal et les questions préjudicielles
|
4. |
CK s’est vu refuser par un opérateur de téléphonie mobile la conclusion ou la prolongation d’un contrat de téléphonie mobile qui aurait entraîné un paiement mensuel de 10 euros, au motif qu’elle ne présentait pas une solvabilité financière suffisante. La solvabilité supposée insuffisante de CK a été justifiée par une évaluation de son crédit, à laquelle Bisnode Austria GmbH (entre-temps devenue Dun & Bradstreet Austria GmbH, ci-après « D & B »), une entreprise spécialisée dans la fourniture d’évaluations de crédit, avait procédé par voie automatisée. |
|
5. |
CK a soumis à l’autorité autrichienne de protection des données une demande visant à obtenir des informations pertinentes sur la logique sous-jacente à la prise de décision automatisée par D & B. Cette autorité a accueilli favorablement cette demande. |
|
6. |
D & B a contesté devant le Bundesverwaltungsgericht (tribunal administratif fédéral, Autriche) la décision de l’autorité autrichienne de protection des données l’obligeant à communiquer les informations demandées par CK. |
|
7. |
Par une décision du 23 octobre 2019, cette juridiction a partiellement confirmé cette décision de l’autorité autrichienne de protection des données. Elle a ainsi constaté que D & B avait violé le droit d’accès dont bénéficie CK, en vertu de l’article 15, paragraphe 1, sous h), du RGPD, en ne fournissant pas à celle-ci des informations utiles sur la logique sous-jacente à la prise de décision automatisée concernant les données à caractère personnel de CK, ou, à tout le moins, en ne motivant pas de façon suffisante l’impossibilité dans laquelle elle se serait trouvée de fournir ces informations. |
|
8. |
Cette décision du Bundesverwaltungsgericht (tribunal administratif fédéral) est devenue définitive et elle est exécutoire en vertu du droit autrichien. |
|
9. |
La demande d’exécution forcée de ladite décision formée par CK a néanmoins été rejetée par l’autorité d’exécution, la municipalité de Vienne, au motif que D & B aurait déjà suffisamment satisfait à son obligation d’information. |
|
10. |
CK a introduit un recours contre cette décision devant le Verwaltungsgericht Wien (tribunal administratif de Vienne, Autriche), la juridiction de renvoi. Cette juridiction indique que, dans le cadre de ce recours, elle est tenue de prendre, à la place de l’autorité d’exécution, une décision visant à l’exécution de la décision du Bundesverwaltungsgericht (tribunal administratif fédéral). Dès lors, la juridiction de renvoi doit déterminer concrètement quelles informations D & B est tenue de communiquer à CK ( 4 ). |
|
11. |
Dans cette perspective, cette juridiction considère que l’article 15, paragraphe 1, sous h), du RGPD confère à la personne concernée un droit d’accès à des informations exactes. Ladite juridiction relève, à cet égard, qu’il existe des indices clairs selon lesquels les informations – peu nombreuses – fournies jusqu’à présent par D & B sont contraires aux faits. En effet, alors que les informations qui ont été fournies à CK lui confèrent un crédit particulièrement élevé, le profilage réel de celle-ci lui a de facto dénié toute solvabilité, jusqu’à la possibilité financière de payer chaque mois la somme de 10 euros. Il existerait donc une contradiction manifeste entre, d’une part, les informations communiquées à CK sur ses données à caractère personnel traitées ainsi que sur la logique sous-jacente à l’évaluation mise en œuvre par voie automatisée et, d’autre part, la conclusion que l’opérateur de téléphonie mobile a tirée de la notation effectivement établie. Cette contradiction conduirait à douter de l’exactitude des informations fournies à CK jusqu’à maintenant. |
|
12. |
En partant de ce constat, la juridiction de renvoi indique que, lorsqu’elle fait l’objet d’un profilage, la personne concernée ne peut faire valoir un droit d’accès à des informations exactes que si l’article 15, paragraphe 1, sous h), du RGPD lui octroie un droit d’accès suffisamment étendu afin de lui permettre de vérifier la cohérence et le caractère intelligible de l’évaluation fournie ainsi que de discerner si la logique interne qui lui a été communiquée dans le cadre de son droit d’accès a effectivement servi de base au profilage auquel elle a été soumise. En somme, la personne concernée devrait pouvoir obtenir des informations suffisamment détaillées sur les données à caractère personnel traitées et sur la logique interne sous-jacente à la prise de décision automatisée afin qu’elle soit mise en mesure de comprendre cette dernière et d’en vérifier l’exactitude. |
|
13. |
Selon cette juridiction, cette interprétation de l’article 15, paragraphe 1, sous h), du RGPD serait de nature à permettre de garantir l’effet utile de cette disposition, en empêchant la transmission d’informations erronées par le responsable du traitement. De plus, ladite interprétation mettrait la personne concernée en mesure d’exercer les droits que lui confère l’article 22, paragraphe 3, de ce règlement, à savoir, notamment, celui d’exprimer son point de vue à propos d’une décision individuelle automatisée et de contester la cohérence ainsi que l’exactitude de celle-ci. |
|
14. |
Ladite juridiction souligne que l’exigence selon laquelle la personne concernée doit pouvoir vérifier la cohérence et l’exactitude des informations fournies en application de l’article 15, paragraphe 1, sous h), du RGPD a des conséquences importantes en ce qui concerne la question de savoir dans quelle mesure et avec quel degré de détail le responsable du traitement est tenu de divulguer des informations en vertu de cette disposition. |
|
15. |
Dans le cadre de la procédure au principal, la juridiction de renvoi a désigné un expert afin de déterminer concrètement quelles informations D & B est tenue de communiquer à CK en vertu de la décision du Bundesverwaltungsgericht (tribunal administratif fédéral). |
|
16. |
Selon l’expert désigné, afin de permettre une concrétisation susceptible de donner lieu à une exécution forcée, d’assurer le caractère intelligible de la prise de décision automatisée et de vérifier l’exactitude ainsi que la cohérence des informations fournies, la personne concernée devrait recevoir, en vertu du droit d’accès qui lui est garanti par l’article 15, paragraphe 1, sous h), du RGPD, de façon suffisamment détaillée et circonstanciée, les informations minimales suivantes :
|
|
17. |
Il résulte du rapport d’expertise que seule la communication de la formule mathématique et des fonctions de valorisation de toutes les valeurs utilisées dans cette formule permettrait à CK de comprendre le profilage dont elle a fait l’objet, de sorte que ce serait seulement grâce à ces informations qu’elle pourrait faire valoir les droits que lui confère l’article 22, paragraphe 3, du RGPD d’exprimer son point de vue et de contester la décision fondée sur un traitement automatisé. |
|
18. |
Selon ce rapport, afin de permettre la vérification de l’exactitude des informations minimales communiquées, D & B devrait également établir et présenter, de façon relativement complète et circonstanciée ainsi que pour servir de base de comparaison, une liste de tous les renseignements sur au moins 25 cas de profilages comparables et non anonymisés, contemporains du profilage dont CK a fait l’objet et qui ont été établis avec la même règle de calcul. |
|
19. |
Sur ce dernier aspect, la juridiction de renvoi relève que la communication de telles informations est de nature à affecter les droits à la protection des données à caractère personnel évaluées dans les cas de profilage qui servent de base de comparaison. |
|
20. |
Cette juridiction se demande, dès lors, eu égard notamment à ce que prévoit l’article 9 de la directive 2016/943, si le conflit entre les différents intérêts en présence pourrait être résolu si les données à caractère personnel de tiers nécessaires à la vérification de l’exactitude des informations minimales transmises étaient communiquées seulement à l’autorité ou à la juridiction compétentes, qui examineraient alors de manière autonome si ces données de tiers correspondent aux faits. |
|
21. |
