Cauza C‑634/21

OQ

împotriva

Land Hessen

(cerere de decizie preliminară introdusă de Verwaltungsgericht Wiesbaden)

Hotărârea Curții (Camera întâi) din 7 decembrie 2023

„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 22 – Procesul decizional individual automatizat – Societăți care furnizează informații comerciale – Stabilirea automatizată a unei valori de probabilitate în ceea ce privește capacitatea unei persoane de a onora în viitor angajamente de plată («scoring») – Utilizarea acestei valori de probabilitate de către terți”

1. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Căi de atac – Cale de atac judiciară împotriva unei decizii adoptate de o autoritate de supraveghere cu privire la o plângere – Control jurisdicțional – Întindere – Limite – Inexistență

   [Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 78 alin. (1)]

   (a se vedea punctul 34)

2. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Dreptul persoanei vizate de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată – Procesul decizional individual automatizat – Noțiune – Stabilire automatizată de către o societate care furnizează informații comerciale a unei valori de probabilitate a bonității unei persoane, utilizată de terți – Includere – Condiții

   [Regulamentul 2016/679 al Parlamentului European și al Consiliului, considerentul (71), art. 4 pct. 4 și art. 22 alin. (1)]

   (a se vedea punctele 43, 46-50, 60-63 și 73 și dispozitivul)

3. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Dreptul persoanei vizate de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată – Excepții – Adoptarea unei decizii bazate exclusiv pe prelucrarea automată, autorizată de dreptul unui stat membru – Obligația de a respecta condițiile și cerințele prevăzute de regulamentul menționat – Verificare care incumbă instanței naționale

   [Regulamentul 2016/679 al Parlamentului European și al Consiliului, considerentul (71), art. 5 și 6 și art. 22 alin. (2)-(4)]

   (a se vedea punctele 53-55, 64, 67-70 și 72)

Rezumat

SCHUFA Holding AG, o societate privată de drept german, furnizează partenerilor săi contractuali informații privind bonitatea unor persoane. În acest scop, ea atribuie fiecărei persoane vizate o valoare („score”), pe care o stabilește pornind de la anumite caracteristici ale persoanei respective, pe baza unor proceduri matematice și statistice. Stabilirea scorurilor servește la anticiparea comportamentului viitor al unei persoane, precum rambursarea unui împrumut, pe baza atribuirii sale unui grup de alte persoane cu caracteristici comparabile.

După ce OQ a făcut obiectul unor informări negative întocmite de SCHUFA și transmise unei instituții de credit, această instituție i‑a refuzat lui OQ acordarea unui împrumut. OQ a solicitat SCHUFA să îi acorde acces la datele care o privesc și să șteargă datele pretins eronate. SCHUFA nu i‑a comunicat însă decât scorul său și, în general, modalitățile de calcul, invocând în rest secretul comercial.

OQ a formulat ulterior o contestație împotriva SCHUFA la HBDI ( 1 ), autoritatea de supraveghere germană, pe care aceasta din urmă a respins‑o pentru motivul că activitatea SCHUFA era conformă cu legislația germană care reglementează modalitățile de utilizare a unei valori de probabilitate referitoare la bonitate ( 2 ).

Sesizat de OQ cu o acțiune împotriva deciziei HBDI, Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden, Germania) a solicitat Curții să se pronunțe cu privire la interpretarea dispozițiilor RGPD ( 3 ) privind dreptul persoanei vizate de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri ( 4 ).

În hotărârea sa, Curtea interpretează pentru prima dată dispozițiile RGPD privind domeniul sensibil al deciziilor bazate exclusiv pe prelucrarea automată a datelor. În acest cadru, ea se pronunță cu privire la aspectul dacă stabilirea automatizată de către o societate care furnizează informații comerciale a unei valori de probabilitate privind bonitatea unei persoane constituie o decizie individuală automatizată și, astfel, intră în domeniul de aplicare al acestor dispoziții.

Aprecierea Curții

Mai întâi, Curtea constată că cele trei condiții cumulative de aplicabilitate a dispozițiilor RGPD care reglementează dreptul persoanei de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, sunt întrunite în speță.

În ceea ce privește prima condiție, referitoare la existența unei decizii, Curtea precizează că noțiunea de „decizie” are un domeniu de aplicare larg și este susceptibilă să includă rezultatul calculului bonității unei persoane sub forma unei valori de probabilitate privind capacitatea acestei persoane de a onora în viitor angajamente de plată.

În ceea ce privește a doua condiție, potrivit căreia decizia trebuie să fie „bazată exclusiv pe prelucrarea automată, inclusiv crearea de profiluri”, este cert, potrivit Curții, că activitatea societății în discuție corespunde definiției „creării de profiluri” ( 5 ) și, prin urmare, că această condiție este îndeplinită în speță. În plus, instanța de trimitere menționează în mod explicit că este în discuție stabilirea automatizată a unei valori de probabilitate întemeiate pe date cu caracter personal referitoare la o persoană și care privesc capacitatea acesteia de a onora în viitor un împrumut.

