This document is an excerpt from the EUR-Lex website
Document 62021CC0634
Opinion of Advocate General Pikamäe delivered on 16 March 2023.#OQ v Land Hessen.#Request for a preliminary ruling from the Verwaltungsgericht Wiesbaden.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Article 22 – Automated individual decision-making – Credit information agencies – Automated establishment of a probability value concerning the ability of a person to meet payment commitments in the future (‘scoring’) – Use of that probability value by third parties.#Case C-634/21.
Conclusions de l'avocat général M. P. Pikamäe, présentées le 16 mars 2023.
OQ contre Land Hessen.
Demande de décision préjudicielle, introduite par le Verwaltungsgericht Wiesbaden.
Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 22 – Décision individuelle automatisée – Sociétés fournissant des informations commerciales – Établissement automatisé d’une valeur de probabilité concernant la capacité d’une personne à honorer des engagements de paiement à l’avenir (“scoring”) – Utilisation de cette valeur de probabilité par des tiers.
Affaire C-634/21.
Conclusions de l'avocat général M. P. Pikamäe, présentées le 16 mars 2023.
OQ contre Land Hessen.
Demande de décision préjudicielle, introduite par le Verwaltungsgericht Wiesbaden.
Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 22 – Décision individuelle automatisée – Sociétés fournissant des informations commerciales – Établissement automatisé d’une valeur de probabilité concernant la capacité d’une personne à honorer des engagements de paiement à l’avenir (“scoring”) – Utilisation de cette valeur de probabilité par des tiers.
Affaire C-634/21.
Court reports – general
ECLI identifier: ECLI:EU:C:2023:220
CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. PRIIT PIKAMÄE
présentées le 16 mars 2023 ( 1 )
Affaire C‑634/21
OQ
contre
Land Hessen,
en présence de
SCHUFA Holding AG
[demande de décision préjudicielle formée par le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne)]
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 6, paragraphe 1 – Licéité du traitement – Article 22 – Décision individuelle automatisée – Profilage – Sociétés privées fournissant des informations commerciales – Établissement d’une valeur de probabilité de la solvabilité d’une personne physique (scoring) – Transmission à des tiers décidant d’établir, d’exécuter ou de mettre fin à des relations contractuelles avec cette personne sur la base de cette valeur »
I. Introduction
1. |
La présente demande de décision préjudicielle adressée par le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne) au titre de l’article 267 TFUE a pour objet l’interprétation de l’article 6, paragraphe 1, et de l’article 22, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ( 2 ) (ci-après le « RGPD »). |
2. |
Cette demande s’inscrit dans le cadre d’un litige opposant la requérante, OQ, une personne physique, au Land Hessen (Land de Hesse, Allemagne), représenté par le Hessischer Beauftragter für Datenschutz und Informationsfreiheit (commissaire à la protection des données et à la liberté d’information du Land de Hesse, ci-après le « HBDI »), au sujet de la protection des données à caractère personnel. SCHUFA Holding AG (ci-après « SCHUFA »), une agence de droit privé, soutient le HBDI en tant que partie intervenante. Dans le cadre de son activité économique consistant à fournir à ses clients des informations concernant la solvabilité des personnes tierces, SCHUFA a fourni à un établissement de crédit un score concernant la requérante, qui a servi de base au refus du crédit demandé par cette dernière. La requérante a demandé à SCHUFA d’effacer l’enregistrement y relatif et de lui donner l’accès aux données correspondantes, mais cette dernière ne lui a communiqué que le score pertinent et, de manière générale, les principes qui sous-tendent la méthode de calcul du score, sans l’informer des données spécifiques prises en compte dans ce calcul et de la pertinence qui leur est attribuée dans ce contexte, en faisant valoir que la méthode de calcul relève du secret des affaires. |
3. |
Dans la mesure où la requérante fait valoir que le refus que SCHUFA oppose à sa demande est contraire au régime de protection des données, la Cour sera appelée à se prononcer sur les restrictions que le RGPD impose à l’activité économique des agences de renseignement dans le secteur financier, en particulier dans la gestion des données ainsi que sur l’incidence à reconnaître au secret des affaires. De même, la Cour devra préciser l’étendue des pouvoirs réglementaires que certaines dispositions du RGPD confèrent au législateur national par dérogation à l’objectif général d’harmonisation poursuivi par cet acte juridique. |
II. Le cadre juridique
A. Le droit de l’Union
4. |
L’article 4, point 4, du RGPD dispose : « Aux fins du présent règlement, on entend par : [...]
|
5. |
L’article 6 du RGPD, intitulé « Licéité du traitement », énonce : « 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions. 2. Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal, y compris dans d’autres situations particulières de traitement comme le prévoit le chapitre IX. 3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :
Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres : les conditions générales régissant la licéité du traitement par le responsable du traitement ; les types de données qui font l’objet du traitement ; les personnes concernées ; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être ; la limitation des finalités ; les durées de conservation ; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi. 4. Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres :
|
6. |
L’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée », dispose : « 1. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes : [...]
[...] » |
7. |
L’article 21 du RGPD, intitulé « Droit d’opposition », énonce : « 1. La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice. [...] » |
8. |
Aux termes de l’article 22 du RGPD, intitulé « Décision individuelle automatisée, y compris le profilage » : « 1. La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. 2. Le paragraphe 1 ne s’applique pas lorsque la décision :
3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision. 4. Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l’article 9, paragraphe 1, à moins que l’article 9, paragraphe 2, point a) ou g), ne s’applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place. » |
B. Le droit allemand
9. |
L’article 31 du Bundesdatenschutzgesetz (loi relative à la protection des données), du 30 juin 2017 ( 3 ), tel que modifié par la loi du 20 novembre 2019 ( 4 ) (ci-après le « BDSG »), intitulé « Protection des transactions économiques en cas de scoring [établissement de scores] et de renseignements sur la solvabilité », dispose : « 1) L’utilisation d’une valeur de probabilité concernant un comportement spécifique, à l’avenir, d’une personne physique afin de décider de l’établissement, de l’exécution ou de la cessation d’une relation contractuelle avec cette personne (scoring) n’est autorisée que lorsque
2) L’utilisation d’une valeur de probabilité relative à la solvabilité et à la volonté de payer d’une personne physique, établie par des sociétés fournissant des informations commerciales, n’est autorisée, dans le cas dans lequel des informations sur les créances sont incluses, que dans la mesure où les conditions visées au paragraphe 1 sont réunies et où seules sont prises en compte les créances qui sont relatives à une prestation due qui n’a pas été fournie bien que celle-ci soit exigible et
Cela vaut sans préjudice de la licéité du traitement, y compris de l’établissement de valeurs de probabilité et d’autres données pertinentes en matière de solvabilité, au regard du droit général de la protection des données. » |
III. Les faits à l’origine du litige, la procédure au principal et les questions préjudicielles
10. |
Il ressort de la décision de renvoi que la requérante au principal n’a pas obtenu de crédit en raison d’une évaluation de solvabilité effectuée par SCHUFA. Cette dernière est une société de droit privé qui exploite un service d’information en matière de crédit fournissant à ses clients des informations sur la solvabilité des consommateurs. À cette fin, SCHUFA effectue des évaluations de solvabilité pour lesquelles elle établit, à partir de certaines caractéristiques d’une personne, une prévision, sur la base d’une méthode statistique mathématique, relative à la probabilité d’un comportement futur tel que le remboursement d’un crédit. |
11. |
La requérante a demandé à SCHUFA d’effacer les données inexactes la concernant et de lui donner accès aux données enregistrées la concernant. SCHUFA a notamment communiqué à la requérante le score calculé à son égard et le mode de fonctionnement, dans son principe, de son calcul, mais elle ne lui a pas communiqué la pondération des différentes données dans le calcul. SCHUFA considère qu’elle n’est pas tenue de divulguer ses méthodes de calcul, car celles-ci relèvent du secret professionnel et du secret des affaires. En outre, elle considère qu’elle ne fournit des informations qu’à ses clients, qui adoptent les décisions proprement dites concernant les contrats de crédit. |
12. |
La requérante a saisi le défendeur, un contrôleur à la protection des données, d’une réclamation à l’égard du rapport de SCHUFA, réclamation dans laquelle elle demande au défendeur d’ordonner à la société de fournir et d’effacer des informations conformément à sa demande. Dans la décision rendue sur la réclamation, le HBDI a estimé qu’il n’y avait pas lieu d’agir davantage à l’encontre de la société, au motif que celle-ci respecte les exigences précisées par la loi fédérale allemande sur la protection des données. |
13. |
La juridiction de renvoi est saisie d’un recours introduit par la requérante contre la décision du défendeur. Elle considère que, pour statuer dans l’affaire au principal, il est essentiel de déterminer si l’activité des prestataires de services d’information en matière de crédit par laquelle ceux-ci établissent des scores relatifs à des personnes et les transmettent à des tiers, sans autre recommandation ou commentaire, relève du champ d’application de l’article 22, paragraphe 1, du RGPD. |
14. |
Le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
|
IV. La procédure devant la Cour
15. |
La décision de renvoi datée du 1er octobre 2021 est parvenue au greffe de la Cour le 15 octobre 2021. |
16. |
Les parties au principal, SCHUFA, les gouvernements danois, portugais et finlandais ainsi que la Commission européenne ont déposé des observations écrites dans le délai imparti par l’article 23 du statut de la Cour de justice de l’Union européenne. |
17. |
Lors de l’audience du 26 janvier 2023, les mandataires ad litem des parties au principal, de SCHUFA, et les agents des gouvernements allemand et finlandais, ainsi que de la Commission ont présenté des observations orales. |
V. Analyse juridique
A. Remarques préliminaires
18. |