La juridiction de renvoi note également que, selon la jurisprudence de l’Oberster Gerichtshof (Cour suprême, Autriche) et la doctrine dominante, l’algorithme utilisé dans un profilage est un secret d’affaires, au sens de la directive 2016/943. La juridiction de renvoi indique, à cet égard, que D & B a invoqué l’existence d’un secret d’affaires digne de protection en ce qui concerne l’algorithme sur lequel repose le traitement pour refuser de communiquer des informations suffisantes sur la logique sous-jacente à la prise de décision automatisée. Là encore, cette juridiction se demande si le conflit entre les intérêts de la personne concernée et ceux du responsable du traitement pourrait être résolu si les informations qualifiées de « secret d’affaires », au sens de l’article 2, point 1, de la directive 2016/943, n’étaient divulguées qu’à l’autorité ou à la juridiction compétentes, qui vérifieraient de manière autonome si une telle qualification peut être retenue et si les informations fournies par le responsable du traitement en application de l’article 15, paragraphe 1, sous h), du RGPD correspondent à la réalité. |
|
22. |
La juridiction de renvoi souligne cependant que ce mode de résolution des conflits entre les différents intérêts en présence a pour inconvénient que la personne concernée se voie privée d’informations détaillées, ce qui limite, voire rend impossible, le droit d’accès garanti par cette dernière disposition. Cela pourrait avoir pour effet d’empêcher cette personne de vérifier si les informations fournies par le responsable du traitement sont compréhensibles et exactes ainsi que d’exercer les droits que lui garantissent notamment l’article 22, paragraphe 3, du RGPD et l’article 47 de la charte des droits fondamentaux de l’Union européenne ( 5 ). |
|
23. |
Dans le cadre de la mise en balance à effectuer entre les intérêts de la personne qui demande un droit d’accès et ceux du responsable du traitement, cette juridiction sollicite également, au regard notamment de ce que prévoit l’article 4, paragraphe 6, du Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (loi fédérale sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel), du 17 août 1999 ( 6 ), dans sa version applicable au principal ( 7 ) (ci-après le « DSG »), l’interprétation de l’article 15, paragraphe 4, et de l’article 23, paragraphe 1, sous i), du RGPD, lus à la lumière du considérant 63 de ce règlement. |
|
24. |
Dans ces conditions, le Verwaltungsgericht Wien (tribunal administratif de Vienne) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
|
|
25. |
Des observations écrites ont été déposées par CK, D & B, les gouvernements espagnol, néerlandais et polonais ainsi que la Commission européenne. |
III. Analyse
A. Observations liminaires
|
26. |
Aux termes de l’article 22, paragraphe 1, du RGPD, « [l]a personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire » ( 8 ). Toutefois, l’interdiction ainsi énoncée ne s’applique pas dans les cas qui sont énumérés à l’article 22, paragraphe 2, de ce règlement, sur lesquels je reviendrai dans les développements qui suivent. |
|
27. |
Dans son arrêt du 7 décembre 2023, SCHUFA Holding e.a. (Scoring) ( 9 ), la Cour a jugé que l’article 22, paragraphe 1, du RGPD doit être interprété en ce sens que l’établissement automatisé, par une société fournissant des informations commerciales, d’une valeur de probabilité fondée sur des données à caractère personnel relatives à une personne et concernant la capacité de celle-ci à honorer des engagements de paiement à l’avenir constitue une « décision individuelle automatisée », au sens de cette disposition, lorsque dépend de manière déterminante de cette valeur de probabilité le fait qu’une tierce partie, à laquelle ladite valeur de probabilité est communiquée, établisse, exécute ou mette fin à une relation contractuelle avec cette personne ( 10 ). |
|
28. |
À la suite de cet arrêt, la juridiction de renvoi a été invitée par la Cour à lui indiquer si elle souhaitait maintenir sa demande de décision préjudicielle, ce à quoi elle a répondu par l’affirmative. En effet, elle a considéré, en substance, que ledit arrêt ne répondait pas à ses interrogations relatives, notamment, à la manière de résoudre le conflit entre les droits de la personne concernée à la protection de ses données à caractère personnel et les intérêts du responsable du traitement relatifs à la protection des secrets d’affaires. Par ailleurs, le même arrêt ne répondrait pas à la question relative au niveau de détail exigible des « informations utiles concernant la logique sous-jacente » à une prise de décision automatisée, au sens de l’article 15, paragraphe 1, sous h), du RGPD. |
|
29. |
La présente affaire va ainsi amener la Cour à compléter son arrêt SCHUFA Holding e.a. (Scoring) ( 11 ), en précisant la portée du droit d’accès garanti par cette disposition. |
|
30. |
En effet, la juridiction de renvoi doit déterminer l’étendue et le degré de détail des informations que D & B doit fournir afin de se conformer à ce qui est requis par ladite disposition. |
|
31. |
Dans cette perspective, cette juridiction sollicite l’assistance de la Cour sur les questions juridiques suivantes. |
|
32. |
En premier lieu, que doit-on entendre par « informations utiles concernant la logique sous-jacente » à une prise de décision automatisée, au sens de l’article 15, paragraphe 1, sous h), du RGPD ? De telles informations comprennent-elles l’algorithme utilisé aux fins de celle-ci ? Dans quelle mesure et avec quel degré de concrétisation est-il possible d’exiger du responsable du traitement qu’il communique suffisamment d’informations afin de permettre à la personne concernée de vérifier l’exactitude de celles-ci et leur cohérence avec la décision de notation en cause ? |
|
33. |
En second lieu, dans quelle mesure la protection des droits et libertés d’autrui, en particulier la protection du secret d’affaires, peut-elle influer sur l’obligation du responsable du traitement de fournir des « informations utiles concernant la logique sous-jacente » à une prise de décision automatisée, au sens de l’article 15, paragraphe 1, sous h), du RGPD ? Quels mécanismes pourraient, le cas échéant, permettre de résoudre le conflit entre les droits de la personne concernée et les intérêts du responsable du traitement ? |
|
34. |
Dans les conclusions qu’il a présentées dans l’affaire ayant donné lieu à l’arrêt SCHUFA Holding e.a. (Scoring) ( 12 ), l’avocat général Pikamäe a pris position sur les aspects principaux de ces questions. Il a ainsi considéré que l’article 15, paragraphe 1, sous h), du RGPD, lu en lien avec le considérant 63 de ce règlement, doit être interprété en ce sens qu’il « couvre, en principe, également la méthode de calcul utilisée par une société d’information commerciale aux fins d’établir un score, à condition qu’il n’y ait pas d’intérêts conflictuels dignes de protection » ( 13 ). |
|
35. |
Tout en ayant souhaité assurer un juste équilibre entre les droits et les intérêts divergents en présence, le législateur de l’Union aurait voulu garantir qu’« un minimum d’informations [soit] en tout cas fourni afin de ne pas compromettre le contenu essentiel du droit à la protection des données à caractère personnel » ( 14 ). Par conséquent, selon l’avocat général Pikamäe, « si la protection du secret des affaires ou de la propriété intellectuelle constitue, en principe, pour une société d’information commerciale une raison légitime de refuser de révéler l’algorithme utilisé pour calculer le score de la personne concernée, elle ne saurait en revanche nullement justifier un refus absolu d’information » ( 15 ). |
|
36. |
À la lumière de l’article 12, paragraphe 1, du RGPD, en vertu duquel « [l]e responsable du traitement prend des mesures appropriées pour fournir toute information [au titre de l’article 15] en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » ( 16 ), ainsi que du considérant 58 de ce règlement, l’avocat général Pikamäe a estimé que « l’objectif réel de l’article 15, paragraphe 1, sous h), du RGPD consiste à assurer que la personne concernée obtienne des informations d’une manière compréhensible et accessible, conformément à ses besoins » ( 17 ). À son avis, « ces exigences excluent déjà une obligation éventuelle de divulguer l’algorithme, compte tenu de sa complexité. En effet, l’utilité de communiquer une formule particulièrement complexe serait douteuse sans en fournir les explications nécessaires » ( 18 ). |
|
37. |
Au vu de ces éléments, l’avocat général Pikamäe a, dès lors, conclu que « l’obligation de fournir “des informations utiles concernant la logique sous-jacente” doit être comprise en ce sens qu’elle comporte des explications suffisamment détaillées sur la méthode utilisée pour le calcul du score et les raisons qui ont conduit à un résultat déterminé. En général, le responsable du traitement devrait fournir à la personne concernée des informations globales, notamment sur les facteurs pris en considération pour le processus décisionnel et sur leur importance respective à un niveau agrégé, qui lui sont également utiles pour contester toute “décision” au sens de l’article 22, paragraphe 1, du RGPD » ( 19 ). |
