Dans un arrêt du 27 février 2025, la CJUE se positionne sur les informations à fournir par les établissements de crédit ou de scoring à la personne concernée par une évaluation négative automatisée de crédit.
Un opérateur de téléphonie mobile autrichien a refusé à une cliente un contrat au motif qu’elle n’était pas suffisamment solvable, en se fondant sur une évaluation de crédit automatisée réalisée par l’agence Dun & Bradstreet Austria (D&B).
L’opérateur a été condamné par l’autorité autrichienne de protection des données à communiquer les informations utiles sur la logique sous-jacente à la prise de décision automatisée à la cliente. En raison de la non-exécution par l’opérateur, la personne concernée a saisi le juge compétent pour statuer sur l’exécution.
La juridiction a demandé à la CJUE d’interpréter le RGPD et la directive sur la protection des secrets d’affaires pour savoir quelles informations l’entreprise devait concrètement fournir à la personne concernée.
L’article 15 h) du RGPD prévoit qu’en cas de prise de décision automatisée à la suite d’un profilage, le responsable de traitement doit fournir à la personne concernée « des informations utiles concernant la logique sous-jacente ».
La CJUE rappelle que ces informations doivent être fournies « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » ce qui ne sera pas le cas de la « simple communication d’une formule mathématique complexe, telle qu’un algorithme » ou de la « description détaillée de toutes les étapes d’une prise de décision automatisée ».
La Cour suggère à la juridiction autrichienne :
● que peut être « suffisamment transparent et intelligible le fait d’informer la personne concernée de la mesure dans laquelle une variation au niveau des données à caractère personnel prises en compte aurait conduit à un résultat différent »
● que « les informations fournies doivent permettre à la personne concernée de vérifier l’exactitude des données à caractère personnel la concernant sur lesquelles est fondée la prise de décision automatisée »
● que doit être tenue d’expliquer de manière concise, transparente, compréhensible et aisément accessible la procédure et les principes en application desquels le résultat du profilage « réel » a été obtenu.
Enfin, la Cour affirme que si le responsable du traitement considère que les informations demandées comportent des données de tiers protégées ou des secrets d’affaires, il est tenu « de communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès de la personne concernée ».