La confiance mutuelle constituant la base de tout engagement contractuel dans une économie de marché, il est, en principe, compréhensible d’un point de vue entrepreneurial que les fournisseurs de services et de biens souhaitent connaître leurs clients ainsi que les risques inhérents à un tel engagement contractuel. Les sociétés d’information commerciale peuvent contribuer à conforter cette confiance mutuelle au travers de méthodes statistiques permettant aux entreprises d’établir si certains critères pertinents, y compris la solvabilité de leurs clients, sont remplis en l’espèce. Ce faisant, ils aident les entreprises à se conformer à diverses dispositions du droit de l’Union qui leur impose précisément une telle obligation pour certaines catégories de contrats, notamment les contrats de crédit ( 5 ). Certaines des méthodes utilisées peuvent s’appuyer sur des données à caractère personnel des clients, récoltées et traitées de manière automatisée grâce à la technologie informatique. À cet intérêt s’oppose celui des personnes concernées à connaître la façon dont sont gérées et enregistrées ces données et les méthodes que les entreprises suivent pour prendre des décisions à l’égard de leurs clients. |
19. |
Le RGPD, applicable depuis le 25 mai 2018, a créé un cadre juridique qui vise à tenir compte des intérêts susmentionnés dans l’ensemble de l’Union, notamment en imposant certaines restrictions au traitement de données à caractère personnel. Ainsi, des restrictions particulières s’appliquent à l’égard d’un traitement automatisé susceptible de produire des effets juridiques concernant une personne physique ou l’affectant de manière significative. Ces restrictions sont justifiées dans le cadre d’un profilage, c’est-à-dire d’une évaluation des aspects personnels visant à analyser ou à prédire la situation économique, la fiabilité ou le comportement d’une personne physique. Dans ce contexte, on relèvera les restrictions visées à l’article 22 du RGPD, pertinentes dans la présente affaire, qui ont pour objectif de protéger la dignité humaine, empêchant que la personne concernée fasse l’objet d’une décision prise sur le seul fondement d’un traitement automatisé, sans aucune intervention humaine qui soit en mesure de contrôler, le cas échéant, que cette décision a été prise de manière correcte, juste et non discriminatoire ( 6 ). L’intervention humaine à prévoir dans le cadre de ce type de traitement de données automatisé garantit que la personne concernée aura la possibilité d’exprimer son point de vue, d’obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation et de la contester en cas de désaccord avec cette décision. L’étendue des restrictions visées à l’article 22 du RGPD fait précisément l’objet de la première question préjudicielle. |
20. |
Si le RGPD a créé un cadre réglementaire global concernant la protection de données à caractère personnel qui est, en principe, complet, il convient tout de même de relever que certaines dispositions ouvrent la possibilité pour les États membres de prévoir des règles nationales supplémentaires, plus strictes ou dérogatoires, qui laissent à ceux-ci une marge d’appréciation sur la manière dont ces dispositions peuvent être mises en œuvre (« clauses d’ouverture »), pour autant que lesdites règles ne portent pas atteinte au contenu et aux objectifs du RGPD ( 7 ). La portée de ce pouvoir réglementaire résiduel des États membres se trouve au cœur de la seconde question préjudicielle à examiner dans les présentes conclusions. |
B. Sur la recevabilité
21. |
Le HBDI et SCHUFA contestent la recevabilité de la demande de décision préjudicielle. Sur ce point, SCHUFA fait valoir que le renvoi n’est ni nécessaire à la solution du litige, ni suffisamment motivé ; il ouvrirait une deuxième voie de recours et serait en contradiction avec les autres demandes de décision préjudicielle adressées puis retirées par la même juridiction de renvoi. |
1. Le caractère décisif des questions préjudicielles pour la solution du litige
22. |
D’emblée, il convient de rappeler que, selon une jurisprudence constante de la Cour, dans le cadre de la coopération entre cette dernière et les juridictions nationales instituée à l’article 267 TFUE, il appartient au seul juge national qui est saisi du litige et qui doit assumer la responsabilité de la décision juridictionnelle à intervenir d’apprécier, au regard des particularités de l’affaire, tant la nécessité d’une décision préjudicielle pour être en mesure de rendre son jugement que la pertinence des questions qu’il pose à la Cour. En conséquence, dès lors que les questions posées portent sur l’interprétation ou sur la validité d’une règle de droit de l’Union, la Cour est, en principe, tenue de statuer. Il s’ensuit que les questions portant sur le droit de l’Union bénéficient d’une présomption de pertinence. Le refus de la Cour de statuer sur une question préjudicielle posée par une juridiction nationale n’est possible que s’il apparaît de manière manifeste que l’interprétation ou l’appréciation de validité d’une règle de l’Union sollicitée n’a aucun rapport avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées ( 8 ). |
23. |
Ces conditions ne sont pas réunies en l’espèce, car il ressort clairement du point 40 de la décision de renvoi que l’issue de la procédure dépend de la première question préjudicielle. La juridiction de renvoi explique que si l’article 22, paragraphe 1, du RGPD devait être interprété en ce sens que l’établissement d’un score par une société fournissant des informations commerciales constitue une décision autonome au sens de l’article 22, paragraphe 1, de ce règlement, cette société, plus précisément son activité pertinente, serait soumise à l’interdiction de la prise de décision individuelle automatisée. Par conséquent, une base juridique au niveau de l’État membre, au sens de l’article 22, paragraphe 2, sous b), du RGPD, serait requise, pour laquelle seul l’article 31 du BDSG entre en ligne de compte. Or, la juridiction de renvoi exprime de sérieux doutes quant à la compatibilité de cette disposition nationale avec l’article 22, paragraphe 1, du RGPD. Selon la juridiction de renvoi, SCHUFA agirait non seulement sans base légale, mais méconnaîtrait également l’interdiction édictée dans cette dernière disposition. En conséquence, la requérante aurait droit à ce que le HBDI continue, en tant qu’autorité de contrôle, à traiter son dossier. Dès lors, il est évident qu’une réponse aux questions posées par la juridiction de renvoi s’avère décisive pour la solution du litige. |
24. |
SCHUFA fait également valoir que la demande préjudicielle est irrecevable au motif que la requérante aurait déjà été informée de la logique du score. Toutefois, il ressort de la décision de renvoi que la requérante souhaitait être renseignée de la façon la plus circonstanciée possible sur l’ensemble des données collectées et sur la méthode utilisée pour déterminer le score. Dans la mesure où SCHUFA a informé la requérante, dans les grandes lignes, du mode de fonctionnement, dans son principe, de son calcul de scores, mais ne l’a informée ni des différentes informations prises en compte dans le calcul ni de leur pondération, il est évident que SCHUFA n’a pas satisfait cette demande d’information. Par conséquent, la requérante a un intérêt légitime à faire établir par la voie d’une décision préjudicielle les droits de la personne concernée envers une société d’information commerciale telle que SCHUFA. |
2. L’existence de deux voies de recours parallèles
25. |
En ce qui concerne le prétendu risque d’ouvrir une deuxième voie de recours pour la personne concernée, il y a lieu de relever que, contrairement à ce que fait valoir SCHUFA dans ses observations, le fait que la requérante avait d’abord saisi les juridictions de droit commun et avait, ensuite, saisi la juridiction administrative de renvoi ne fait pas obstacle à la recevabilité de la demande préjudicielle. Par ses deux recours, la requérante a exercé des voies de recours prévues aux articles 78 et 79 du RGPD, dispositions qui garantissent un droit à un recours juridictionnel effectif contre respectivement l’autorité de contrôle et le responsable du traitement des données. Dans la mesure où ces voies de recours coexistent de manière autonome, sans que l’une soit subsidiaire par rapport à l’autre, elles peuvent être exercées de manière parallèle ( 9 ). On ne saurait donc reprocher à la requérante aucune irrégularité dans la défense de ses droits protégés par le RGPD. |
26. |
De surcroît, il y a lieu de rappeler que, selon une jurisprudence constante de la Cour, en l’absence de réglementation de l’Union en la matière, il appartient à l’ordre juridique interne de chaque État membre de désigner les juridictions compétentes et de régler les modalités procédurales des recours en justice destinés à assurer la sauvegarde des droits que les justiciables tirent du droit de l’Union ( 10 ). Dès lors, il n’y a aucune raison objective de remettre en cause le régime des voies de recours d’un État membre, exception faite pour les cas où l’efficacité du droit de l’Union se trouverait menacée, par exemple si les juridictions nationales se voyaient privées de la faculté ou dispensées de l’obligation, prévue à l’article 267 TFUE, de saisir la Cour de questions concernant l’interprétation ou la validité du droit de l’Union. |
27. |
En l’espèce, il n’y a aucun indice que l’existence de deux voies de recours rendant possible un recours juridictionnel effectif contre, respectivement, l’autorité de contrôle et le responsable du traitement de données, menace l’efficacité du droit de l’Union ou prive les juridictions nationales de la faculté de recourir à la procédure prévue à l’article 267 TFUE. Au contraire, ainsi que je l’ai déjà expliqué, au visa des articles 78 et 79 du RGPD, il est évident que le RGPD ne s’oppose pas à un tel régime de recours, laissant plutôt à l’État membre la responsabilité de désigner les juridictions compétentes et de définir les modalités procédurales des recours en justice, en pleine conformité avec le principe de l’autonomie procédurale. La Cour l’a reconnu dans sa jurisprudence récente ( 11 ). |
28. |
Finalement, il y a lieu de noter que SCHUFA se borne à critiquer les voies de recours ouvertes en vertu du droit allemand, sans pour autant expliquer précisément en quoi un arrêt de la Cour rendu dans la présente procédure préjudicielle serait inutile à la solution du litige. Or, ainsi que l’indique la juridiction de renvoi, une interprétation par la Cour de l’article 22, paragraphe 1, du RGPD permettrait au défendeur d’exercer ses pouvoirs de contrôle sur SCHUFA de manière conforme au droit de l’Union. Par conséquent, il me semble que l’argumentation de SCHUFA contestant la recevabilité de la demande préjudicielle est dénuée de fondement. |
3. La prétendue absence de motivation de la demande de décision préjudicielle
29. |
Ces considérations suffisent, en principe, pour rejeter l’argumentation de SCHUFA. Dans l’intérêt d’une meilleure compréhension de la présente affaire, il me paraît tout de même nécessaire d’aborder l’argument tiré d’une prétendue absence de motivation de la demande de décision préjudicielle. Contrairement à ce qu’affirme SCHUFA, la décision de renvoi expose de manière suffisamment circonstanciée les enjeux de la présente affaire pour satisfaire aux exigences de l’article 94, sous c), du règlement de procédure de la Cour. Plus concrètement, la juridiction de renvoi explique que la requérante entend faire valoir ses droits envers SCHUFA. Selon la juridiction de renvoi, sauf à lui donner une interprétation restrictive, l’article 22, paragraphe 1, du RGPD est, en principe, apte à lui offrir une protection à l’égard d’un traitement automatisé de ses données personnelles. |
30. |