|
38. |
J’adhère, en substance, à l’interprétation proposée par l’avocat général Pikamäe, comme je l’expliquerai plus en détail dans les développements qui suivent ( 20 ). |
B. Sur les questions préjudicielles
|
39. |
Par ses questions, que je propose d’examiner ensemble, la juridiction de renvoi demande à la Cour, en substance, si, d’une part, l’article 15, paragraphe 1, sous h), du RGPD doit être interprété en ce sens que les « informations utiles concernant la logique sous-jacente » à une prise de décision automatisée comprennent des informations suffisamment complètes afin de permettre à la personne concernée de vérifier l’exactitude de celles-ci et leur cohérence avec la décision de notation en cause, dont l’algorithme utilisé aux fins de cette prise de décision automatisée. D’autre part, cette juridiction souhaite savoir si et, le cas échéant, dans quelle mesure la protection des droits et libertés d’autrui, tels que la protection du secret d’affaires invoqué par le responsable du traitement, est susceptible de limiter l’étendue du droit d’accès dont la personne concernée dispose en vertu de cette disposition. |
1. Sur la notion d’« informations utiles concernant la logique sous-jacente » à une prise de décision automatisée
|
40. |
Il convient de relever d’emblée que la Cour a récemment mis en exergue plusieurs caractéristiques du droit d’accès prévu à l’article 15 du RGPD lorsqu’elle a eu à se prononcer sur l’étendue du droit d’obtenir une copie des données à caractère personnel faisant l’objet d’un traitement, droit prévu au paragraphe 3, première phrase, de cet article. Ces éléments me paraissent utiles afin de répondre aux interrogations de la juridiction de renvoi. |
|
41. |
L’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée », définit, à son paragraphe 1, l’objet et le champ d’application du droit d’accès reconnu à la personne concernée et y consacre le droit de cette dernière d’obtenir du responsable du traitement l’accès à ses données à caractère personnel ainsi que les informations visées aux points a) à h) de ce paragraphe. |
|
42. |
La garantie d’un tel droit vise à atteindre les objectifs poursuivis par le RGPD, qui consistent, ainsi que l’indiquent ses considérants 10 et 11, à assurer un niveau cohérent et élevé de protection des personnes physiques au sein de l’Union européenne ainsi qu’à renforcer et à préciser les droits des personnes concernées ( 21 ). |
|
43. |
L’article 15, paragraphe 1, sous h), du RGPD prévoit plus particulièrement qu’une personne concernée a le droit d’être informée par le responsable du traitement de l’existence d’une prise de décision automatisée, y compris un profilage ( 22 ), visée à l’article 22, paragraphes 1 et 4, de ce règlement, et, au moins en pareils cas, d’obtenir des informations utiles concernant la logique sous-jacente ( 23 ), ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ( 24 ). |
|
44. |
De manière générale, il résulte de la jurisprudence de la Cour que le droit d’accès prévu à l’article 15 du RGPD doit permettre à la personne concernée de s’assurer que les données à caractère personnel la concernant sont exactes et qu’elles sont traitées de manière licite ( 25 ). |
|
45. |
Par ailleurs, la copie des données à caractère personnel faisant l’objet d’un traitement, que le responsable du traitement doit fournir en vertu de l’article 15, paragraphe 3, première phrase, du RGPD, doit présenter l’ensemble des caractéristiques permettant à la personne concernée d’exercer effectivement ses droits au titre de ce règlement et doit, par conséquent, reproduire intégralement et fidèlement ces données ( 26 ). |
|
46. |
En particulier, ce droit d’accès est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli ») et son droit à la limitation du traitement, qui lui sont reconnus, respectivement, par les articles 16, 17 et 18 du RGPD, son droit d’opposition au traitement de ses données à caractère personnel, prévu à l’article 21 du RGPD, ainsi que son droit de recours en cas de dommage subi, prévu aux articles 79 et 82 du RGPD ( 27 ). |
|
47. |
S’agissant du droit de la personne concernée à obtenir les informations prévues à l’article 15, paragraphe 1, sous h), j’ajoute que ce droit d’accès doit lui permettre d’exercer les droits qui lui sont reconnus par l’article 22 du RGPD, qui porte spécifiquement sur la situation dans laquelle la personne concernée fait l’objet d’une décision fondée sur un traitement automatisé. |
|
48. |
Ainsi, comme je l’ai indiqué précédemment, l’article 22, paragraphe 1, de ce règlement prévoit le droit pour toute personne concernée de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ( 28 ). Toutefois, l’interdiction ainsi énoncée ne s’applique pas dans les cas mentionnés à l’article 22, paragraphe 2, dudit règlement, à savoir lorsque cette décision est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement [point a)], lorsqu’elle est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis [point b)], ou lorsqu’elle est fondée sur le consentement explicite de la personne concernée [point c)]. |
|
49. |
En outre, l’article 22 du RGPD dispose, à son paragraphe 2, sous b), et à son paragraphe 3, que des mesures appropriées pour la sauvegarde des droits et des libertés ainsi que des intérêts légitimes de la personne concernée doivent être prévues. Dans les cas visés à l’article 22, paragraphe 2, sous a) et c), de ce règlement, le responsable du traitement met en œuvre au moins le droit de la personne concernée d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision ( 29 ). Dans le cadre de la présente affaire, la juridiction de renvoi met l’accent sur le lien entre le droit d’accès prévu à l’article 15, paragraphe 1, sous h), dudit règlement et ces droits de la personne concernée d’exprimer son point de vue et de contester la décision automatisée. |
|
50. |
Selon la Cour, les exigences plus élevées prévues par le RGPD quant à la licéité d’une prise de décision automatisée ainsi que les obligations d’information supplémentaires du responsable du traitement et les droits d’accès supplémentaires de la personne concernée qui y sont liés s’expliquent par la finalité que l’article 22 de ce règlement poursuit, consistant à protéger les personnes contre les risques particuliers pour leurs droits et libertés que présente le traitement automatisé de données à caractère personnel, y compris le profilage ( 30 ). |
|
51. |
Il s’ensuit que, en vue de déterminer ce que recouvrent les « informations utiles concernant la logique sous-jacente » à une prise de décision automatisée, au sens de l’article 15, paragraphe 1, sous h), du RGPD, il convient de tenir compte de la finalité que l’article 22 de ce règlement poursuit, de façon à ce que la personne concernée puisse effectivement, sur la base de ces informations, se prévaloir des droits que ce dernier article lui confère. |
|
52. |
Dans cette perspective, il y a lieu de relever que, conformément au principe de transparence, auquel fait référence le considérant 58 du RGPD et que consacre expressément l’article 12, paragraphe 1, de ce règlement, toute information adressée à la personne concernée doit être concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples ( 31 ). |
|
53. |
Ainsi, la Cour a déduit de cette disposition que le responsable du traitement est tenu de prendre des mesures appropriées pour fournir à la personne concernée toute information visée, notamment, à l’article 15 du RGPD, d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. Cette disposition, qui est l’expression du principe de transparence, a pour objectif de garantir que la personne concernée soit mise en mesure de pleinement comprendre les informations qui lui sont adressées ( 32 ). |
|
54. |
Il résulte de ces éléments, selon la Cour, que la copie des données à caractère personnel faisant l’objet d’un traitement, que le responsable du traitement doit fournir en vertu de l’article 15, paragraphe 3, première phrase, du RGPD, doit présenter l’ensemble des caractéristiques permettant à la personne concernée d’exercer effectivement ses droits au titre de ce règlement et doit, par conséquent, reproduire intégralement et fidèlement ces données ( 33 ). |
|
55. |
La Cour a également précisé qu’il peut s’avérer nécessaire de contextualiser les données à caractère personnel traitées afin d’en assurer l’intelligibilité. C’est pourquoi, afin de garantir que les informations ainsi fournies soient faciles à comprendre, comme l’exige l’article 12, paragraphe 1, du RGPD, lu en combinaison avec le considérant 58 de ce règlement, la reproduction d’extraits de documents voire de documents entiers ou encore d’extraits de bases de données qui contiennent, entre autres, les données à caractère personnel faisant l’objet d’un traitement peut s’avérer indispensable ( 34 ). |
