ThinkTank_Logo_black
L'attente est terminée
Ailance™ ThinkTank est là !
En savoir plus

La CJCE renforce la transparence : les agences d'évaluation du crédit doivent publier leurs processus décisionnels

La CJUE renforce la transparence en matière de prise de décision automatisée.
Catégories :
,

Dans son arrêt du 27 février 2025, la Cour de justice des Communautés européennes (CJCE) a pris une décision importante concernant le droit d'accès prévu à l'article 15, paragraphe 1, point h) du RGPD. L'arrêt (affaire C-203/22) clarifie les exigences en matière de transparence des processus décisionnels automatisés et fixe des critères pour la protection des données à caractère personnel face aux intérêts économiques de confidentialité.

Litige sur l'obligation de fournir des informations lors d'un contrôle de solvabilité automatisé

La décision était basée sur un renvoi du tribunal administratif de Vienne. La requérante CK, une personne physique, a été refusée par un opérateur de téléphonie mobile sur la base d'une évaluation automatisée de la solvabilité. L'évaluation a été effectuée par Dun & Bradstreet Austria GmbH (D & B), une entreprise spécialisée dans les contrôles de solvabilité. CK a alors demandé à consulter les critères déterminants et les bases de calcul de cette évaluation afin de pouvoir comprendre la base de la décision et, le cas échéant, la corriger.

D & B a refusé de divulguer la logique sous-jacente, arguant qu'il s'agissait de secrets commerciaux protégés. CK s'est alors adressé à l'autorité autrichienne de protection des données, qui a demandé à D & B de fournir des informations pertinentes sur la prise de décision automatisée. D & B a fait appel de cette décision auprès de la Cour administrative fédérale, qui a confirmé l'obligation de fournir des informations.

D & B étant restée inactive malgré la décision définitive, CK a demandé à la municipalité de Vienne d'exécuter le jugement. L'autorité d'exécution a rejeté la demande au motif que D & B avait déjà satisfait à son obligation d'information. CK s'est alors à nouveau adressé au tribunal administratif de Vienne, qui a soumis l'affaire à la CJCE pour décision préjudicielle.

La CJCE doit se prononcer sur les limites et l'étendue du droit à l'information

Le tribunal administratif de Vienne a soumis à la CJUE plusieurs questions fondamentales concernant l'interprétation de l'article 15, paragraphe 1, point h) du RGPD. La problématique centrale consistait à déterminer les limites et l'étendue du droit d'accès des personnes concernées en ce qui concerne les processus décisionnels automatisés. Les questions du tribunal administratif concernaient notamment

  1. la portée des obligations d'information : Quelles informations concrètes les responsables doivent-ils fournir pour satisfaire aux exigences de l'article 15, paragraphe 1, point h), du RGPD ?
  2. Mise en balance avec les secrets d'affaires : La divulgation est-elle également nécessaire si elle implique des secrets commerciaux ou des données à caractère personnel de tiers ?
  3. Transparence versus secret : Comment résoudre la tension entre le droit à la protection des données de la personne concernée et la protection des intérêts économiques des entreprises ?


Conseil de lecture : Minimisation et minimisation des données - La CJCE annule l'obligation de s'adresser à quelqu'un lors de l'achat d'un billet en ligne

CJCE : la transparence et une présentation compréhensible sont nécessaires

La CJUE a décidé que les responsables sont tenus de divulguer la "logique impliquée" des processus décisionnels automatisés de manière compréhensible pour la personne concernée. Cela nécessite une description claire des méthodes de calcul et des algorithmes utilisés. En particulier, les entreprises doivent exposer

  • Quels procédés et modèles mathématiques ont été utilisés pour la prise de décision,
  • quelles variables d'entrée spécifiques ont été prises en compte dans l'évaluation
  • Comment l'ensemble de ces facteurs a conduit au résultat concret.


La simple communication d'une cote de crédit ou d'un niveau de risque sans autre explication ne suffit pas. Une présentation transparente et compréhensible est plutôt nécessaire pour permettre à la personne concernée d'évaluer de manière réaliste les critères qui ont contribué à la prise de décision automatisée.

Un autre aspect central de la décision concerne la protection des secrets commerciaux et des données à caractère personnel de tiers. La CJCE a précisé que les entreprises ne peuvent pas invoquer le secret en bloc pour refuser de fournir des informations. Au contraire, il est nécessaire de mettre soigneusement en balance les intérêts de la personne concernée et les intérêts de protection économique de l'entreprise. Ce n'est que dans des cas exceptionnels, lorsqu'il est prouvé que les intérêts économiques sont gravement affectés, qu'une restriction de l'obligation d'information peut être justifiée.