La juridiction de renvoi estime que, compte tenu de l’importance que certaines entreprises accordent au score établi par les sociétés fournissant des informations commerciales pour l’évaluation pronostique de la capacité économique d’une personne physique, ce score pourrait être considéré comme une « décision » autonome au sens de la disposition précitée. Une interprétation en ce sens serait nécessaire afin de combler une lacune juridique qui résulterait du fait que, autrement, la personne concernée ne serait pas en mesure d’obtenir les informations nécessaires en vertu de l’article 15, paragraphe 1, sous h), du RGPD. Au vu de cette motivation détaillée, j’estime qu’il y a lieu de rejeter l’argumentation de SCHUFA et de conclure à la recevabilité de la demande préjudicielle. |
C. Sur le fond
1. Sur la première question préjudicielle
a) L’interdiction générale visée à l’article 22, paragraphe 1, du RGPD
31. |
L’article 22, paragraphe 1, du RGPD présente une particularité par rapport aux autres restrictions au traitement des données contenues dans ce règlement, en ce qu’il consacre un « droit » de la personne concernée de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé, y compris le profilage. Nonobstant la terminologie utilisée, l’application de l’article 22, paragraphe 1, du RGPD ne requiert pas que la personne concernée invoque activement le droit. En effet, une interprétation à la lumière du considérant 71 de ce règlement et prenant en compte l’économie de cette disposition, notamment son paragraphe 2, qui énonce les cas dans lesquels un tel traitement automatisé est exceptionnellement autorisé, permet plutôt de conclure que ladite disposition établit une interdiction générale des décisions du type décrit ci-dessus. Cela étant dit, il y a lieu de souligner que cette interdiction ne s’applique que dans des circonstances très spécifiques, à savoir concrètement aux décisions « produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ». |
32. |
Par sa première question, la juridiction de renvoi demande si le calcul d’un score effectué par une société fournissant des informations en matière de crédit relève de l’article 22, paragraphe 1, du RGPD lorsque le score obtenu est transmis à une entreprise qui s’en sert de manière déterminante pour adopter une décision relative à l’établissement, à l’exécution ou à la cessation d’une relation contractuelle avec la personne concernée. En d’autres termes, il s’agit de savoir si cette disposition s’applique aux sociétés fournissant des informations en matière de crédit qui mettent des scores à la disposition des entreprises financières. L’examen de cette question exigera d’établir si les conditions visées à l’article 22, paragraphe 1, du RGPD sont remplies en l’espèce. |
b) L’applicabilité de l’article 22, paragraphe 1, du RGPD
1) L’existence d’un « profilage » au sens de l’article 4, point 4, du RGPD
33. |
Cette disposition exige tout d’abord qu’il existe un traitement automatisé de données à caractère personnel, le « profilage » étant considéré comme une sous-catégorie, à en juger par son libellé ( 12 ). À cet égard, il convient de noter que le scoring effectué par SCHUFA relève de la définition légale contenue à l’article 4, point 4, du RGPD, étant donné que cette procédure se sert de données à caractère personnel afin d’évaluer certains aspects relatifs à des personnes physiques pour analyser où prédire des éléments concernant leur situation économique, leur fiabilité et leur comportement probable. En effet, il ressort du dossier de l’affaire que la méthode utilisée par SCHUFA fournit un « score » sur la base de certains critères, c’est-à-dire un résultat qui permet de tirer des conclusions sur la solvabilité de la personne concernée. Enfin, je tiens à souligner qu’aucune des parties intéressées ne conteste la qualification de la procédure en cause comme « profilage », en sorte que cette condition peut être considérée comme remplie en l’espèce. |
2) La décision doit produire « des effets juridiques » à l’égard de la personne concernée ou l’« affecter de manière significative de façon similaire »
34. |
L’application de l’article 22, paragraphe 1, du RGPD exige que la décision en cause produise « des effets juridiques » à l’égard de la personne concernée ou l’« affect[e] de manière significative de façon similaire ». Le RGPD reconnaît ainsi que la prise de décision automatisée, y compris le profilage, peut avoir de graves conséquences pour les personnes concernées. Si le RGPD ne définit pas les termes « effets juridiques » ni l’expression « de manière significative de façon similaire », il n’en reste pas moins que la formulation utilisée indique clairement que seuls les effets ayant une incidence grave seront visés par cette disposition. À cet égard, il convient d’emblée d’attirer l’attention sur le fait que le considérant 71 du RGPD mentionne explicitement « le rejet automatique d’une demande de crédit en ligne » comme l’exemple typique d’une décision affectant la personne concernée « de manière significative ». |
35. |
Il faut prendre en compte, ensuite, que, d’une part, dans la mesure où le traitement d’une demande de crédit constitue une étape préalable à la conclusion d’un contrat de prêt, le refus d’une telle demande peut avoir « des effets juridiques » pour la personne concernée, celle-ci ne pouvant plus bénéficier d’une relation contractuelle avec l’établissement financier en cause. D’autre part, il y a lieu de relever le fait qu’un tel refus est également susceptible d’avoir une incidence sur la situation financière de la personne concernée. Dès lors, il est logique de conclure que cette personne sera en tout cas affectée « de façon similaire » au sens de cette disposition. Le législateur de l’Union semble en avoir été conscient lors de la rédaction du considérant 71 du RGPD, à la lumière duquel l’article 22, paragraphe 1, de ce règlement doit être interprété. En conséquence, je considère que, compte tenu de la situation dans laquelle se trouve la requérante, les conditions de cette disposition sont remplies en l’espèce, que l’accent soit mis sur les conséquences juridiques ou économiques du refus d’accorder un crédit. |
3) La « décision » doit être « fondée exclusivement sur un traitement automatisé »
36. |
Deux conditions supplémentaires doivent être remplies. Premièrement, il est nécessaire qu’un acte ayant la nature d’une « décision » soit pris à l’égard de la personne concernée. Deuxièmement, la décision en cause doit être « fondée exclusivement sur un traitement automatisé ». En ce qui concerne cette dernière condition, rien n’indique dans l’exposé des faits de la décision de renvoi qu’en plus de la procédure mathématique et statistique appliquée par SCHUFA, les scores soient établis d’une quelconque manière déterminante au moyen d’une évaluation et d’une appréciation individuelles par un être humain. En conséquence, l’établissement du score en tant qu’acte effectué par SCHUFA doit être considéré comme « fondé exclusivement sur un traitement automatisé ». Cela étant dit, il ne faut pas perdre de vue que l’établissement financier, auquel SCHUFA communique le score, est appelé à adopter un acte supposé autonome à l’égard de la personne concernée, à savoir l’octroi ou le refus de crédit. Se pose ainsi la question de savoir lequel de ces deux actes peut être qualifié de « décision » au sens de l’article 22, paragraphe 1, du RGPD, question qui sera examinée ci-après. |
37. |
S’agissant de la première condition, il est d’abord nécessaire d’établir quelle est la nature juridique d’une « décision » et quelle forme celle-ci doit revêtir. Du point de vue étymologique, cette notion implique un « avis » ou une « prise de position » sur une situation déterminée. Elle doit aussi être dotée d’un « caractère contraignant » afin de la distinguer des simples« recommandations » qui, en principe, n’ont aucune conséquence juridique ou factuelle ( 13 ). Cela étant dit, contrairement à ce qu’allègue le HBDI, une analogie avec l’article 288, quatrième alinéa, TFUE ne me paraît pas pertinente dans le présent contexte, et cela d’autant plus qu’elle ne trouve aucun fondement dans les dispositions du RGPD. |
38. |
L’absence d’une définition légale permet de déduire que le législateur de l’Union a opté pour une notion large, susceptible d’inclure plusieurs actes pouvant affecter la personne concernée de multiples manières. En effet, ainsi que je l’ai déjà indiqué, une « décision » au sens de l’article 22, paragraphe 1, du RGPD peut soit avoir « des effets juridiques », soit affecter la personne concernée « de façon similaire », ce qui implique que la « décision » en cause peut avoir un impact qui n’est pas forcément juridique mais plutôt économique et social. Vu que l’article 22, paragraphe 1, du RGPD vise à protéger les personnes physiques contre les effets potentiellement discriminatoires et injustes des traitements de données automatisés, il me semble qu’une vigilance particulière s’impose et doit se traduire également dans l’interprétation de cette norme. |
39. |
Enfin, il importe de souligner que, dans la mesure où les actes attribuables à un établissement financier privé peuvent également avoir des conséquences graves pour l’indépendance et la liberté d’action de la personne concernée dans une économie de marché, notamment lorsqu’il est question de certifier la solvabilité d’un demandeur de crédit ( 14 ), je ne vois aucune raison objective de limiter la notion de « décision » au domaine strictement public, c’est-à-dire à la relation entre l’État et le citoyen, comme le suggère implicitement l’analogie proposée par le HBDI. La qualification de « décision » d’une prise de position adoptée à l’égard de la personne concernée me semble requérir un examen au cas par cas, en tenant compte des circonstances spécifiques ainsi que de la gravité des effets sur le statut juridique, économique et social de ladite personne ( 15 ). |
40. |
Sur la base des critères exposés aux points précédents, il convient de déterminer ensuite quelle est la « décision » pertinente en l’espèce. Comme mentionné ci-dessus, il existe, d’un côté, l’acte par lequel une banque accepte ou refuse d’octroyer un crédit au demandeur et, de l’autre côté, le score issu d’une procédure de profilage effectuée par SCHUFA. À mon avis, il est impossible de donner une réponse catégorique à cette question, car la qualification dépend des circonstances de chaque cas particulier. Plus concrètement, la manière dont la procédure de prise de décision est structurée revêt une importance essentielle. Cette procédure comprend typiquement plusieurs phases, comme le profilage, la création du score et la décision portant sur l’octroi du crédit proprement dite. |
41. |
Il me semble évident que si un établissement financier peut assumer cette procédure, rien ne l’empêche de déléguer certaines tâches, par voie contractuelle, à une société d’information commerciale, par exemple le profilage et le scoring. En effet, l’article 22, paragraphe 1, du RGPD n’exige nullement que ces tâches soient accomplies par une ou plusieurs instances. Cela étant dit, la délégation éventuelle de certaines compétences à un fournisseur de services externe ne me semble pas jouer un rôle essentiel dans l’analyse, car une telle délégation obéit généralement à des considérations économiques et organisationnelles, susceptibles de varier d’un cas à l’autre. |
42. |
En revanche, l’aspect qui me semble jouer un rôle crucial est celui lié à la question de savoir si la procédure de prise de décision est conçue de telle manière que le scoring effectué par la société d’information commerciale prédétermine la décision de l’établissement financier d’accorder ou de refuser le crédit. Si le scoring devait être effectué sans aucune intervention humaine qui puisse, le cas échéant, vérifier son résultat et la justesse de la décision à prendre à l’égard du demandeur de crédit, il paraît logique de considérer qu’il constitue lui-même la « décision » visée à l’article 22, paragraphe 1, du RGPD. |