|
56. |
En particulier, selon la Cour, lorsque des données à caractère personnel sont générées à partir d’autres données ou lorsque de telles données résultent de champs libres, à savoir une absence d’indication révélant une information sur la personne concernée, le contexte dans lequel ces données font l’objet d’un traitement est un élément indispensable pour permettre à la personne concernée de disposer d’un accès transparent et d’une présentation intelligible desdites données ( 35 ). |
|
57. |
Par conséquent, le droit d’obtenir de la part du responsable du traitement une copie des données à caractère personnel faisant l’objet d’un traitement implique qu’il soit remis à la personne concernée une reproduction fidèle et intelligible de l’ensemble de ces données. Ce droit suppose celui d’obtenir la copie d’extraits de documents, voire de documents entiers, qui contiennent, entre autres, lesdites données, si la fourniture d’une telle copie est indispensable pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement ( 36 ). |
|
58. |
La jurisprudence de la Cour relative aux exigences que doit respecter le responsable du traitement lorsqu’il fournit, en application de l’article 15, paragraphe 3, première phrase, du RGPD, une copie des données à caractère personnel faisant l’objet d’un traitement offre, à mon avis, de précieux indices en vue de déterminer les caractéristiques que doivent revêtir les « informations utiles concernant la logique sous-jacente » à la prise d’une décision automatisée, au sens de l’article 15, paragraphe 1, sous h), de ce règlement. |
|
59. |
Certes, il résulte également de cette jurisprudence que les données à caractère personnel dont le responsable du traitement doit fournir une copie en application de l’article 15, paragraphe 3, première phrase, dudit règlement ne se confondent pas avec les informations auxquelles la personne concernée a un droit d’accès en vertu de l’article 15, paragraphe 1, sous a) à h), du même règlement ( 37 ). |
|
60. |
Toutefois, il ne fait, selon moi, aucun doute que l’exigence de transparence des informations communiquées qui est prévue à l’article 12, paragraphe 1, du RGPD et sur laquelle repose ladite jurisprudence s’applique, aux termes mêmes de cette disposition, à l’ensemble de ces données et informations, y compris celles qui sont liées à la prise d’une décision automatisée. |
|
61. |
Dès lors, la personne concernée doit avoir communication, dans le contexte d’une prise de décision automatisée telle que celle en cause au principal, d’une copie de ses données à caractère personnel ayant fait l’objet d’un traitement qui reproduit intégralement et fidèlement ces données, conformément à ce que prévoit l’article 15, paragraphe 3, première phrase, du RGPD. |
|
62. |
De plus, il paraît indispensable que la personne concernée ait connaissance du contexte dans lequel ses données à caractère personnel font l’objet d’un traitement automatisé afin de lui permettre d’exercer les droits qui lui sont reconnus par le RGPD, dont ceux d’exprimer son point de vue sur une décision automatisée et de contester celle-ci. |
|
63. |
Tel est d’ailleurs l’objet même de l’article 15, paragraphe 1, sous h), du RGPD, qui impose, en substance, que soit porté à la connaissance de la personne concernée le contexte dans lequel la prise d’une décision automatisée est intervenue, en particulier la logique sous-jacente à cette prise de décision. |
|
64. |
La connaissance par la personne concernée de ce contexte doit lui permettre de comprendre le résultat auquel la décision automatisée est parvenue, par une connaissance des éléments essentiels de la méthode et des critères mis en œuvre. En somme, le processus, par nature technique, ayant conduit à cette décision doit être rendu intelligible. C’est seulement de cette manière que cette personne pourra exercer les droits qui lui sont reconnus par le RGPD, dont ceux d’exprimer son point de vue sur une décision automatisée et de contester celle-ci. La notion d’« informations utiles concernant la logique sous-jacente » à une prise de décision automatisée doit donc être appréhendée de manière fonctionnelle ( 38 ). |
|
65. |
À cet égard, l’accent mis par le législateur de l’Union sur la nécessité d’informations utiles est directement lié à la nature technique du domaine en cause, qui rend nécessaire de garantir le caractère compréhensible et significatif de ces informations pour la personne concernée. Il s’agit là d’une condition nécessaire pour assurer l’utilité desdites informations en vue de permettre à cette personne d’exercer effectivement les droits qui lui sont garantis par le RGPD. Selon les versions linguistiques de l’article 15, paragraphe 1, sous h), du RGPD, l’accent est mis à des degrés divers sur le caractère « compréhensible » ou bien « significatif » des informations, cette double acception étant exprimée par le terme « meaningful » dans la version en langue anglaise ( 39 ). Il convient donc, à mon avis, de retenir une interprétation de la notion d’« informations utiles », au sens de cette dernière disposition, qui permette, dans le cadre d’une approche fonctionnelle, de tenir compte de ces significations qui sont complémentaires. |
|
66. |
L’utilité des informations pour la personne concernée suppose, dès lors – à l’instar de ce qui vaut pour la copie des données à caractère personnel faisant l’objet d’un traitement qui doit être fournie en application de l’article 15, paragraphe 3, première phrase, du RGPD –, que ces informations soient concises, aisément accessibles, faciles à comprendre et formulées en des termes clairs et simples. La personne concernée à laquelle ces informations sont communiquées doit ainsi pouvoir pleinement comprendre les informations qui lui sont adressées. Dans cette perspective, il peut s’avérer nécessaire de contextualiser les informations communiquées afin d’en assurer l’intelligibilité. |
|
67. |
En somme, des « informations utiles », telles que requises par l’article 15, paragraphe 1, sous h), du RGPD, doivent non seulement être claires et accessibles, mais également être assorties d’explications propres à garantir leur bonne compréhension. Il en va d’autant plus ainsi lorsqu’il s’agit de fournir à la personne concernée des informations dans un domaine technique. En ce sens, cette disposition offre à la personne concernée un véritable droit à l’explication sur le fonctionnement du mécanisme qui sous-tend une prise de décision automatisée dont cette personne a fait l’objet et sur le résultat auquel cette décision a abouti ( 40 ). Je relève, à cet égard, que, conformément à ce qu’indique le considérant 71 du RGPD, la personne concernée devrait pouvoir « obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation ». |
|
68. |
À ces exigences, il convient d’ajouter que la personne concernée doit pouvoir vérifier l’exactitude des données à caractère personnel la concernant et des informations relatives à la logique sous-jacente à une prise de décision automatisée. Il doit ainsi lui être possible de s’assurer qu’il existe une cohérence et un lien de causalité objectivement vérifiables entre, d’une part, la méthode et les critères utilisés et, d’autre part, le résultat auquel est parvenue la décision automatisée. En d’autres termes, les informations communiquées doivent permettre à cette personne de contrôler si celles-ci correspondent bien aux faits, et donc si la décision automatisée en cause est effectivement fondée sur des informations exactes ( 41 ). |
|
69. |
Je rappelle, à cet égard, que, ainsi que cela ressort de la décision de renvoi, les informations fournies à CK par D & B semblent ne pas correspondre à la réalité, dès lors qu’elles n’auraient pas dévoilé le profilage réel opéré à son égard. Or, la Cour a déjà mis l’accent sur le fait que, compte tenu des risques particuliers pour leurs droits et libertés que présente le traitement automatisé de données à caractère personnel, y compris le profilage, il importe, selon le considérant 71 du RGPD, de prévoir des garanties appropriées et d’assurer un traitement équitable et transparent à l’égard de la personne concernée, en particulier par l’utilisation de procédures mathématiques ou statistiques adéquates aux fins du profilage et par l’application de mesures techniques et organisationnelles appropriées pour faire en sorte que le risque d’erreur soit réduit au minimum ( 42 ). |
