5 caméras avaient été dissimulées sous l’apparence de « détecteurs [...]

Le 1er septembre, la CNIL a prononcé une amende de [...]

Le 1er septembre, la CNIL a prononcé une amende de [...]

Lors d’un contentieux classique entre un salarié licencié pour faute [...]

Le 15 mai 2025, même jour que la sanction prononcée [...]

La société Solocal Marketing Services (SOMS) exploite une base contenant [...]

En 2023, la CNIL a sanctionné Groupe Canal+ (600 000 [...]

Le RGPD impose aux entreprises de tenir un registre de [...]

Ce type de dispositif, qui s’appuie sur un logiciel d’analyse [...]

07/03/2025

Dans un arrêt du 27 février 2025, la CJUE se positionne sur les informations à fournir par les établissements de crédit ou de scoring à la personne concernée par une évaluation négative automatisée de crédit.

Un opérateur de téléphonie mobile autrichien a refusé à une cliente un contrat au motif qu’elle n’était pas suffisamment solvable, en se fondant sur une évaluation de crédit automatisée réalisée par l’agence Dun & Bradstreet Austria (D&B).

L’opérateur a été condamné par l’autorité autrichienne de protection des données à communiquer les informations utiles sur la logique sous-jacente à la prise de décision automatisée à la cliente. En raison de la non-exécution par l’opérateur, la personne concernée a saisi le juge compétent pour statuer sur l’exécution.

La juridiction a demandé à la CJUE d’interpréter le RGPD et la directive sur la protection des secrets d’affaires pour savoir quelles informations l’entreprise devait concrètement fournir à la personne concernée.

L’article 15 h) du RGPD prévoit qu’en cas de prise de décision automatisée à la suite d’un profilage, le responsable de traitement doit fournir à la personne concernée « des informations utiles concernant la logique sous-jacente ».

La CJUE rappelle que ces informations doivent être fournies « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » ce qui ne sera pas le cas de la « simple communication d’une formule mathématique complexe, telle qu’un algorithme » ou de la « description détaillée de toutes les étapes d’une prise de décision automatisée ».

La Cour suggère à la juridiction autrichienne :
● que peut être « suffisamment transparent et intelligible le fait d’informer la personne concernée de la mesure dans laquelle une variation au niveau des données à caractère personnel prises en compte aurait conduit à un résultat différent »
● que « les informations fournies doivent permettre à la personne concernée de vérifier l’exactitude des données à caractère personnel la concernant sur lesquelles est fondée la prise de décision automatisée »
● que doit être tenue d’expliquer de manière concise, transparente, compréhensible et aisément accessible la procédure et les principes en application desquels le résultat du profilage « réel » a été obtenu.

Enfin, la Cour affirme que si le responsable du traitement considère que les informations demandées comportent des données de tiers protégées ou des secrets d’affaires, il est tenu « de communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès de la personne concernée ».

Arrêt C-203/22, 27 fév. 2025, Dun & Bradstreet c. Austria