43. |
Supposer le contraire parce que la décision d’accorder ou de refuser le crédit incombe formellement à l’établissement financier, serait non seulement un formalisme excessif, mais ne rendrait guère justice aux circonstances spécifiques d’un tel cas de figure. Cela semble d’autant plus vrai que l’article 22, paragraphe 1, du RGPD n’impose aucunement que la « décision » revête une forme particulière. Le facteur décisif est l’effet que la « décision » a sur la personne concernée. Un score négatif pouvant, à lui seul, produire des effets défavorables pour la personne concernée, à savoir la limiter sensiblement dans l’exercice de ses libertés, voire la stigmatiser dans la société, il semble justifié de le qualifier de « décision » au sens de la disposition précitée lorsqu’un établissement financier lui accorde une importance primordiale dans la procédure de prise de décision ( 16 ). En effet, dans de telles circonstances, le demandeur de crédit est affecté dès le stade de l’évaluation de sa solvabilité par la société d’information commerciale et pas seulement au stade final du refus du crédit, dans lequel l’établissement financier ne fait qu’appliquer le résultat de cette évaluation au cas concret ( 17 ). |
44. |
Étant donné que, premièrement, l’article 22, paragraphe 1, du RGPD exige que la décision en cause soit fondée « exclusivement » sur un traitement automatisé ( 18 ), et, deuxièmement, le libellé d’une disposition constitue généralement la limite de toute interprétation, il apparaît nécessaire que le traitement automatisé demeure le seul élément justifiant l’approche de l’établissement financier envers le demandeur de crédit. Tel serait le cas s’il y avait participation humaine dans le cadre de la procédure, sans pour autant être en mesure d’influencer le lien de causalité entre le traitement automatisé et la décision finale. La société d’information commerciale devrait prendre de facto la décision finale pour l’établissement financier. Cela dépend des règles et pratiques internes de l’établissement financier en cause, lesquelles ne doivent généralement lui laisser aucune marge de manœuvre quant à l’application du score à une demande de crédit. |
45. |
Il s’agit essentiellement d’une question de fait qui peut, selon moi, être appréciée au mieux par les juridictions nationales. Je propose, dès lors, de confier à la juridiction de renvoi la tâche d’établir elle-même dans quelle mesure l’établissement financier est généralement lié par le scoring réalisé par une société d’information commerciale telle que SCHUFA, en prenant en compte les critères évoqués ci-dessus ( 19 ). Je me fonderai sur l’information contenue dans la décision de renvoi afin de donner une réponse utile au juge national dans la présente affaire. |
46. |
À cet égard, je tiens d’abord à relever que, selon la juridiction de renvoi, même si une intervention humaine est en principe encore possible à ce stade du processus décisionnel, la décision de nouer une relation contractuelle avec la personne concernée « est en pratique déterminée dans une telle mesure par le score transmis par les sociétés d’information que celui-ci se répercute dans la décision du tiers responsable du traitement ». Selon la juridiction de renvoi, « c’est le score établi sur le fondement d’un traitement automatisé par la société d’information commerciale qui normalement détermine si et comment le tiers responsable contractera avec la personne concernée ». La juridiction de renvoi explique également que si le tiers ne doit pas faire dépendre sa décision du seul score, il n’en reste pas moins que, « en règle générale, il le fait dans une large mesure ». Elle ajoute que « l’octroi d’un prêt peut être refusé malgré un score en principe suffisant (pour d’autres raisons, telles que l’absence de sûretés ou des doutes quant à la réussite d’un investissement à financer), mais, en tout état de cause dans le domaine des prêts accordés à des consommateurs, un score insuffisant entraînera le refus d’un prêt dans presque tous les cas, et ce même si un investissement apparaît par ailleurs rentable ». Enfin, cette juridiction indique que « des expériences résultant du contrôle de la protection des données effectué par les autorités montrent que ce sont les scores qui jouent un rôle décisif lors de l’octroi des prêts et de la conception de leurs conditions ». |
47. |
Les considérations exposées ci-dessus me semblent indiquer, sous réserve de l’appréciation des faits qu’il incombe à toute juridiction nationale d’effectuer dans chaque cas particulier, que le score établi par une société d’information commerciale et communiqué à un établissement financier tend généralement à prédéterminer la décision de cette dernière concernant l’octroi ou le refus du crédit à la personne concernée, de manière que cette prise de position doit être considérée comme ne présentant qu’un caractère purement formel dans le cadre de la procédure ( 20 ). Il s’ensuit que le score lui-même doit être considéré comme ayant qualité de « décision » au sens de l’article 22, paragraphe 1, du RGPD. |
48. |
Une telle conclusion me semble raisonnable, car toute autre interprétation remettrait en cause l’objectif que le législateur de l’Union poursuit avec cette disposition visant à protéger les droits des personnes concernées. Ainsi que la juridiction de renvoi l’a exposé à juste titre, une lecture stricte de l’article 22, paragraphe 1, du RGPD entraînerait une lacune dans la protection juridique : la société d’information commerciale auprès de laquelle devraient être obtenues les informations requises par la personne concernée n’est pas tenue de les donner en vertu de l’article 15, paragraphe 1, sous h), du RGPD, car elle ne procède prétendument pas à sa propre « prise de décision automatisée » au sens de cette disposition, et l’établissement financier qui prend sa décision sur la base du score établi de manière automatisée et qui est tenu de fournir les informations requises en vertu de l’article 15, paragraphe 1, sous h), du RGPD ne peut pas les fournir parce qu’il ne dispose pas de ces informations. |
49. |
En conséquence, l’établissement financier ne serait pas en mesure de contrôler l’évaluation de la solvabilité du demandeur de crédit en cas de contestation de la décision, comme l’exige l’article 22, paragraphe 3, du RGPD, ou d’assurer un traitement équitable, transparent et non discriminatoire par des procédures mathématiques ou statistiques adéquates ainsi que des mesures techniques et organisationnelles appropriées, comme l’exige le considérant 71, sixième phrase, du RGPD ( 21 ). Afin d’éviter une telle situation, qui irait clairement à l’encontre de l’objectif législatif évoqué au point précédent, je propose une interprétation de l’article 22, paragraphe 1, du RGPD qui tienne compte de l’incidence réelle du scoring sur la situation de la personne concernée. |
50. |
Une telle approche me semble logique, car la société d’information commerciale devrait être généralement la seule entité capable de donner suite à d’autres demandes de la personne concernée, fondées sur des droits également garantis par le RGPD, à savoir le droit de rectification, visé à l’article 16 du RGPD, au cas où les données à caractère personnel utilisées pour effectuer le scoring devaient se révéler inexactes, ainsi que le droit à l’effacement, visé à l’article 17 du RGPD, au cas où lesdites données devaient avoir fait l’objet d’un traitement illicite. Dans la mesure où l’établissement financier ne participe généralement ni à la collecte de ces données ni au profilage lorsque ces tâches sont déléguées à un tiers, il est raisonnable d’exclure la possibilité qu’il soit en mesure d’assurer effectivement le respect desdits droits. Or, la personne concernée ne devrait pas être tenue de subir les conséquences défavorables d’une telle délégation de tâches. |
51. |
Tenir la société d’information commerciale responsable en raison de l’établissement du score – et non pas au motif de son utilisation ultérieure – me paraît être la manière la plus efficace d’assurer une protection des droits fondamentaux de la personne concernée, à savoir du droit à la protection des données à caractère personnel, visé à l’article 8 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »), mais aussi du droit au respect de sa vie privée, visé à l’article 7 de la Charte, car cette activité constitue, en fin de compte, la « source » de tout préjudice éventuel. Compte tenu du risque que le score établi par la société d’information commerciale soit utilisé par une multitude d’établissements financiers, il paraît raisonnable de permettre à la personne concernée de faire valoir ses droits directement envers celle-ci. |
52. |
Pour les raisons exposées ci-dessus, je considère que les conditions de l’article 22, paragraphe 1, du RGPD sont réunies, de sorte que cette disposition est applicable dans des circonstances telles que celles de l’affaire au principal. |
c) L’étendue du droit d’information visé à l’article 15, paragraphe 1, sous h), du RGPD
53. |
Dans ce contexte, on ne saurait assez souligner l’importance du plein respect par le responsable du traitement de ses obligations d’information envers la personne concernée. Conformément à l’article 15, paragraphe 1, sous h), du RGPD, cette dernière a le droit d’obtenir du responsable du traitement non seulement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées, mais aussi d’autres informations, comme l’existence d’une prise de décision automatisée, y compris un profilage, au sens de l’article 22 du RGPD, des renseignements utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée. |
54. |
SCHUFA ayant refusé de révéler à la requérante certaines informations relatives à la méthode de calcul au motif qu’elles constitueraient des secrets d’affaires, il apparaît pertinent de préciser l’étendue du droit d’information visé à l’article 15, paragraphe 1, sous h), du RGPD, en particulier en ce qui concerne l’obligation de fournir « des informations utiles concernant la logique sous-jacente ». À mon sens, cette disposition doit être interprétée en ce sens qu’elle couvre, en principe, également la méthode de calcul utilisée par une société d’information commerciale aux fins d’établir un score, à condition qu’il n’y ait pas d’intérêts conflictuels dignes de protection. À cet égard, il convient d’évoquer le considérant 63 du RGPD, dont il ressort, entre autres, que « le droit d’accéder aux données à caractère personnel [...] ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel » (mise en italique par mes soins). |
55. |
Une série de conclusions peuvent être tirées d’une interprétation de l’article 15, paragraphe 1, sous h), du RGPD, lu à la lumière des considérants 58 et 63 de ce règlement. Premièrement, il est évident que le législateur de l’Union était parfaitement conscient des conflits susceptibles de surgir entre, d’une part, le droit à la protection des données à caractère personnel, garanti par l’article 8 de la Charte, et, de l’autre, le droit à la protection de la propriété intellectuelle, visé à l’article 17, paragraphe 2, de la Charte. Deuxièmement, il est clair qu’il n’a pas envisagé de sacrifier un droit fondamental au profit d’un autre. Au contraire, une analyse plus approfondie des dispositions du RGPD permet de conclure qu’il a voulu assurer un juste équilibre entre les droits et les responsabilités. |
56. |