En outre, la CJCE a clairement indiqué qu'il ne peut pas y avoir de refus absolu de fournir des informations. Si certaines informations ne peuvent pas être divulguées directement pour des raisons de confidentialité, il faut au moins prévoir une autre possibilité pour garantir le droit de la personne concernée. Par exemple, une divulgation à une autorité de contrôle indépendante ou à un tribunal peut être effectuée afin de permettre un examen objectif de la prise de décision automatisée.

Impact de l'arrêt de la CJCE sur la pratique

La décision de la CJUE a des conséquences importantes pour les entreprises, en particulier pour celles qui ont recours à des processus décisionnels automatisés. Les organismes responsables doivent désormais s'assurer qu'ils répondent aux exigences accrues de transparence afin de garantir un traitement des données conforme à la législation.

  1. Obligations d'information étendues
    Les entreprises sont tenues d'expliquer de manière détaillée et compréhensible les processus de décision automatisés. Cela signifie que les personnes concernées doivent pouvoir comprendre quelles données d'entrée ont été utilisées et comment elles ont conduit à une certaine décision. La simple mention d'une évaluation automatisée ne suffit pas, le fonctionnement doit être divulgué de manière compréhensible pour la personne concernée.
  2. Difficulté d'invoquer le secret d'affaires
    La CJCE a précisé que les entreprises ne peuvent pas invoquer en bloc la protection des secrets d'affaires pour refuser de divulguer des informations. Au contraire, il faut examiner au cas par cas si des secrets d'affaires dignes de protection sont effectivement concernés. Si c'est le cas, il convient de procéder à une mise en balance avec les droits de la personne concernée. Dans ce contexte, les tribunaux ou les autorités de contrôle peuvent intervenir pour décider quelles informations doivent être divulguées.
  3. Nécessité de nouveaux mécanismes de contrôle
    Les autorités de protection des données et les tribunaux joueront à l'avenir un rôle plus important dans la mise en balance des obligations de transparence et de la protection des secrets d'affaires. Les entreprises devraient donc se préparer à justifier en détail leurs processus de mise en balance. Cela peut également conduire à une obligation accrue de documentation afin de pouvoir prouver aux autorités de contrôle que les obligations de divulgation ont été respectées conformément au RGPD.
  4. Effets sur les relations contractuelles
    Cette décision peut avoir des conséquences importantes pour les partenaires contractuels des entreprises. Les banques, les assurances et les opérateurs de téléphonie mobile, en particulier, qui ont recours à des contrôles de solvabilité automatisés, doivent s'assurer que leurs clients reçoivent des explications suffisamment compréhensibles sur les bases de décision. Dans le cas contraire, les conclusions ou les renouvellements de contrats pourraient être contestés en justice pour manque de transparence.
  5. Adaptation des processus internes et des mesures de conformité
    Les entreprises doivent adapter leurs processus internes afin de répondre aux nouvelles exigences. Cela implique la mise en œuvre de mesures techniques et organisationnelles pour une documentation et une communication transparentes des mécanismes d'évaluation.

Conclusion

La décision de la CJUE a considérablement concrétisé le droit à la transparence dans les décisions automatisées. Les personnes concernées bénéficient désormais d'un droit d'accès clairement défini et exécutoire, qui leur permet de mieux comprendre le traitement de leurs données à caractère personnel et, le cas échéant, d'engager une action en justice.

Pour les entreprises, cela signifie qu'elles doivent réviser leurs processus et mécanismes internes de prise de décision automatisée. Elles doivent fournir des informations plus complètes et divulguer de manière compréhensible les algorithmes et les logiques de décision sous-jacents. Cela nécessite non seulement des adaptations techniques, mais aussi une collaboration plus étroite avec les autorités de protection des données afin de s'assurer que les nouvelles exigences sont respectées.

La décision montre en outre clairement que la protection des secrets commerciaux ne peut pas être invoquée de manière générale comme argument pour refuser de fournir des informations. Au contraire, les entreprises doivent procéder à une évaluation minutieuse au cas par cas et, le cas échéant, trouver d'autres moyens de fournir des informations pertinentes, par exemple en les divulguant aux autorités de contrôle ou aux tribunaux.

Source : Arrêt de la CJCE dans l'affaire C-203/22

Prendre contact
Les tags :
Partager ce post :

Catégories populaires

Bulletin d'information

Abonnez-vous à notre lettre d'information sur la protection des données pour recevoir les dernières mises à jour, conseils et connaissances directement dans votre boîte de réception.
S'abonner

Derniers messages

fr_FRFrench
de_DEGerman en_USEnglish it_ITItalian fr_FRFrench