|
70. |
Cette exigence d’exactitude est, à mon avis, renforcée si l’on considère, à l’instar de ce que la Cour a jugé dans son arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette) ( 43 ), à propos du traitement de données à caractère personnel relatives à l’octroi d’une libération de reliquat de dette, qu’un traitement automatisé tel que celui en cause au principal constitue une ingérence grave dans les droits fondamentaux de la personne concernée, consacrés aux articles 7 et 8 de la Charte. En effet, les données à caractère personnel de la personne concernée sont traitées en vue d’évaluer sa solvabilité et constituent donc des informations sensibles sur sa vie privée. Leur traitement est susceptible de nuire considérablement aux intérêts de cette personne en l’empêchant de nouer des relations contractuelles susceptibles de couvrir des besoins habituels ( 44 ). |
|
71. |
Par conséquent, je considère que les « informations utiles concernant la logique sous-jacente » à une prise de décision automatisée doivent permettre à la personne concernée d’exercer les droits qui lui sont garantis par le RGPD et, en particulier, par l’article 22 de ce règlement. Cela suppose, en premier lieu, que cette personne puisse obtenir des informations concises, aisément accessibles, faciles à comprendre et formulées en des termes clairs et simples sur la méthode et les critères utilisés en vue de cette décision. En second lieu, ces informations doivent être suffisamment complètes et contextualisées pour permettre à ladite personne de vérifier leur exactitude et s’il existe une cohérence ainsi qu’un lien de causalité objectivement vérifiables entre, d’une part, la méthode et les critères utilisés, et, d’autre part, le résultat auquel est parvenue la décision automatisée. |
|
72. |
Au vu de ces éléments, je ne pense pas que l’article 15, paragraphe 1, sous h), du RGPD doive être interprété comme faisant peser sur le responsable du traitement une obligation de divulguer à la personne concernée des informations qui, en raison de leur nature technique, présentent un degré de complexité tel qu’elles ne peuvent pas être comprises par les personnes qui ne disposent pas d’une expertise technique particulière ( 45 ). Tel est le cas, à mon avis, des algorithmes qui sont utilisés dans le cadre d’une prise de décision automatisée. |
|
73. |
Certes, il pourrait être soutenu, au nom d’une lecture extensive de l’obligation de transparence, que le contrôle de la manière dont des données à caractère personnel sont traitées par un algorithme requiert que ce dernier soit dévoilé à la personne concernée ( 46 ). Toutefois, je suis d’avis que la raison d’être de cette obligation est de permettre à cette personne de comprendre les informations qui lui sont communiquées afin qu’elle puisse faire valoir les droits que le RGPD lui confère. Dans cette perspective, des explications qui sont accessibles sans nécessiter une expertise technique particulière seront certainement plus « utiles » qu’une formule mathématique complexe. |
|
74. |
Dans le même sens, je relève que, ainsi que cela ressort des lignes directrices, « il peut s’avérer difficile de comprendre le fonctionnement d’un processus décisionnel ou d’un profilage automatisé ». Dès lors, « [l]e responsable du traitement devrait trouver des moyens simples d’informer la personne concernée de la raison d’être de la décision ou des critères sur lesquels elle est fondée. Le RGPD exige que le responsable du traitement fournisse des informations utiles sur la logique sous-jacente, mais pas nécessairement une explication complexe des algorithmes utilisés ou la divulgation de l’algorithme complet [...] Les informations fournies doivent toutefois être suffisamment complètes pour que la personne concernée comprenne les raisons de la décision » ( 47 ). Ainsi, « [l]e responsable du traitement devrait fournir à la personne concernée des informations générales (notamment sur les facteurs pris en considération pour le processus décisionnel et sur leur “importance” respective à un niveau agrégé) qui lui sont également utiles pour contester la décision » ( 48 ). |
|
75. |
Cependant, comme le groupe de travail « Article 29 » sur la protection des données l’a relevé dans ses lignes directrices, « [l]a complexité ne peut excuser l’absence de fourniture d’informations à la personne concernée » ( 49 ). Il s’ensuit que le responsable du traitement ne peut invoquer le caractère complexe d’informations pour refuser de s’acquitter de l’obligation qui pèse sur lui en vertu de l’article 15, paragraphe 1, sous h), du RGPD. Il lui appartient de faire en sorte de fournir des informations qui sont à la fois accessibles et complètes afin que la personne concernée puisse comprendre le processus ayant conduit à la décision automatisée dont elle a fait l’objet. |
|
76. |
Je déduis de ces éléments que le responsable du traitement n’est pas tenu, en vertu de l’article 15, paragraphe 1, sous h), du RGPD, de communiquer à la personne concernée des informations de nature technique que celle-ci ne serait pas en mesure de comprendre, telles que le détail des algorithmes utilisés ( 50 ). En revanche, ce responsable du traitement doit s’acquitter de son obligation consistant, dans chaque cas, à fournir à cette personne des informations à la fois accessibles et suffisamment complètes sur le processus ayant conduit à la décision automatisée en cause ainsi que sur les raisons qui expliquent le résultat sur lequel cette décision a débouché. Ainsi définies, des « informations utiles concernant la logique sous-jacente » à une prise de décision automatisée devraient notamment décrire la méthode utilisée et les critères pris en compte ainsi que leur pondération ( 51 ). La personne concernée doit dès lors pouvoir comprendre quelles informations ont été utilisées dans la prise de décision automatisée et comment elles ont été prises en compte et pondérées. |
|
77. |
Il convient également de préciser que cette disposition ne s’oppose pas, selon moi, à ce que le responsable du traitement décide, de manière volontaire, de communiquer à la personne concernée des informations de nature technique, telles que le détail des algorithmes utilisés, à condition toutefois qu’il accompagne cette communication d’informations permettant à cette personne de comprendre le processus ayant conduit à la décision automatisée et le résultat auquel celle-ci a abouti. |
|
78. |
J’ajoute que l’article 15, paragraphe 1, sous h), du RGPD ne devrait pas, à mon avis, être interprété comme exigeant du responsable du traitement qu’il fournisse à la personne concernée des données à caractère personnel relatives à des tiers, sauf à porter atteinte par ricochet aux droits de ces derniers. En revanche, des exemples de traitements similaires fournis de façon anonymisée, à titre de comparaison, pourraient permettre à cette personne de mieux comprendre la décision automatisée dont elle a fait l’objet. |
|
79. |
Il incombe à la juridiction de renvoi, sur la base des indications qui précèdent, de déterminer quelles informations devraient être mises à la disposition de la personne concernée dans l’affaire au principal. À cet égard, je doute que la Cour, dans la fonction d’interprète du droit de l’Union que lui confie l’article 267 TFUE, laquelle doit être distinguée de la fonction consistant à appliquer ce droit, laquelle revient au juge national, puisse aller aussi loin dans la détermination concrète de ces informations que ce que cette juridiction souhaiterait. |
|
80. |
Par ailleurs, je précise que l’interprétation de la notion d’« informations utiles concernant la logique sous-jacente » à une prise de décision automatisée, au sens de l’article 15, paragraphe 1, sous h), du RGPD, que je suggère à la Cour de retenir permet de considérer que le législateur de l’Union a déjà, pour une grande part, assuré l’équilibre entre, d’une part, l’exigence de transparence qui fonde cette disposition et, d’autre part, la préservation des droits et libertés d’autrui, parmi lesquels figure la protection du secret d’affaires. En effet, dans la mesure où, selon moi, cette notion ne devrait pas s’étendre à des informations de nature technique, telles qu’un algorithme, qu’une personne concernée n’est pas en mesure de comprendre sans disposer d’une expertise particulière, le droit d’accès qui est garanti par ladite disposition ne devrait pas conduire, dans la plupart des cas, à porter atteinte au secret d’affaires dont peut légitimement se prévaloir le responsable du traitement. Il en va de même de la protection des données à caractère personnel de tiers, dans la mesure où ladite notion ne devrait, en principe, pas couvrir de telles données. |