În ceea ce privește a treia condiție, potrivit căreia decizia trebuie să producă „efecte juridice” care privesc persoana vizată sau să o afecteze „în mod similar într‑o măsură semnificativă”, Curtea arată că, în speță, acțiunea terțului căruia îi este transmisă valoarea de probabilitate este ghidată „în mod determinant” de această valoare. Într‑adevăr, o valoare de probabilitate insuficientă determină aproape întotdeauna refuzul de a acorda un împrumut. Astfel, această valoare afectează, cel puțin, persoana vizată în mod semnificativ.

Curtea concluzionează că, în cazul în care valoarea de probabilitate stabilită de o societate care furnizează informații comerciale și comunicată unei bănci joacă un rol determinant în acordarea unui credit, stabilirea acestei valori trebuie calificată în sine drept decizie ce produce „efecte juridice care privesc persoana vizată sau o afectează în mod similar într‑o măsură semnificativă” ( 6 ).

În continuare, Curtea subliniază că această interpretare și mai ales domeniul de aplicare larg al noțiunii de „decizie” consolidează protecția efectivă prevăzută de RGPD. În schimb, o interpretare restrictivă, potrivit căreia stabilirea valorii de probabilitate trebuie considerată doar un act pregătitor și numai actul adoptat de terț poate, dacă este cazul, să fie calificat drept „decizie”, ar determina o lacună în protecția juridică. Astfel, în această ipoteză, stabilirea unei asemenea valori nu ar intra sub incidența cerințelor specifice prevăzute de RGPD ( 7 ), chiar dacă această procedură se bazează pe prelucrarea automată și produce efecte care afectează semnificativ persoana vizată în măsura în care acțiunea terțului, căruia îi este transmisă această valoare de probabilitate, este ghidată în mod determinant de aceasta.

În plus, pe de o parte, persoana vizată nu ar putea invoca, în raport cu societatea care furnizează informații comerciale ce stabilește valoarea de probabilitate care o privește, dreptul său de acces la informațiile specifice ( 8 ), în lipsa unei decizii automatizate din partea acestei societăți. Pe de altă parte, chiar presupunând că actul adoptat de terț intră la rândul său sub incidența dispozițiilor RGPD care vizează dreptul persoanei de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, terțul menționat nu ar fi în măsură să furnizeze aceste informații specifice, întrucât în general nu dispune de ele.

În sfârșit, Curtea observă că faptul că stabilirea unei valori de probabilitate este reglementată de dispozițiile RGPD care vizează dreptul persoanei de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată are consecința că aceasta este interzisă, cu excepția cazului în care este aplicabilă una dintre excepții, iar cerințele specifice prevăzute de RGPD sunt respectate.

În plus, orice prelucrare a datelor cu caracter personal trebuie, pe de o parte, să fie conformă cu principiile referitoare la prelucrarea datelor stabilite de RGPD și, pe de altă parte, având în vedere în special principiul legalității prelucrării, să îndeplinească una dintre condițiile de legalitate.

În acest context, Curtea arată că instanța de trimitere face referire la excepția potrivit căreia adoptarea deciziei bazate exclusiv pe prelucrarea automată poate fi autorizată atunci când acest lucru este prevăzut de dreptul statului membru. În această privință, ea precizează că revine acestei instanțe sarcina de a verifica dacă legislația națională care reglementează modalitățile de utilizare a unei valori de probabilitate referitoare la bonitate poate fi calificată drept temei legal care autorizează adoptarea unei astfel de decizii și, în cazul unui răspuns afirmativ, dacă condițiile care însoțesc această excepție și cele referitoare la principiile aplicabile prelucrării, prevăzute de RGPD, sunt îndeplinite în speță.

( 1 ) Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Comisarul Landului Hessen pentru Protecția Datelor și Libertatea de Informare, Germania).

( 2 ) Articolul 31 din Bundesdatenschutzgesetz (Legea federală privind protecția datelor) din 30 iunie 2017 (BGBl. I, p. 2097).

( 3 ) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, rectificare în JO 2018, L 127, p. 2, denumit în continuare „RGPD”).

( 4 ) Articolul 22 din RGPD.

( 5 ) În sensul articolului 4 punctul 4 din RGPD.

( 6 ) În sensul articolului 22 alineatul (1) din RGPD.

( 7 ) Prevăzute la articolul 22 alineatele (2)-(4) din RGPD. Din aceste dispoziții reiese că interzicerea unei decizii individuale bazate exclusiv pe prelucrarea automată este însoțită de trei excepții, care aduc garanții suplimentare. Astfel, o asemenea decizie este admisă atunci când este necesară pentru încheierea sau pentru executarea unui contract între persoana vizată și un operator de date, atunci când este autorizată de dreptul Uniunii sau de dreptul intern care se aplică operatorului sau atunci când are la bază consimțământul explicit al persoanei vizate, cu condiția existenței unor măsuri corespunzătoare pentru protejarea drepturilor și libertăților, precum și a intereselor legitime ale persoanei vizate.

( 8 ) Vizate la articolul 15 alineatul (1) litera (h) din RGPD, care, în cazul unui proces decizional automatizat, acordă persoanei vizate un drept de acces extins.