L’exhortation du législateur de l’Union, au considérant 63 du RGPD, indiquant que « ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée » ( 22 ) signifie, selon moi, qu’un minimum d’informations doit en tout cas être fourni afin de ne pas compromettre le contenu essentiel du droit à la protection des données à caractère personnel. Il s’ensuit que, si la protection du secret des affaires ou de la propriété intellectuelle constitue, en principe, pour une société d’information commerciale une raison légitime de refuser de révéler l’algorithme utilisé pour calculer le score de la personne concernée, elle ne saurait en revanche nullement justifier un refus absolu d’information. Qui plus est lorsqu’il existe des moyens de communication appropriés, qui facilitent la compréhension, tout en garantissant un certain degré de confidentialité. |
57. |
L’article 12, paragraphe 1, du RGPD, en vertu duquel « [l]e responsable du traitement prend des mesures appropriées pour fournir toute information [au titre de l’article 15] en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » ( 23 ), me semble particulièrement pertinent dans ce contexte. Cette disposition conforte le raisonnement exposé ci-dessus dans la mesure où il en découle que l’objectif réel de l’article 15, paragraphe 1, sous h), du RGPD consiste à assurer que la personne concernée obtienne des informations d’une manière compréhensible et accessible, conformément à ses besoins. À mon avis, ces exigences excluent déjà une obligation éventuelle de divulguer l’algorithme, compte tenu de sa complexité. En effet, l’utilité de communiquer une formule particulièrement complexe serait douteuse sans en fournir les explications nécessaires. À cet égard, il convient d’attirer l’attention sur le considérant 58 du RGPD, dont il ressort que le respect des exigences évoquées ci-dessus est particulièrement important « dans des situations où [...] la complexité des technologies utilisées [fait] en sorte qu’il est difficile pour la personne concernée de savoir et de comprendre si des données à caractère personnel la concernant sont collectées, par qui et à quelle fin » ( 24 ). |
58. |
Pour les raisons exposées, je considère que l’obligation de fournir « des informations utiles concernant la logique sous-jacente » doit être comprise en ce sens qu’elle comporte des explications suffisamment détaillées sur la méthode utilisée pour le calcul du score et les raisons qui ont conduit à un résultat déterminé. En général, le responsable du traitement devrait fournir à la personne concernée des informations globales, notamment sur les facteurs pris en considération pour le processus décisionnel et sur leur importance respective à un niveau agrégé, qui lui sont également utiles pour contester toute « décision » au sens de l’article 22, paragraphe 1, du RGPD ( 25 ). |
d) Réponse à la première question préjudicielle
59. |
Au vu des considérations qui précèdent, j’estime que l’article 22, paragraphe 1, du RGPD doit être interprété en ce sens que l’établissement automatisé d’une valeur de probabilité concernant la capacité de la personne concernée à honorer un prêt à l’avenir constitue déjà une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques concernant cette personne ou l’affectant de manière significative de façon similaire lorsque cette valeur, établie au moyen de données à caractère personnel relatives à ladite personne, est communiquée par le responsable du traitement à un tiers responsable du traitement et que, conformément à une pratique constante, celui-ci fonde sa décision relative à l’établissement, à l’exécution ou à la cessation d’une relation contractuelle avec cette même personne de manière déterminante sur ladite valeur. |
2. Sur la seconde question préjudicielle
60. |
Bien que la seconde question n’ait été posée que dans l’hypothèse où la première question appellerait une réponse négative, il me semble qu’elle s’avère également pertinente si la Cour devait arriver à la conclusion que le scoring relève de l’interdiction de prise de décision automatisée énoncée à l’article 22, paragraphe 1, du RGPD. Dans un tel cas, ainsi que l’indique à juste titre le gouvernement finlandais, il serait nécessaire d’examiner si une exception à cette interdiction peut être faite en vertu de l’article 22, paragraphe 2, sous b) du RGPD. Aux termes de cette disposition, l’interdiction ne s’applique pas « lorsque la décision [...] est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis ». |
61. |
Cette disposition contient une marge de manœuvre réglementaire explicite lorsque le profilage automatisé qu’elle vise est fondé sur le droit de l’Union ou le droit d’un État membre. S’il est fondé sur le droit d’un État membre, la loi nationale doit prévoir des garanties spécifiques pour la personne concernée. La Cour devrait alors déterminer si une telle « autorisation » peut être déduite de l’article 6 du RGPD lui-même ou d’une disposition nationale, adoptée sur une base juridique y prévue. Ce dernier cas de figure me semble requérir une analyse approfondie, vu que la juridiction de renvoi s’interroge sur la conformité de l’article 31 du BDSG aux articles 6 et 22 du RGPD, ce qui exige que les articles 6 et 22 du RGPD puissent constituer des bases juridiques adéquates. |
a) L’existence d’une base juridique dans le RGPD conférant des compétences réglementaires aux États membres
62. |
La juridiction nationale exprime précisément des doutes à cet égard, étant donné que, selon elle, aucune des dispositions visées aux articles 6 et 22 du RGPD ne serait susceptible de servir de base juridique à l’adoption d’une disposition nationale telle que celle visée à l’article 31 du BDSG, établissant certaines règles relatives au scoring. Se pose ainsi la question de savoir si le législateur national a fait une application conforme des dispositions du RGPD qui lui confèrent une marge de manœuvre pour fixer des règles nationales sur le traitement des données personnelles en vertu du RGPD voire, dans certaines circonstances, d’y déroger. La réponse à cette question s’avère complexe dès lors que le législateur allemand ne vise aucune clause d’ouverture dans l’exposé des motifs de la loi ( 26 ). Cependant, elle est d’autant plus pertinente que l’article 31, paragraphe 1, point 1), du BDSG énonce expressément que le scoring« n’est autoris[é] que lorsque les dispositions en matière de droit à la protection des données ont été respectées » (mise en italique par mes soins). Comme je l’exposerai ci-après, plusieurs arguments m’amènent à donner une réponse négative à cette question. |
1) L’applicabilité de l’article 22, paragraphe 2, sous b), du RGPD
63. |
D’emblée, il y a lieu de mentionner la disposition de l’article 22, paragraphe 2, sous b), du RGPD, qui confère aux États membres le pouvoir d’autoriser une décision fondée exclusivement sur un traitement de données automatisé, y compris le profilage, et qui serait, partant, susceptible d’être invoquée comme base juridique. Il convient toutefois de noter que ce paragraphe 2 ne trouverait pas à s’appliquer dans l’hypothèse où la Cour jugerait que le scoring ne relève pas de l’interdiction énoncée au paragraphe 1 de cet article 22. En effet, ainsi qu’il ressort clairement du libellé ainsi que de l’économie générale de l’article 22 du RGPD, l’application du paragraphe 2 présuppose que les conditions du paragraphe 1 soient réunies. En conséquence, il est évident qu’une application de l’article 22, paragraphe 2, sous b), du RGPD devrait être écartée si la première question appelait une réponse négative. |
64. |
Pour être complet et compte tenu de la réponse affirmative que je propose de donner à la première question, j’estime nécessaire d’examiner la vocation de cette disposition à s’appliquer dans l’hypothèse où la Cour devait estimer à son tour que le scoring effectué par une société d’information commerciale constitue une « décision » au sens du paragraphe 1 de cet article 22. Cependant, même dans ce cas, des doutes subsistent quant à l’aptitude de l’article 22, paragraphe 2, sous b), de ce règlement à servir de base juridique, pour un certain nombre de raisons. |
65. |
Premièrement, il y a lieu de rappeler que l’article 22 du RGPD ne concerne que les décisions prises « exclusivement » sur les traitements de données automatisées, alors que, selon la juridiction de renvoi, l’article 31 du BDSG comporte de manière indifférenciée des règles qui s’appliquent également aux décisions non automatisées, tout en réglementant la licéité de l’utilisation des traitements de données aux fins de l’établissement de scores. En d’autres termes, l’article 31 du BDSG a un champ d’application ratione materiae beaucoup plus ample que celui de l’article 22 du RGPD ( 27 ). Par conséquent, il est douteux que l’article 22, paragraphe 2, sous b), du RGPD ait vocation à servir de base juridique. |
66. |
Deuxièmement, il convient de noter, ainsi que l’indique la juridiction de renvoi, que l’article 31 du BDSG réglemente l’« utilisation » d’une valeur de probabilité par des acteurs économiques, mais pas l’« établissement » de cette valeur par des sociétés d’information commerciale, un aspect qui fait néanmoins l’objet de la première question préjudicielle. Cela peut également être déduit des déclarations faites par le gouvernement allemand lors de l’audience. Comme je l’ai exposé de manière circonstanciée dans le cadre de l’examen de cette question, l’article 22, paragraphe 1, du RGPD s’applique également au stade de l’« établissement » du score et non seulement au stade de son « utilisation » par un établissement financier, pourvu que certaines conditions soient réunies ( 28 ). Autrement dit, l’article 31 du BDSG semble viser à régler un cas de figure différent de celui qui relève du champ d’application ratione materiae de l’article 22 du RGPD, ce qu’il appartient à la juridiction de renvoi de confirmer. À la lumière des considérations précédentes, j’estime que l’article 22, paragraphe 2, sous b), du RGPD doit être exclu comme base juridique pour l’adoption d’une mesure législative nationale telle que celle visée à l’article 31 du BDSG. |
2) L’applicabilité de l’article 6, paragraphes 2 et 3, du RGPD
i) Sur les clauses conférant des compétences réglementaires aux États membres
67. |
En vertu de l’article 6, paragraphe 1, du RGPD, le traitement de données à caractère personnel n’est licite que si la condition relative à l’un des motifs qui y sont énumérés est remplie. Ainsi que la Cour l’a déjà jugé, il s’agit d’une liste exhaustive et limitative des cas dans lesquels un tel traitement peut être considéré comme licite ( 29 ). Dès lors, pour qu’il puisse être réputé légitime, l’établissement d’un score par une société d’information commerciale doit relever de l’un des cas prévus dans cette disposition. |
68. |
Dans un cas comme celui de l’espèce au principal, les points b), c) et f) de l’article 6, paragraphe 1, du RGPD pourraient, en principe, trouver à s’appliquer. Conformément au paragraphe 2 de cet article, les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du RGPD. Or, il convient de préciser que cette disposition ne s’applique que dans le but de respecter le paragraphe 1, points c) et e). De même, le paragraphe 3 dudit article 6 énonce que le fondement du traitement est défini par le droit de l’État membre auquel le responsable du traitement est soumis pour autant que le traitement concerne les cas visés au paragraphe 1, points c) et e). |
69. |
