Selon un arrêt rendu le 27 février 2025 par la Cour de justice de l’Union européenne, la personne concernée a droit à une explication sur la manière dont la décision a été prise à son égard, et l’explication fournie doit lui permettre de comprendre et de contester la décision automatisée.
L’affaire concerne un opérateur de téléphonie mobile autrichien qui a refusé de permettre à une cliente de conclure un contrat au motif que sa solvabilité était insuffisante. L’opérateur s’est fondé à cet égard sur une évaluation de la solvabilité de la cliente effectuée par des moyens automatisés par Dun & Bradstreet Austria, une entreprise spécialisée dans la fourniture de telles évaluations. Le contrat aurait impliqué un paiement mensuel de 10 euros.
Dans le litige qui a suivi, un tribunal autrichien a jugé, par décision définitive, que Dun & Bradstreet avait enfreint le règlement général sur la protection des données (RGPD) [Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)].
La décision stipule que Dun & Bradstreet n’a pas fourni au client « d’informations utiles sur la logique impliquée » dans la prise de décision automatisée en question. À tout le moins, l’entreprise n’a pas fourni de motifs suffisants pour justifier son incapacité à fournir ces informations.
Le tribunal saisi par le client aux fins de l’exécution de cette décision judiciaire s’interroge sur ce que Dun & Bradstreet doit faire concrètement à cet égard. Ce tribunal a donc saisi la Cour de justice, en lui demandant des orientations sur l’interprétation du RGPD et de la directive relative à la protection des secrets d’affaires [Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites].
Selon la Cour, le responsable du traitement doit décrire la procédure et les principes effectivement appliqués de manière à ce que la personne concernée puisse comprendre lesquelles de ses données à caractère personnel ont été utilisées dans la prise de décision automatisée.
Dans son arrêt, la Cour a déterminé que :
- Article 15(1)(h) du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
doit être interprété en ce sens que, dans le cas d’une prise de décision automatisée, y compris le profilage, au sens de l’article 22, paragraphe 1, de ce règlement, la personne concernée peut exiger du responsable du traitement, en tant qu’«information utile sur la logique sous-jacente», qu’il lui explique, au moyen d’informations pertinentes et sous une forme concise, transparente, intelligible et facilement accessible, la procédure et les principes effectivement appliqués pour utiliser, par des moyens automatisés, les données à caractère personnel la concernant en vue d’obtenir un résultat spécifique, tel qu’un profil de crédit.
- Article 15(1)(h) du Règlement 2016/679
doit être interprété en ce sens que, lorsque le responsable du traitement estime que les informations à fournir à la personne concernée conformément à cette disposition contiennent des données de tiers protégées par ce règlement ou des secrets d’affaires, au sens de l’article 2, point 1, de la directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites, ce responsable du traitement est tenu de fournir les informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétente, qui doit mettre en balance les droits et les intérêts en jeu en vue de déterminer l’étendue du droit d’accès de la personne concernée prévu à l’article 15 de ce règlement.
Lire la suite ici .