Quels sont les faits ?

En l’espèce, une société dont l’activité consiste entre autres à fournir à ses clients des informations concernant la solvabilité de personnes tierces, a fourni à un établissement de crédit un score concernant un individu, qui a servi de base au refus du crédit demandé par ce dernier.

L’individu a ensuite demandé à la société ayant calculé le score d’effacer l’enregistrement de ces données et de lui donner accès à ces dernières. Cette société a communiqué au demandeur son score ainsi que le mode de fonctionnement de son calcul, sans préciser la pondération des différentes données dans le calcul. La société considérait en effet que ses méthodes de calcul relevaient du secret professionnel et du secret des affaires.

Le demandeur a saisi le contrôleur allemand à la protection des données d’une réclamation. Le contrôleur allemand ayant estimé qu’il n’y avait pas lieu d’agir, une juridiction fut saisie par le demandeur. Cette juridiction a décidé de surseoir à statuer, et a saisi la Cour de justice de questions préjudicielles afin de savoir :

• Si l’établissement automatisé d’une valeur de probabilité concernant la capacité d’une personne à honorer un prêt à l’avenir (scoring) constitue un traitement automatisé produisant des effets juridiques la concernant ou l’affectant de manière significative ?
• Quel est le périmètre du droit d’accès de la personne concernée dans ce cas de figure ?

Quelle est la position de l’avocat général ?

L’avocat général analyse les conditions d’application de l’article 22 paragraphe 1 du RGPD, dont le résultat est le suivant :

• La procédure suivie pour obtenir le score constitue un « profilage » au sens de l’article 4 point 4 du RGPD. Ce point n’est manifestement pas contesté par les parties à la procédure.
• La décision produit des effets juridiques à l’égard de la personne concernée ou l’affecte de manière significative de façon similaire ;
• La décision doit être fondée exclusivement sur un traitement automatisé : l’acte doit avoir la nature d’une « décision » et celle-ci doit être « fondée exclusivement sur un traitement automatisé ». L’absence de définition légale de « décision » permet de déduire que le législateur de l’Union Européenne a opté pour une notion large, afin d’y inclure plusieurs actes pouvant affecter la personne concernée.

L’avocat général considère que cette disposition doit être interprétée en ce sens que :

« l’établissement automatisé d’une valeur de probabilité concernant la capacité de la personne concernée à honorer un prêt à l’avenir constitue déjà une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques concernant cette personne ou l’affectant de manière significative de façon similaire lorsque cette valeur, établie au moyen de données à caractère personnel relatives à ladite personne, est communiquée par le responsable du traitement à un tiers responsable du traitement et que, conformément à une pratique constante, celui-ci fonde sa décision relative à l’établissement, à l’exécution ou à la cessation d’une relation contractuelle avec cette même personne de manière déterminante sur ladite valeur. »

Quel est le périmètre du droit d’accès en présence d’un tel scoring ? En quoi l’information à délivrer dans le cadre du droit d’accès consiste t-elle ?

L’avocat général analyse l’étendue de l’information visée à l’article 15 paragraphe 1, sous h) du RGPD dans le cadre de l’exercice d’un droit d’accès portant sur un traitement comme celui en cause.

En vertu de cet article, lorsqu’il répond à une demande de droit d’accès, le responsable du traitement doit informer la personne concernée notamment sur « l’existence d’une prise de décision automatisée y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée. »

Selon l’avocat général, le droit d’accès de la personne concernée conférée par l’article 15 du RGPD doit être interprété comme mettant à la charge du responsable du traitement une obligation de lui communiquer la méthode de calcul utilisée aux fins d’établir un score, à condition qu’il n’y ait pas d’intérêts conflictuels dignes de protection.

Il s’ensuit que si la protection du secret des affaires ou de la propriété intellectuelle constitue pour une société commerciale une raison légitime de refuser de révéler un algorithme utilisé pour calculer le score de la personne concernée, elle ne saurait justifier un refus absolu d’information.

L’avocat général précise cependant qu’en vertu de l’article 12 paragraphe 1 du RGPD, les informations fournies doivent l’être de façon « concise, transparente, compréhensible et aisément accessibles, en des termes clairs et simples », et ainsi l’obligation de communiquer la méthode de calcul ne couvre pas l’algorithme, « compte tenu de sa complexité ».

Ainsi, l’avocat général considère que l’obligation de fournir « des informations utiles concernant la logique sous-jacente » implique la fourniture d’explications suffisamment détaillées sur la méthode utilisée pour le calcul du score, les raisons qui ont conduit à un résultat déterminé, et l’importance des facteurs pris en considération sur le processus décisionnel.

Dans ses conclusions, l’avocat général dresse un régime protecteur des données de solvabilité de personnes demandeuses de prêts.

Vous accompagner dans le développement de vos projets, former vos équipes : nous mettons nos expertises à votre service !