Il s’ensuit que les États membres peuvent adopter des règles plus spécifiques lorsque le traitement est « nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis » ou « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ». Ces conditions ont pour effet d’encadrer de manière stricte le pouvoir réglementaire des États membres, excluant ainsi un recours arbitraire aux clauses d’ouverture prévues dans le RGPD, susceptible de faire échec à l’objectif d’harmoniser le droit en matière de protection des données à caractère personnel. |
70. |
De surcroît, il convient de relever dans ce contexte que, dans la mesure où certaines de ces clauses utilisent une terminologie propre au RGPD, sans prévoir aucun renvoi exprès au droit des États membres, les termes employés doivent faire l’objet d’une interprétation autonome et uniforme ( 30 ). C’est sur cette toile de fond qu’il convient de vérifier ci-après si la réglementation de l’article 31 du BDSG relève d’un des motifs énumérés à l’article 6, paragraphe 1, du RGPD. |
ii) Licéité du traitement de données
– Le motif visé à l’article 6, paragraphe 1, sous b), du RGPD
71. |
S’agissant du point b), il ressort de cette disposition que le traitement n’est licite que si, et dans la mesure où, le traitement est nécessaire à « l’exécution d’un contrat auquel la personne concernée est partie » ou à « l’exécution de mesures précontractuelles prises à la demande de celle-ci ». À cet égard, il y a lieu de relever le fait que les services des sociétés d’information ne sont utilisés que dans des cas exceptionnels au stade de l’exécution d’un contrat. La phase la plus importante est la phase précontractuelle, au cours de laquelle des informations sur la solvabilité sont généralement obtenues. La transmission d’une demande de renseignements à une société d’information commerciale aux fins d’une vérification de solvabilité me semble autorisée sur la base de cette disposition ( 31 ). Il convient toutefois de préciser que cette disposition ne couvre que l’autorisation de mener des enquêtes de solvabilité par des partenaires contractuels potentiels, des créanciers et/ou des prestataires de services juridiques, et crée ainsi les conditions préalables à la collecte légale de données par les sociétés d’information commerciale. En revanche, cette disposition ne me semble pas suffisante, à elle seule, pour servir de base juridique destinée à légitimer les activités d’une société d’information commerciale en général ( 32 ). |
72. |
De surcroît, il importe de rappeler que, si l’article 6, paragraphe 1, sous b), du RGPD codifie un motif de licéité du traitement des données à caractère personnel, il ne vise aucun des cas de figure prévus dans les paragraphes 2 et 3, selon lesquels les États membres disposent d’une compétence réglementaire. Il s’ensuit que, dans la mesure où l’article 6 du RGPD énumère ces cas de figure de manière exhaustive, une disposition nationale telle que celle visée à l’article 31 du BDSG ne saurait être adoptée uniquement sur le fondement de l’article 6, paragraphe 1, sous b), du RGPD. |
– Le motif visé à l’article 6, paragraphe 1, sous c), du RGPD
73. |
Le motif visé à l’article 6, paragraphe 1, sous c), du RGPD concerne le traitement fondé sur une « obligation légale » à laquelle le responsable est soumis. Cela implique des exigences imposées par l’État lui-même. En revanche, cette disposition n’inclut pas les obligations découlant de contrats de droit civil, par exemple un contrat conclu entre un établissement financier et une société d’information commerciale. Néanmoins, les établissements financiers qui doivent s’assurer de la solvabilité de leurs clients en vertu des obligations que leur impose le droit national peuvent s’appuyer sur cette base juridique aux fins des demandes de renseignements correspondantes, de manière à garantir, du point de vue d’une société d’information commerciale, la parfaite légalité de telles demandes. En revanche, l’« établissement » d’un score par la société d’information commerciale ne saurait être considéré comme une mesure prise dans l’accomplissement d’une « obligation légale » imposée à celle-ci, étant donné qu’une telle obligation ne semble pas exister dans le droit national. Par conséquent, il y a lieu de considérer que ce point c) ne pourrait pas être invoqué valablement comme base juridique pour faire de l’activité du scoring un traitement licite. |
– Le motif visé à l’article 6, paragraphe 1, sous e), du RGPD
74. |
La question se pose ensuite de savoir si l’article 6, paragraphe 1, sous e), du RGPD pourrait être invoqué comme base juridique pour l’adoption de l’article 31 du BDSG. Tel serait le cas si le traitement était « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’autorité publique dont est investi le responsable du traitement ». D’un côté, on pourrait soutenir, ainsi qu’il ressort de l’objectif législatif de l’article 31 du BDSG, reflété dans le titre de cette disposition nationale (« Protection des transactions économiques en cas de scoring et de renseignements sur la solvabilité »), et des travaux préparatoires ( 33 ), que les sociétés d’information commerciale contribuent au bon fonctionnement de l’économie d’un pays ( 34 ). |
75. |
En effet, dans la mesure où lesdites sociétés mettent à disposition des informations sur la solvabilité de personnes déterminées, elles contribuent à la protection des consommateurs en évitant le risque d’un surendettement ( 35 ) mais aussi des entreprises qui leur vendent des marchandises ou leur octroient des crédits. Ces sociétés assurent la stabilité du système financier en empêchant que des crédits soient accordés de manière irresponsable à des emprunteurs présentant des risques de défaillance élevés ( 36 ). Sans un système fiable d’évaluation du crédit, une grande partie de la population serait pratiquement exclue de la possibilité d’obtenir des prêts en raison des risques incalculables, les transactions économiques à l’ère de l’information seraient considérablement plus difficiles et les tentatives de fraude passeraient inaperçues. Vu sous cet angle, il est possible de souscrire aux motifs qui ont apparemment mené le législateur allemand à adopter l’article 31 du BDSG. |
76. |
Par ailleurs, même si l’on sait que des personnes morales de droit privé peuvent agir dans l’intérêt public, il me semble évident qu’un quelconque « intérêt légitime » ne saurait justifier une application de l’article 6, paragraphe 1, sous e), du RGPD. La relation avec l’« exercice d’autorité publique » et les considérants 45, 55 et 56 du RGPD indiquent plutôt que cette disposition vise, en premier lieu, les autorités publiques au sens strict, ainsi que les personnes morales détenant une parcelle de l’autorité publique, et, en second lieu, les personnes morales de droit privé qui effectuent un traitement à des fins de service public, par exemple dans le domaine de la « santé publique », de la « protection sociale » et la « gestion des services de soins de santé », mentionnés expressément au considérant 45. En d’autres termes, cette disposition concerne les tâches classiques de l’État. |
77. |
De même, on observera que les considérants 55 et 56 du RGPD font référence aux « associations à caractère religieux officiellement reconnues », ainsi qu’aux « partis politiques », c’est-à-dire à des organisations qui, selon les critères du législateur de l’Union, poursuivent des activités dans l’intérêt public et effectuent à cette fin des traitements de données à caractère personnel. Au regard de ce constat, il est douteux que cette disposition puisse inclure également les activités des sociétés d’information commerciale, y compris le scoring. Une telle interprétation élargirait considérablement le champ d’application de cette disposition et rendrait particulièrement difficile l’identification des limites de cette clause d’ouverture ( 37 ). |
78. |
Outre les considérations exposées, il convient de relever dans ce contexte que si l’article 31 du BDSG vise à protéger les transactions économiques, cette disposition ne mentionne aucune tâche concrète desdites sociétés ( 38 ). Comme je l’ai déjà indiqué dans les présentes conclusions, m’appuyant sur les précisions données par la juridiction de renvoi sur le cadre juridique national, cette disposition concerne l’« utilisation » du score par des acteurs économiques, et non pas son « établissement » par des sociétés d’information commerciale ( 39 ). Or c’est la licéité de cette activité qui se trouve au cœur du litige au principal. Pour les raisons exposées ci‑dessus, je considère que l’article 6, paragraphe 1, sous e), du RGPD n’est pas apte à servir de base juridique. |
– Le motif visé à l’article 6, paragraphe 1, sous f), du RGPD
79. |
Il convient d’examiner ensuite si cette activité relève du champ d’application de l’article 6, paragraphe 1, sous f), du RGPD. Selon la jurisprudence de la Cour ( 40 ), la disposition en question prévoit trois conditions cumulatives pour qu’un traitement de données à caractère personnel soit licite, à savoir, premièrement, la poursuite d’un intérêt légitime par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, deuxièmement, la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi et, troisièmement, la condition que les droits fondamentaux et les libertés fondamentales de la personne concernée par la protection des données ne prévalent pas. |
80. |
S’agissant, tout d’abord, de la poursuite d’un « intérêt légitime », je tiens à rappeler que le RGPD et la jurisprudence reconnaissent un large éventail d’intérêts réputés légitimes ( 41 ), tout en précisant que, conformément à l’article 13, paragraphe 1, sous d), du RGPD, il incombe au responsable du traitement d’indiquer les intérêts légitimes poursuivis dans le cadre de l’article 6, paragraphe 1, sous f), du RGPD. Comme je l’ai déjà indiqué dans les présentes conclusions, l’objectif législatif de l’article 31 du BDSG consiste à assurer la licéité des activités effectuées par des sociétés d’information commerciale, étant donné que, selon l’avis du législateur allemand, ces dernières contribuent au bon fonctionnement de l’économie d’un pays ( 42 ). Dans la mesure où ces activités garantissent la protection des divers acteurs économiques contre les risques propres à l’insolvabilité, avec des conséquences graves pour la stabilité du système financier, on peut retenir à ce stade de l’analyse que la disposition nationale précitée poursuit un objectif économique, susceptible de constituer un « intérêt légitime » au sens de l’article 6, paragraphe 1, sous f), du RGPD. |
81. |
En ce qui concerne, ensuite, la condition tirée de la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi, selon la jurisprudence de la Cour, les dérogations et les restrictions au principe de la protection des données à caractère personnel doivent s’opérer dans les limites du strict nécessaire ( 43 ). Il faut donc un lien étroit entre le traitement et l’intérêt poursuivi, en l’absence de solutions de rechange plus respectueuses de la protection des données à caractère personnel, car il ne suffit pas que le traitement présente une simple utilité pour le responsable du traitement. À cet égard, il y a lieu de relever que, si la juridiction de renvoi émet certains doutes quant à la licéité de l’activité du scoring au regard des dispositions du RGPD, elle ne donne aucun élément d’information suggérant l’existence éventuelle de mesures de rechange plus respectueuses de la protection des données à caractère personnel. En l’absence d’informations contraires, je suis enclin à reconnaître une certaine marge de manœuvre dans le choix des mesures appropriées pour atteindre l’objectif visé. |
82. |