|
81. |
Cela étant, il ne saurait être exclu que, dans certains cas, le droit d’accès garanti par l’article 15, paragraphe 1, sous h), du RGPD puisse entraîner une atteinte aux droits et libertés d’autrui. Une telle atteinte peut être invoquée par le responsable du traitement pour justifier un refus de communiquer des informations à la personne concernée. Par ailleurs, il est possible que les informations communiquées soient insuffisantes pour permettre de vérifier leur exactitude et leur cohérence avec le résultat sur lequel a débouché la décision automatisée en cause et que la transmission d’informations supplémentaires aux fins de cette vérification puisse porter atteinte aux droits et libertés d’autrui. C’est pourquoi il convient de déterminer, comme la juridiction de renvoi le demande, par quels mécanismes les droits et intérêts en cause peuvent alors être conciliés. |
2. Sur la mise en balance entre les droits de la personne concernée et les droits et libertés d’autrui
|
82. |
Je rappelle que la juridiction de renvoi souhaite savoir, en substance, si et, le cas échéant, dans quelle mesure la protection des droits et libertés d’autrui, tels que la protection du secret d’affaires invoqué par le responsable du traitement, est susceptible de limiter l’étendue du droit d’accès dont la personne dispose en vertu de l’article 15, paragraphe 1, sous h), du RGPD. |
|
83. |
À cet égard, il convient d’emblée d’indiquer que, en vertu du considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. Ainsi, le RGPD respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités ( 52 ). |
|
84. |
De plus, le considérant 63 de ce règlement indique que le droit de toute personne concernée d’accéder aux données à caractère personnel qui ont été collectées à son sujet « ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée ». |
|
85. |
Ainsi, l’article 15, paragraphe 4, du RGPD prévoit que « [l]e droit d’obtenir une copie [des données à caractère personnel faisant l’objet d’un traitement] ne porte pas atteinte aux droits et libertés d’autrui ». |
|
86. |
De même, l’article 23, paragraphe 1, sous i), du RGPD rappelle qu’une limitation de la portée des obligations et des droits prévus notamment à l’article 15 du RGPD est possible « lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir [...] la protection [...] des droits et libertés d’autrui » ( 53 ). |
|
87. |
La Cour a déduit de ces dispositions que le droit reconnu à la personne concernée d’obtenir une première copie à titre gratuit de ses données à caractère personnel faisant l’objet d’un traitement n’est pas absolu ( 54 ). En particulier, conformément à l’article 15, paragraphe 4, du RGPD, lu en combinaison avec le considérant 63 de ce règlement, le droit d’obtenir une copie des données à caractère personnel faisant l’objet d’un traitement visé au paragraphe 3 de cet article ne devrait pas porter atteinte aux droits et libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel ( 55 ). |
|
88. |
Il découle de ces éléments que des considérations relatives, notamment, à la protection des droits et des libertés d’autrui sont de nature à justifier une limitation du droit d’accès prévu à l’article 15, paragraphe 1, sous h), du RGPD, pour autant qu’une telle limitation en respecte l’essence et qu’elle constitue une mesure nécessaire et proportionnée afin de garantir cette protection, ainsi que le prévoit l’article 23, paragraphe 1, sous i), du RGPD ( 56 ). |
|
89. |
Or, des considérations relatives à la protection du secret d’affaires, au sens de l’article 2, paragraphe 1, point 1, de la directive 2016/943 ( 57 ) peuvent être de nature à justifier une limitation du droit d’accès prévu à l’article 15, paragraphe 1, sous h), du RGPD. |
|
90. |
Certes, le considérant 35 de la directive 2016/943 mentionne que celle-ci « ne devrait pas avoir d’incidence sur les droits et obligations fixés par la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ( 58 )], notamment le droit de la personne concernée d’accéder aux données à caractère personnel la concernant qui font l’objet d’un traitement et le droit d’obtenir la rectification, l’effacement ou le verrouillage de ces données lorsqu’elles sont incomplètes ou inexactes ». Cela étant, les dispositions du RGPD que j’ai citées précédemment me paraissent militer, en cas de conflit entre, d’une part, l’exercice du droit d’accès prévu à l’article 15, paragraphe 1, sous h), de ce règlement et, d’autre part, les droits ou libertés d’autrui, en faveur de la possibilité d’une mise en balance entre les droits et libertés en question ( 59 ). |
|
91. |
Ainsi, comme la Cour l’a déjà jugé, il convient, dans la mesure du possible, de choisir des modalités de communication des données à caractère personnel qui ne portent pas atteinte aux droits ou libertés d’autrui, en tenant compte du fait que ces considérations ne doivent pas « aboutir à refuser toute communication d’informations à la personne concernée », ainsi que cela ressort du considérant 63 du RGPD ( 60 ). |
|
92. |
La juridiction de renvoi souhaite, en substance, savoir quelles formes pourraient prendre de telles modalités de communication respectueuses des droits et libertés d’autrui dans le contexte spécifique de l’article 15, paragraphe 1, sous h), du RGPD. |
|
93. |
À cet égard, je relève que la Cour a déjà jugé qu’une juridiction nationale peut estimer que des données à caractère personnel des parties ou de tiers doivent lui être communiquées afin de pouvoir pondérer, en toute connaissance de cause et dans le respect du principe de proportionnalité, les intérêts en présence. Cette appréciation peut, le cas échéant, la conduire à autoriser la divulgation complète ou partielle à la partie adverse des données à caractère personnel qui lui ont ainsi été communiquées, si elle considère qu’une telle divulgation ne va pas au-delà de ce qui est nécessaire aux fins de garantir la jouissance effective des droits que les justiciables tirent de l’article 47 de la Charte ( 61 ). |
|
94. |
Cette jurisprudence peut, à mon avis, s’appliquer aux informations visées à l’article 15, paragraphe 1, sous h), du RGPD. Au vu de ladite jurisprudence, je considère que cette disposition, lue en combinaison avec le considérant 63 et l’article 23, paragraphe 1, sous i), de ce règlement, doit être interprétée en ce sens que, lorsque les informations qui doivent être fournies à la personne concernée au titre du droit d’accès garanti par la première de ces dispositions sont susceptibles d’entraîner une atteinte aux droits et libertés d’autrui, notamment parce qu’elles contiennent des données à caractère personnel de tiers protégées par le RGPD ou bien un secret d’affaires, au sens de l’article 2, paragraphe 1, point 1, de la directive 2016/943, ces informations doivent être communiquées à l’autorité de contrôle ou à la juridiction compétentes afin que ces dernières puissent pondérer, en toute connaissance de cause et dans le respect du principe de proportionnalité ainsi que de la confidentialité desdites informations, les intérêts en présence et déterminer l’étendue du droit d’accès qui doit être accordé à cette personne. |
|
95. |
Selon les indications fournies par la juridiction de renvoi dans sa demande de décision préjudicielle, l’article 4, paragraphe 6, du DSG exclut, en principe, le droit d’accès de la personne concernée, prévu à l’article 15 du RGPD, lorsque cet accès compromettrait un secret d’affaires ou d’entreprise du responsable du traitement ou d’un tiers. À cet égard, j’estime qu’une telle disposition ne saurait se substituer à une mise en balance qui doit être effectuée au cas par cas par l’autorité ou la juridiction compétentes. En effet, il me paraît résulter de la jurisprudence de la Cour que, lorsqu’une pondération de droits et d’intérêts opposés doit être effectuée, un État membre ne saurait prescrire, de manière définitive, le résultat de cette pondération ( 62 ), sans permettre un résultat différent en raison des circonstances particulières d’un cas concret ( 63 ). |
IV. Conclusion
|
96. |
Eu égard à l’ensemble des considérations qui précèdent, je propose à la Cour de répondre aux questions préjudicielles posées par le Verwaltungsgericht Wien (tribunal administratif de Vienne, Autriche) de la manière suivante : L’article 15, paragraphe 1, sous h), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), lu en combinaison avec le considérant 63 et l’article 23, paragraphe 1, sous i), de ce règlement, doit être interprété en ce sens que :
|
( 1 ) Langue originale : le français.
