"C'est compliqué" et "c'est secret" sont des réponses qui n'ont généralement que peu de chances de plaire à vos interlocuteurs. C'est encore plus vrai dans le cas d'un exercice de droits relatif à un traitement de profilage (scoring de solvabilité) comme l'a rappelé la CJUE dans ce très instructif arrêt du 27 février 2025.
Un droit à l'explication enfin consacré
L'arrêt C-203/22 marque un tournant décisif en consacrant explicitement "un véritable droit à l'explication sur le fonctionnement du mécanisme qui sous-tend une prise de décision automatisée". La Cour y renforce sans ambiguïté l'effectivité des dispositions de l'article 15(1)(h) du RGPD, en vertu desquelles le responsable de traitement est tenu de fournir des "informations utiles concernant la logique sous-jacente" d'un profilage, qui ne peut se résumer en "la simple communication d'une formule mathématique complexe, telle qu'un algorithme, ni la description détaillée de toutes les étapes d'une prise de décision automatisée, dans la mesure où aucune de ces modalités ne constituerait une explication suffisamment concise et compréhensible."
Ces informations doivent en effet permettre l'exercice effectif des droits garantis par l'article 22(3) du RGPD, à savoir : exprimer son point de vue et contester la décision. Une position qui s'inscrit dans la droite ligne de la jurisprudence SCHUFA de décembre 2023 (C-634/21), dans laquelle la Cour avait déjà reconnu que le "credit scoring" constituait une décision individuelle automatisée, même lorsque c'est un tiers qui prend la décision finale sur cette base.
Le "secret d'affaires" n'est pas un refuge absolu
La Cour rejette également catégoriquement l'application d'une disposition nationale qui exclurait, par principe, le droit d'accès lorsqu'il compromettrait un secret d'affaires au sens de l'article 2, point 1, de la directive 2016/943. Ce qui était le cas dans l'affaire SCHUFA ; l'agence de notation ayant refusé de divulguer sa méthodologie de scoring en invoquant ce secret. La présente décision va plus loin et transpose la solution retenue dans l'arrêt Norra Stockholm Bygg de mars 2023 (C-268/21) : ces informations doivent être communiquées à l'autorité de contrôle ou à la juridiction compétente, qui pondérera les droits et intérêts en présence, au cas par cas.
Implications pratiques à l'ère des IA génératives
À l'heure où les systèmes d'IA complexes se multiplient, cette décision arrive à point nommé et pourrait marquer une étape décisive dans le renforcement des contours du droit de rectification. Elle apparaît ainsi s'opposer à une tendance préoccupante illustrée par cette récente affaire, concernant les "hallucinations" de ChatGPT en matière de données personnelles. En réponse à la demande de rectification de l'intéressé, OpenAI a argué qu'il ne pouvait pas corriger les données mais uniquement « bloquer » certaines requêtes, contournant ainsi la problématique de fond mise en lumière dans cette affaire s'agissant de l'exactitude des données personnelles traitées. L'issue de l'action intentée par NOYB contre OpenAI sera sans nul doute très enrichissante sur ce point et gageons qu'elle permettra de renforcer la portée de la présente décision.
Cet arrêt implique en effet que l'invocation de la complexité technique de certaines IA ne saurait justifier leur inexplicabilité et, partant, de faire obstacle aux droits des personnes concernées par ces traitements.
Pour les entreprises : anticiper plutôt que subir
Pour les organisations utilisant des algorithmes de profilage/scoring ou plus généralement des systèmes de décision automatisée, cet arrêt invite donc à :
- documenter précisément le fonctionnement des algorithmes pour pouvoir les expliquer ;
- se préparer à fournir des explications "au moyen d'informations pertinentes et d'une façon concise, transparente, compréhensible et aisément accessible", voire des exemples, concernant la logique sous-jacente de ses décisions automatisées ; la CJUE énonçant ainsi que pourrait répondre à l'impératif de transparence et d'intelligibilité "le fait d'informer la personne concernée de la mesure dans laquelle une variation au niveau des données à caractère personnel prises en compte aurait conduit à un résultat différent." ;
- préparer des argumentaires exhaustifs et convaincants, à l'attention des autorités de contrôle ou juridictions auprès desquelles elles auront à transmettre l'exhaustivité des mécanismes de traitement, dont ceux qu'elles entendent protéger en vertu du secret des affaires, afin d'en limiter la communication.
Conclusion
Cette évolution jurisprudentielle confirme qu'à date, le droit fondamental à la protection des données personnelles, consacré pour rappel à l'article 8 de la Charte des droits fondamentaux et sur lequel s'appuie la CJUE, demeure un pilier qui ne saurait tomber par la seule invocation pavlovienne du secret des affaires ou de la "complexité". Le rappel est heureux, alors même qu'un « assouplissement » du RGPD est attendu dans les prochaines semaines.
Comme nous le rappelle ici la Cour et quel que soit le contexte, pour exprimer son point de vue, encore faut-il être "utilement informé". À méditer...et pas seulement en protection des données !