S’agissant, enfin, de la mise en balance, d’une part, des intérêts du responsable du traitement et, d’autre part, des intérêts ou des libertés fondamentales et des droits fondamentaux de la personne concernée, il convient de constater que la pondération des divers intérêts en jeu a été faite en l’espèce par voie législative. En adoptant l’article 31 du BDSG, le législateur allemand a fait prévaloir les intérêts économiques sur le droit à la protection des données à caractère personnel. Or une telle approche ne serait possible que si l’article 6, paragraphe 1, sous f), du RGPD prévoyait une clause permettant aux États membres de maintenir ou d’introduire des dispositions plus spécifiques pour adapter les règles dudit règlement pour ce qui est du traitement. Tel n’est toutefois pas le cas, comme je l’expliquerai ci-après. |
83. |
Ainsi qu’il ressort nettement du libellé de l’article 6, paragraphes 2 et 3, du RGPD, le maintien ou l’introduction de dispositions plus spécifiques n’est autorisé que pour les cas visés aux points c) et e) du paragraphe 1. L’analyse précédente a montré que l’article 31 du BDSG ne vise aucune circonstance susceptible de relever desdits cas, ce qui exclut logiquement que l’article 6, paragraphes 2 et 3, du RGPD puisse être invoqué comme base juridique. Une application au cas visé au point f) du paragraphe 1 violerait non seulement le libellé de ces dispositions, mais méconnaîtrait la volonté du législateur de l’Union, telle qu’elle découle de la genèse desdites dispositions. |
84. |
À cet égard, je tiens à rappeler que, en vertu de l’article 5 de la directive 95/46/CE ( 44 ) – l’acte juridique qui a précédé le RGPD –, il incombait aux États membres de « [préciser] les conditions dans lesquelles les traitements de données à caractère personnel [étaient] licites ». La Cour a interprété cette disposition en concluant que rien ne s’opposait à ce que, dans l’exercice de leur marge d’appréciation consacrée à l’article 5 de la directive 95/46, les États membres établissent des « principes directeurs » pour la pondération nécessaire en vertu de l’article 7, sous f), de cette directive, qui correspond à l’article 6, paragraphe 1, sous f), du RGPD. Il importe toutefois de relever que le RGPD ne confère plus un tel pouvoir aux États membres. En effet, l’absence d’une disposition équivalente dans le RGPD implique que les États membres ne peuvent plus établir de principes directeurs dans leur droit national afin de préciser l’« intérêt légitime » au sens l’article 6, paragraphe 1, sous f), de ce règlement ( 45 ). |
85. |
La référence aux dispositions relatives à des « situations particulières de traitement » du chapitre IX, contenue aux paragraphes 2 et 3, n’a pas pour effet d’élargir le champ d’application de l’article 6 du RGPD. Il s’agit plutôt d’un renvoi à des dispositions autorisant les États membres à adopter des règles plus spécifiques dans des domaines circonscrits, à savoir lorsque le traitement est nécessaire au respect d’une « obligation légale », au sens du point c) du paragraphe 1, ou à l’exécution d’une « mission d’intérêt public » ou relevant de l’exercice d’« autorité publique », dans le cas visé au point e) de ce paragraphe ( 46 ). Comme je l’ai déjà indiqué précédemment, ces domaines n’ont cependant aucun rapport avec les circonstances dans lesquelles s’applique l’article 31 du BDSG. |
86. |
Dans ce contexte, il convient également de rappeler que si la proposition de règlement de la Commission lui conférait la compétence d’« adopter des actes délégués, aux fins de préciser davantage les conditions prévues à l’article 6, paragraphe 1, point f), pour divers secteurs et situations en matière de traitement de données, y compris en ce qui concerne le traitement des données à caractère personnel relatives à un enfant », cette proposition n’a pas été retenue par le législateur de l’Union. L’analyse de l’évolution du texte montre que les pouvoirs réglementaires des États membres ont été réduits dans l’intérêt d’une harmonisation plus poussée, afin d’assurer une application cohérente et homogène des règles en matière de protection des données à caractère personnel, comme le confirment également les considérants 3, 9 et 10 du RGPD ( 47 ). Cette circonstance doit être prise en compte dans le cadre de l’interprétation de l’article 6 du RGPD. |
87. |
Enfin, j’estime nécessaire de relever que, même dans l’hypothèse où l’article 6, paragraphe 1, sous f), du RGPD trouvait à s’appliquer, une disposition nationale, telle que l’article 31 du BDSG, ne saurait être considérée comme conforme au droit de l’Union. Je tiens à rappeler que la Cour a interprété l’article 7, sous f), de la directive 95/46 en ce sens qu’« [u]n État membre ne saurait [...] prescrire, pour [certaines catégories de données à caractère personnel], de manière définitive, le résultat de la pondération des droits et des intérêts opposés, sans permettre un résultat différent en raison de circonstances particulières d’un cas concret » ( 48 ). Cette disposition étant rédigée dans des termes quasi identiques à ceux de la disposition qui l’a remplacée, à savoir l’article 6, paragraphe 1, sous f), du RGPD, cette interprétation me semble toujours valable ( 49 ). Or, ainsi que le suggère la juridiction de renvoi, il semble que le législateur national aurait eu précisément ce but, vu que, dans la mesure où l’article 31 du BDSG autorise l’utilisation de scores dans le secteur financier, les intérêts économiques du secteur financier se voient accorder une priorité par rapport au droit à la protection des données à caractère personnel, sans pour autant tenir compte des circonstances particulières du cas concret. Une telle approche reviendrait à élargir de manière inadmissible le champ d’application de l’article 6 du RGPD. |
88. |
Au vu de ce qui précède, je considère que l’article 6, paragraphe 1, sous f), du RGPD ne saurait être invoqué valablement comme base juridique dans le but d’adopter une disposition nationale, telle que l’article 31 du BDSG. |
– Le motif visé à l’article 6, paragraphe 4, en conjonction avec l’article 23, paragraphe 1, du RGPD
89. |
La juridiction de renvoi indique que les dispositions combinées de l’article 6, paragraphe 4, et de l’article 23, paragraphe 1, du RGPD auraient été évoquées comme bases juridiques dans la procédure législative qui a conduit à l’adoption de l’article 31 du BDSG. Toutefois, l’idée de se fonder sur ces dispositions aurait été abandonnée ultérieurement. La juridiction de renvoi estime que ces dispositions ne sont pas applicables en l’espèce. |
90. |
Il n’est pas possible, en l’absence d’informations plus détaillées, de prendre position sur l’applicabilité éventuelle des dispositions susmentionnées. Cela ne me semble pas non plus nécessaire si lesdites dispositions n’ont joué aucun rôle durant la procédure législative, comme l’affirme la juridiction de renvoi ( 50 ). |
iii) Conclusion intermédiaire
91. |
J’ai examiné, aux points précédents, la question de savoir si les articles 6 et 22 du RGPD peuvent servir de base juridique pour l’adoption d’une disposition nationale, telle que l’article 31 du BDSG, afin de justifier la licéité de l’établissement de scores dans le cadre des activités réalisées par des sociétés d’information commerciale. Plusieurs raisons, exposées en détail dans mon analyse, me confortent dans ma conviction de devoir écarter cette possibilité. En résumé, je considère que, en l’absence de clauses d’ouverture ou d’exemptions autorisant les États membres à adopter des règles plus précises ou à déroger aux règles du RGPD afin de réglementer cette activité susmentionnée, et compte tenu du degré d’harmonisation poursuivi par ce règlement qui, conformément à l’article 288 TFUE, est obligatoire dans tous ses éléments et directement applicable dans tout État membre, il y a lieu de considérer qu’une telle disposition nationale est non conforme au RGPD. |
92. |
La Cour n’ayant pas la compétence d’interpréter le droit national ou de se prononcer sur la conformité de ce dernier au droit de l’Union dans une procédure préjudicielle au titre de l’article 267 TFUE, les arguments abordés dans les présentes conclusions doivent être compris comme autant d’indications dans l’interprétation des dispositions pertinentes du RGPD, dans le but de permettre à la juridiction de renvoi d’exercer, le cas échéant, cette compétence après avoir examiné elle-même l’article 31 du BDSG à la lumière des dispositions de ce règlement, notamment en ce qui concerne la possibilité de procéder à une interprétation de la législation nationale conforme aux exigences du droit de l’Union. |
93. |
Le principe de la primauté du droit de l’Union consacre la prééminence du droit de l’Union sur le droit des États membres. Ce principe impose dès lors à toutes les instances des États membres de donner leur plein effet aux différentes dispositions du droit de l’Union, le droit des États membres ne pouvant affecter l’effet reconnu à ces dispositions sur le territoire desdits États. En vertu de ce principe, à défaut de pouvoir procéder à une interprétation de la législation nationale conforme aux exigences du droit de l’Union, le juge national chargé d’appliquer, dans le cadre de sa compétence, les dispositions du droit de l’Union, a l’obligation d’assurer le plein effet de celles-ci en laissant au besoin inappliquée, de sa propre autorité, toute disposition contraire de la législation nationale, même postérieure, sans qu’il ait à demander ou à attendre l’élimination préalable de celle-ci par voie législative ou par tout autre procédé constitutionnel ( 51 ). |
b) Réponse à la seconde question préjudicielle
94. |
En réponse à la seconde question préjudicielle, j’estime que l’article 6, paragraphe 1, et l’article 22 du RGPD doivent être interprétés en ce sens qu’ils ne s’opposent pas à une législation nationale sur le profilage lorsqu’il s’agit d’un profilage autre que celui prévu à l’article 22, paragraphe 1, de ce règlement. Toutefois, dans ce cas, la législation nationale doit respecter les conditions prévues à l’article 6 dudit règlement. En particulier, elle doit se fonder sur une base juridique adéquate, ce qu’il incombe à la juridiction de renvoi de vérifier. |
VI. Conclusion
95. |
Eu égard aux considérations qui précèdent, je propose à la Cour de répondre comme suit aux questions préjudicielles posées par le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne) :
|
( 1 ) Langue originale : le français.
( 2 ) JO 2016, L 119, p. 1.
( 3 ) BGBl. 2017 I, p. 2097.
( 4 ) BGBl. 2019 I, p. 1626.
( 5 ) Il s’agit, concrètement, des articles 18 et 21 de la directive 2014/17/UE du Parlement européen et du Conseil, du 4 février 2014, sur les contrats de crédit aux consommateurs relatifs aux biens immobiliers à usage résidentiel et modifiant les directives 2008/48/CE et 2013/36/UE et le règlement (UE) no 1093/2010 (JO 2014, L 60, p. 34), ainsi que des articles 8 et 9 de la directive 2008/48/CE du Parlement européen et du Conseil, du 23 avril 2008, concernant les contrats de crédit aux consommateurs et abrogeant la directive 87/102/CEE du Conseil (JO 2008, L 133, p. 66).
( 6 ) Il ressort des « Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 », adoptées le 3 octobre 2017 par le groupe de travail « Article 29 » sur la protection des données, que le profilage et la prise de décision automatisée peuvent engendrer des risques importants pour les droits et libertés des personnes. En particulier, le profilage peut perpétuer les stéréotypes existants et la ségrégation sociale. De surcroît, dans la mesure où les personnes concernées peuvent se voir limitées dans leur liberté de choix en ce qui concerne certains produits ou services, le profilage peut conduire à un déni de biens et de services ainsi qu’à une discrimination injustifiée.
