La prise de décisions automatisées, y compris le profilage, impose au responsable de traitement d’observer des règles plus strictes en matière de protection des données personnelles. La CJUE a récemment précisé le périmètre du droit d’accès des personnes concernées par de telles décisions[1].
Pour rappel, le RGPD (article 15 § 1 h)) prévoit que, en cas de prise de décisions automatisées, y compris un profilage[2], la personne concernée a, en vertu de son droit d’accès, le droit d’obtenir des informations supplémentaires et spécifiques à ce type de traitement, parmi lesquelles « des informations utiles concernant la logique sous-jacente » à une telle prise de décision. Mais que recouvrent véritablement ces informations ? La CJUE a récemment donné des éléments de réponse.
En l’espèce, une personne s’est vu refuser la conclusion d’un contrat avec un opérateur de téléphonie mobile au motif d’une insuffisante solvabilité. Ce refus a été basé sur une évaluation de crédit de la personne concernée, laquelle avait été réalisée de façon automatisée par une société spécialisée dans ce type d’évaluation.
Dans ce cadre, il a été reproché à la société d’évaluation de ne pas avoir respecté l’article 15 § 1 h) de la personne concernée parce qu’elle (i) n’avait pas fourni « des informations utiles sur la logique sous-jacente » à la prise de décision automatisée ; (ii) et, à tout le moins, n’avait pas suffisamment motivé pourquoi elle n’aurait pas pu fournir de telles informations.
A cette occasion, la CJUE a été interrogée sur le point de savoir ce que recouvre cette notion d’« informations utiles sur la logique sous-jacente ».
Pour la CJUE, il s’agit pour le responsable du traitement d’expliquer « la procédure et les principes concrètement appliqués » et ce, afin que la personne concernée comprenne quelles données à caractère personnel ont été utilisées et de quelle manière « aux fins d’en obtenir un résultat déterminé ». Cette explication doit être « concise, transparente, compréhensible et aisément accessible ».
A cet égard, la « complexité des opérations » ne décharge pas le responsable de traitement de son obligation d’explication, la CJUE ayant notamment précisé que la seule communication d’un algorithme ne saurait, être considérée comme suffisante. En revanche, informer « de la mesure dans laquelle une variation au niveau des données à caractère personnel prises en compte aurait conduit à un résultat différent » serait appropriée concernant le type de profilage réalisé en l’espèce.
La CJUE a ajouté que si le responsable de traitement estime que les explications à communiquer comportent des données de tiers protégées ou encore des secrets d’affaires, cela ne saurait suffire, par principe, à les exclure du droit d’accès. En pareil cas, le responsable de traitement doit communiquer ces données/informations protégées à l’autorité de contrôle ou la juridiction compétente. Ce sont alors elles qui évalueront si ces éléments doivent être communiqués en mettant en balance « les droits et intérêts en cause ».
Cette décision n’est pas sans conséquence pour les organismes utilisant des algorithmes, outils d’IA et autres systèmes conduisant à une prise de décision automatisée. En effet, ils doivent pouvoir expliquer, de façon simple, comment ces systèmes opèrent et comment les données y sont exploitées pour aboutir à la prise de décision automatisée.
[1] CJUE, 27 février 2025 (Affaire C-203/22).
[2] Au sens de l’article 22 du RGPD.