( 2 ) JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2.
( 3 ) JO 2016, L 157, p. 1.
( 4 ) La juridiction de renvoi souligne, à cet égard, que le Bundesverwaltungsgericht (tribunal administratif fédéral) n’a pas, dans sa décision, précisé l’étendue des données à caractère personnel traitées à fournir et le degré de détail de la logique sous-jacente à communiquer.
( 5 ) Ci-après la « Charte ».
( 6 ) BGBl. I, 165/1999.
( 7 ) BGBl. I, 14/2019. Cette disposition exclut, en principe, le droit d’accès de la personne concernée, prévu à l’article 15 du RGPD, lorsque cet accès compromettrait un secret d’affaires ou d’entreprise du responsable du traitement ou d’un tiers.
( 8 ) Voir, à cet égard, considérant 71 du RGPD, qui prévoit que « [l]a personne concernée devrait avoir le droit de ne pas faire l’objet d’une décision, qui peut comprendre une mesure, impliquant l’évaluation de certains aspects personnels la concernant, qui est prise sur le seul fondement d’un traitement automatisé et qui produit des effets juridiques la concernant ou qui, de façon similaire, l’affecte de manière significative, tels que le rejet automatique d’une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention humaine. Ce type de traitement inclut le “profilage” [...], dès lors qu’il produit des effets juridiques concernant la personne en question ou qu’il l’affecte de façon similaire de manière significative ».
( 9 ) C‑634/21, ci-après l’« arrêt SCHUFA Holding e.a. (Scoring) , EU:C:2023:957.
( 10 ) Voir arrêt SCHUFA Holding e.a. (Scoring) (point 73).
( 11 ) Le jour où la Cour a prononcé cet arrêt, elle a également prononcé l’arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette) (C‑26/22 et C‑64/22, EU:C:2023:958), dans lequel elle a interprété les articles du RGPD suivants : l’article 5, paragraphe 1, sous a), lu conjointement avec l’article 6, paragraphe 1, premier alinéa, sous f) ; l’article 17, paragraphe 1, sous c) et d), ainsi que l’article 78, paragraphe 1.
( 12 ) C‑634/21, EU:C:2023:220.
( 13 ) Voir conclusions de l’avocat général Pikamäe dans l’affaire SCHUFA Holding e.a. (Scoring) (C‑634/21, EU:C:2023:220, point 54).
( 14 ) Voir conclusions de l’avocat général Pikamäe dans l’affaire SCHUFA Holding e.a. (Scoring) (C‑634/21, EU:C:2023:220, point 56).
( 15 ) Voir conclusions de l’avocat général Pikamäe dans l’affaire SCHUFA Holding e.a. (Scoring) (C‑634/21, EU:C:2023:220, point 56).
( 16 ) Italique ajouté par mes soins.
( 17 ) Voir conclusions de l’avocat général Pikamäe dans l’affaire SCHUFA Holding e.a. (Scoring) (C‑634/21, EU:C:2023:220, point 57).
( 18 ) Voir conclusions de l’avocat général Pikamäe dans l’affaire SCHUFA Holding e.a. (Scoring) (C‑634/21, EU:C:2023:220, point 57).
( 19 ) Voir conclusions de l’avocat général Pikamäe dans l’affaire SCHUFA Holding e.a. (Scoring) (C‑634/21, EU:C:2023:220, point 58). À cet égard, l’avocat général Pikamäe s’est appuyé sur les « Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 », adoptées le 3 octobre 2017 par le groupe de travail « Article 29 » sur la protection des données, version révisée et adoptée le 6 février 2018 (ci-après les « lignes directrices »), p. 28 et 30.
( 20 ) Il convient également de relever que la notion d’« informations utiles concernant la logique sous-jacente » à une prise de décision automatisée, au sens de l’article 15, paragraphe 1, sous h), du RGPD, a donné lieu à de nombreuses publications qui permettent, par la diversité des prises de position, d’enrichir la réflexion sur la signification qu’il convient de donner à cette notion. Parmi ces publications, je citerais les suivantes : Goodman, B., et Flaxman, S., « European Union Regulations on Algorithmic Decision Making and a “Right to Explanation” », AI Magazine, vol. 38, no 3, Wiley, Berlin, 2017, p. 50 à 57 ; Wachter, S., Mittelstadt, B., et Floridi, L., « Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation », International Data Privacy Law, vol. 7, no 2, Oxford University Press, Oxford, 2017, p. 76 à 99 ; Selbst, A. D., et Powles, J., « Meaningful information and the right to explanation », International Data Privacy Law, vol. 7, no 4, Oxford University Press, Oxford, 2017, p. 233 à 242 ; Cabral, T. S., « AI and the Right to Explanation : Three Legal Bases under the GDPR », dans Hallinan, D., Leenes, R., et De Hert, P., Data Protection and Privacy : Data Protection and Artificial Intelligence, Hart Publishing, Oxford, 2021, p. 29 à 56 ; Edwards, L., et Veale, M., « Slave to the Algorithm ? Why a “Right to an Explanation” Is Probably Not the Remedy You Are Looking For », Duke Law & Technology Review, vol. 16, Duke Law School, Durham, 2017, p. 18 à 84 ; Brkan, M., « Do algorithms rule the worlds ? Algorithmic decision-making and data protection in the framework of the GDPR and beyond », International Journal of Law and Information Technology, vol. 27, no 2, Oxford University Press, Oxford, 2019, p. 91 à 121 ; Kaminski, M. E., et Malgieri, G., « Algorithmic impact assessments under the GDPR : producing multi-layered explanations », International Data Privacy Law, vol. 11, no 2, Oxford University Press, Oxford, 2021, p. 125 à 144 ; Custers, B., et Heijne, A.-S., « The right of access in automated decision-making : The scope of article 15(1)(h) GDPR in theory and practice », Computer Law & Security Review, vol. 46, Elsevier, Amsterdam, 2022 ; Naudts, L., Dewitte, P., et Ausloos, J., « Meaningful transparency through data rights : A multidimensional analysis », Research Handbook on EU Data Protection Law, Elgar, Cheltenham, 2022, p. 530 à 571.
( 21 ) Voir, notamment, arrêt du 26 octobre 2023, FT (Copies du dossier médical) [C‑307/22, ci-après l’« arrêt FT (Copies du dossier médical) , EU:C:2023:811, points 47 et 48, ainsi que jurisprudence citée].
( 22 ) Aux termes de l’article 4, point 4, du RGPD, on entend par « profilage », « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».