( 7 ) Voir arrêt du 28 avril 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, points 57 et 60).
( 8 ) Voir arrêt du 28 octobre 2020, Pegaso et Sistemi di Sicurezza (C‑521/18, EU:C:2020:867, points 26 et 27).
( 9 ) Voir conclusions de l’avocat général Richard de la Tour dans l’affaire Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2022:661, points 43 et suiv.).
( 10 ) Voir arrêt du 22 juin 2010, Melki et Abdeli (C‑188/10 et C‑189/10, EU:C:2010:363, point 45).
( 11 ) Voir arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2, point 57).
( 12 ) Voir versions en langues espagnole (« tratamiento automatizado, incluida la elaboración de perfiles »), danoise (« automatisk behandling, herunder profilering »), allemande (« einer automatisierten Verarbeitung – einschließlich Profiling »), estonienne (« automatiseeritud töötlusel, sealhulgas profiilianalüüsil »), anglaise (« automated processing, including profiling »), française (« un traitement automatisé, y compris le profilage ») et polonaise (« zautomatyzowanym przetwarzaniu, w tym profilowaniu ») (mise en italique par mes soins).
( 13 ) Voir, en ce sens, Bygrave, L. A., « Article 22. Automated individual decision-making, including profiling », The EU General Data Protection Regulation (GDPR), Kuner, C., Bygrave, L. A. Docksey, C., (éd.), Oxford, 2020, p. 532.
( 14 ) Abel, R., « Automatisierte Entscheidungen im Einzelfall gem. Art. 22 DS-GVO – Anwedungsbereich und Grenzen im nicht-öffentlichen Bereich », Zeitschrift für Datenschutz, 7/2018, p. 307, estime que cette disposition concerne des « décisions » qui ont un impact sur la situation juridique de la personne concernée ou perturbent durablement son développement économique ou personnel.
( 15 ) Helfrich, M., Sydow, G., DS-GVO/BDSG, 2e édition, Baden-Baden, 2018, art. 22, point 51, estiment qu’il est décisif d’établir si la personne concernée se voit affectée dans l’exercice de ses droits et libertés, par exemple, par les conséquences d’une observation et d’une évaluation susceptibles de l’affecter de manière non négligeable dans le développement de sa personnalité.
( 16 ) Bernhardt, U., Ruhrman, I., Schuler, K., Weichert, T., « Evaluation der Europäischen Datentschutz-Grundverordnung », version du 18 juillet 2019, Netzwerk Datenschutzexpertise, p. 7, considèrent que les algorithmes utilisés dans le cadre du profilage ont un grand potentiel de discrimination et peuvent causer des préjudices, raison pour laquelle les auteurs estiment qu’il y a lieu de préciser que toutes les formes de profilage complet et complexe sont visées par l’interdiction mentionnée à l’article 22, paragraphe 1, du RGPD.
( 17 ) Voir, en ce sens, Sydow, G., Marsch, N., DS-GVO/BDSG, 3e édition, Baden-Baden, 2022, paragraphe 31 du BDSG, point 5, qui considèrent que le scoring est susceptible d’affecter les personnes concernées de manière significative et de façon similaire à une décision qui produit des effets juridiques.
( 18 ) Voir versions en langues espagnole (« únicamente »), danoise (« alene »), allemande (« ausschließlich »), estonienne (« üksnes »), anglaise (« solely »), française (« exclusivement ») et polonaise (« wyłącznie »).
( 19 ) Une telle approche me semble d’autant plus nécessaire que ni SCHUFA ni HBDI n’ont été en mesure de donner une réponse claire lors de l’audience à la question de savoir si les scores tendent à prédéterminer les décisions des établissements financiers. Cependant, le représentant de SCHUFA a indiqué que ces derniers bénéficiaient de l’expérience et de la compétence des sociétés d’information commerciale d’établir la solvabilité d’une personne physique, ce qui pourrait, en principe, être interprété comme une indication d’une influence non négligeable sur le processus décisionnel.
( 20 ) Blasek, K., « Auskunfteiwesen und Kredit-Scoring in unruhigem Fahrwasser – Ein Spagat zwischen Individualschutz und Rechtssicherheit », Zeitschrift für Datenschutz, 8/2022, p. 436 et 438, considère qu’une application de l’article 22, paragraphe 1, du RGPD ne saurait être exclue dans les cas où les employés d’une banque ne remettent pas en question les évaluations automatisées (profilage, scores) effectuées par les sociétés d’information commerciale. Selon l’auteur, les banques ne devraient pas se fier uniquement à cette information externe, mais devraient plutôt la vérifier elles-mêmes de manière adéquate.
( 21 ) Voir, en ce sens, Horstmann, J., Dalmer, S., « Automatisierte Kreditwürdigkeitsprüfung. Externes Kreditscoring im Lichte des Verbots automatisierter Einzelfallentscheidungen », Zeitschrift für Datenschutz, 5/2022, p. 263.
( 22 ) Mise en italique par mes soins.
( 23 ) Mise en italique par mes soins.
( 24 ) Voir, Zanfir-Fortuna, G., « Article 15. Right of access by the data subject », The EU General Data Protection Regulation (GDPR), Kuner, C., Bygrave, L. A., Docksey, C., (éd.), Oxford, 2020, p. 463.
( 25 ) Voir, en ce sens, les « Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 », adoptées le 3 octobre 2017 par le groupe de travail « Article 29 » sur la protection des données, p. 28 et 30.
( 26 ) Voir « Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) », Bundesrat – Drucksache 110/17 du 2.2.2017, p. 101 et 102, ainsi que Abel, R., « Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht », Zeitschrift für Datenschutz, 3/2018, p. 105, qui critique le projet de loi, qui n’indique pas la clause d’ouverture sur laquelle se base l’article 31 du BDSG et émet des doutes sur la conformité de cette disposition au droit de l’Union.
( 27 ) Voir, en ce sens, Horstmann, J., Dalmer, S., « Automatisierte Kreditwürdigkeitsprüfung. Externes Kreditscoring im Lichte des Verbots automatisierter Einzelfallentscheidungen », Zeitschrift für Datenschutz, 5/2022, p. 265.
( 28 ) Voir point 44 des présentes conclusions.
( 29 ) Arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C‑439/19, EU:C:2021:504, point 99).
( 30 ) Arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C‑439/19, EU:C:2021:504, point 81).
( 31 ) Voir, en ce sens, von Lewinski, K., Pohl, D., « Auskunfteien nach der europäischen Datenschutzreform – Brüche und Kontinuitäten der Rechtslage », Zeitschrift für Datenschutz, 1/2018, p. 19.
( 32 ) Voir, en ce sens, Abel, R., « Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht », Zeitschrift für Datenschutz, 3/2018, p. 106.
( 33 ) Voir « Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) », Bundesrat – Drucksache 110/17 du 2.2.2017, p. 101 et 102. Lors de l’audience, le gouvernement allemand a confirmé qu’il s’agit effectivement de l’objectif législatif de l’article 31 du BDSG.
( 34 ) Voir, à cet égard, Guggenberger, N., Sydow, G., Bundesdatenschutzgesetz, 1re édition, Baden-Baden, 2020, paragraphe 31, points 2 et 5.
( 35 ) Voir arrêt du 27 mars 2014, LCL Le Crédit Lyonnais (C‑565/12, EU:C:2014:190, points 40 et 42), concernant l’obligation du prêteur, prévue à l’article 8, paragraphe 1, de la directive 2008/48, d’évaluer la solvabilité du consommateur préalablement à la conclusion d’un contrat de crédit, cette obligation pouvant inclure la consultation des bases de données pertinentes. Selon la Cour, cette obligation précontractuelle vise à protéger les consommateurs contre les risques de surendettement et d’insolvabilité, assurant un niveau élevé de protection de leurs intérêts et facilitant l’émergence d’un marché intérieur performant du crédit à la consommation.
( 36 ) Voir arrêt du 6 juin 2019, Schyns (C‑58/18, EU:C:2019:467, points 45 et 46), dans lequel la Cour a jugé que l’obligation du prêteur, prévue à l’article 18, paragraphe 5, sous a), de la directive 2014/17, de vérifier la solvabilité du consommateur avant de lui accorder un crédit, vise à éviter un comportement irresponsable des participants au marché, susceptible de miner les fondements du système financier.
( 37 ) Voir, en ce sens, Sydow, G., Marsch, N., DS-GVO/BDSG, 3e édition, Baden-Baden, 2022, paragraphe 31 BDSG, point 6, et Abel, R., « Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht », Zeitschrift für Datenschutz, 3/2018, p. 105.
( 38 ) Voir, à cet égard, Guggenberger, N., Sydow, G., Bundesdatenschutzgesetz, 1re édition, Baden-Baden, 2020, paragraphe 31, point 5.
( 39 ) Voir point 66 des présentes conclusions.
( 40 ) Arrêt du 17 juin 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, point 106).
( 41 ) Voir, à cet égard, conclusions de l’avocat général Rantos dans l’affaire Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) (C‑252/21, EU:C:2022:704, point 60).
( 42 ) Voir point 74 des présentes conclusions.
( 43 ) Voir arrêts du 4 mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, point 30), et du 17 juin 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, point 110).
( 44 ) Directive du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).
( 45 ) Voir, en ce sens, Heberlein, H., DS-GVO – Kommentar, Munich, 2017, art. 6, points 28 et 32.
( 46 ) Voir, en ce sens, Heberlein, H., op. cit., point 32, et Roßnagel, A., Datenschutzrecht, Simitis, S., Hornung, G., Spiecker, I., (éd.), Munich, 2019, art. 6, point 23.
( 47 ) Voir arrêt du 22 juin 2022, Leistritz (C‑534/20, EU:C:2022:495, point 26).
( 48 ) Voir arrêt du 19 octobre 2016, Breyer (C‑582/14, EU:C:2016:779, point 62).
( 49 ) Voir arrêt du 1er août 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, point 66), dans lequel la Cour a interprété certaines dispositions de la directive 95/46 et du RGPD de manière uniforme.
( 50 ) Guggenberger, N., Sydow, G., Bundesdatenschutzgesetz, 1re édition, Baden-Baden, 2020, paragraphe 31, point 6, confirment l’appréciation de la juridiction de renvoi quant à l’absence de pertinence de ces dispositions dans le choix d’une base juridique pour l’adoption de l’article 31 du BDSG.
( 51 ) Arrêt du 21 juin 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, point 293).