( 23 ) Cette notion figure également à l’article 13, paragraphe 2, sous f), et à l’article 14, paragraphe 2, sous g), du RGPD. Voir, également, considérant 63 de ce règlement, qui indique que « toute personne concernée devrait avoir le droit de connaître et de se faire communiquer [...] la logique qui sous-tend [l’]éventuel traitement automatisé [de données à caractère personnel] et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage ».
( 24 ) Si la présente demande de décision préjudicielle porte plus particulièrement sur la notion d’« informations utiles concernant la logique sous-jacente », au sens de l’article 15, paragraphe 1, sous h), du RGPD, il ne faut cependant pas sous-estimer le fait que la personne concernée doit également être informée de l’importance et des conséquences prévues du traitement en cause. Selon le groupe « Article 29 » sur la protection des données, « [c]es termes suggèrent que des informations doivent être fournies sur les traitements prévus ou futurs et sur la manière dont la prise de décision automatisée pourrait affecter la personne concernée [...] Afin de rendre ces informations utiles et compréhensibles, des exemples réels et tangibles du type d’effets possibles devraient être donnés » : voir lignes directrices (p. 29).
( 25 ) Voir, notamment, arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF (C‑487/21, ci-après l’« arrêt Österreichische Datenschutzbehörde et CRIF , EU:C:2023:369, point 34 et jurisprudence citée), ainsi que arrêt FT (Copies du dossier médical) (point 73 et jurisprudence citée).
( 26 ) Voir, notamment, arrêt FT (Copies du dossier médical) (point 73 et jurisprudence citée).
( 27 ) Voir, notamment, arrêt Österreichische Datenschutzbehörde et CRIF (point 35 et jurisprudence citée).
( 28 ) Comme la Cour l’a précisé dans son arrêt SCHUFA Holding e.a. (Scoring) (point 52), cette disposition édicte une interdiction de principe dont la méconnaissance ne nécessite pas d’être invoquée de manière individuelle par une telle personne.
( 29 ) Voir arrêt SCHUFA Holding e.a. (Scoring) (point 54).
( 30 ) Voir arrêt SCHUFA Holding e.a. (Scoring) (point 57). En effet, selon la Cour, ce traitement implique, ainsi que cela ressort du considérant 71 du RGPD, l’évaluation d’aspects personnels relatifs à la personne physique concernée par ce traitement, notamment pour analyser ou prédire des aspects concernant son rendement au travail, sa situation économique, sa santé, ses préférences ou centres d’intérêt, sa fiabilité ou son comportement, ou sa localisation et ses déplacements (point 58). Ces risques particuliers sont, selon ce considérant, susceptibles de peser sur les intérêts légitimes et les droits de la personne concernée, notamment compte tenu des effets discriminatoires potentiels à l’égard des personnes physiques (point 59).
( 31 ) Voir arrêt Österreichische Datenschutzbehörde et CRIF (point 37).
( 32 ) Voir arrêt Österreichische Datenschutzbehörde et CRIF (point 38).
( 33 ) Voir arrêts Österreichische Datenschutzbehörde et CRIF (point 39), ainsi que FT (Copies du dossier médical) (point 73).
( 34 ) Voir arrêts Österreichische Datenschutzbehörde et CRIF (point 41), ainsi que FT (Copies du dossier médical) (point 74).
( 35 ) Voir arrêt Österreichische Datenschutzbehörde et CRIF (point 42).
( 36 ) Voir arrêts Österreichische Datenschutzbehörde et CRIF (point 45), ainsi que FT (Copies du dossier médical) (point 75).
( 37 ) Voir, sur l’interprétation que la Cour retient de la notion d’« informations », au sens de l’article 15, paragraphe 3, troisième phrase, du RGPD, arrêt Österreichische Datenschutzbehörde et CRIF (points 46 à 53).
( 38 ) Voir Selbst, A. D., et Powles, J., op. cit., p. 236.
( 39 ) Voir, à ce sujet, Malgieri, G., et Comandé, G., « Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation », International Data Privacy Law, Oxford University Press, Oxford, 2017, vol. 7, no 4, p. 243 à 265, en particulier p. 257.
( 40 ) Voir, notamment, Cabral, T. S., op. cit. Voir, également, sur le débat relatif à l’existence ou non d’un droit à l’explication, Brkan, M., op. cit., p. 110 et suiv.
( 41 ) Voir Foss-Solbrekk, K., et Glenster, A. K., « The intersection of data protection rights and trade secrets privileges in “algorithmic transparency” », dans Research Handbook on EU Data Protection Law, op. cit., p. 163 à 183. Les auteurs pointent, parmi les préoccupations soulevées par l’utilisation des algorithmes, « la possibilité que les algorithmes [...] soient basés sur des données inexactes, donnant ainsi des résultats qui ne reflètent pas la situation de la personne concernée » (p. 166) (traduction libre).
( 42 ) Voir arrêt SCHUFA Holding e.a. (Scoring) (point 59).
( 43 ) C‑26/22 et C‑64/22, EU:C:2023:958.
( 44 ) Voir arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette) (C‑26/22 et C‑64/22, EU:C:2023:958, point 94 et jurisprudence citée).
( 45 ) Voir Selbst, A. D., et Powles, J., op. cit., p. 236.
( 46 ) Voir, notamment, sur le riche débat auquel cette question a donné lieu, Foss-Solbrekk, K., et Glenster, A. K., op. cit., p. 167.
( 47 ) Voir lignes directrices (p. 28). Italique ajouté par mes soins.
( 48 ) Voir lignes directrices (p. 30).
( 49 ) Voir lignes directrices (p. 28). Comme l’indique ce groupe de travail, il découle du considérant 58 du RGPD que « le princip[e] de transparence “vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font en sorte qu’il est difficile pour la personne concernée de savoir et de comprendre si des données à caractère personnel la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne” ».
( 50 ) Voir Malgieri, G., et Comandé, G., op. cit., qui relèvent que, « [s]ouvent, [les] algorithmes sont non seulement inconnus, mais également inintelligibles pour les personnes » (traduction libre) (p. 243).
( 51 ) Voir Poullet, Y., Le RGPD face aux défis de l’intelligence artificielle, Larcier, Bruxelles, 2021, qui relève que la « notion d’“informations utiles” s’entend des types de données anonymes ou non traitées, de leurs sources, du mode de fonctionnement de l’algorithme et, sans doute et sans devoir donner les détails, des poids accordés à chaque type de données dans l’algorithme de base » (p. 115).
( 52 ) Voir, notamment, arrêt FT (Copies du dossier médical) (point 59 et jurisprudence citée).
( 53 ) Voir arrêt FT (Copies du dossier médical) (point 61).
( 54 ) Voir arrêt FT (Copies du dossier médical) (point 62).
( 55 ) Voir arrêt Österreichische Datenschutzbehörde et CRIF (point 43).
( 56 ) Voir, par analogie, arrêt FT (Copies du dossier médical) (point 63).
( 57 ) Aux termes de cette disposition, on entend par « secret d’affaires » aux fins de cette directive, « des informations qui répondent à toutes les conditions suivantes : a) elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l’assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles, b) elles ont une valeur commerciale parce qu’elles sont secrètes, c) elles ont fait l’objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes. »
( 58 ) JO 1995, L 281, p. 31.
( 59 ) Voir, en ce sens, à propos de l’article 15, paragraphe 4, du RGPD, qui permet de limiter le droit d’obtenir une copie des données à caractère personnel visé au paragraphe 3 de cet article, arrêt Österreichische Datenschutzbehörde et CRIF (point 44).
( 60 ) Voir arrêt Österreichische Datenschutzbehörde et CRIF (point 44).
( 61 ) Voir arrêt du 2 mars 2023, Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, point 58).
( 62 ) Voir, notamment, arrêt SCHUFA Holding e.a. (Scoring) (point 70 et jurisprudence citée).
( 63 ) Voir, notamment, arrêt du 17 juin 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, point 111 et jurisprudence citée).