Haro de la Cour de justice sur les services d’aide à la décision !

1. Parmi les quatre riches arrêts de la Cour de justice rendus au cours de la semaine du 4 décembre 2023, ce n’est pas l’un de ceux rendus en grande chambre¹ que nous souhaitons mettre en lumière. Il faut leur préférer le charme discret d’un arrêt de la première chambre qui fait écho aux discussions les plus actuelles², en particulier sur l’intelligence artificielle. Les débats publics³ comme doctrinaux⁴ ont bien mis en lumière les craintes relatives à la prise de décision algorithmique, que ce soit dans le secteur public ou privé. Que chacun se rassure, le RGPD garantit d’ores et déjà un niveau de protection élevé, fondé sur une interdiction de principe, pour autant que soit en cause un traitement de données à caractère personnel. Et la Cour de justice s’affirme, une fois encore, en gardienne des droits et libertés individuels en veillant à n’admettre que restrictivement les prises de décision individuelle automatisée.

2. Au cas d’espèce, le responsable de traitement est une société de droit allemand. Elle a notamment pour activité d’établir la probabilité d’un comportement futur des personnes (scoring), en l’occurrence leur capacité à honorer leurs engagements de paiement à l’avenir, en se fondant sur des données à caractère personnel. La personne concernée est un consommateur auquel a été refusé l’octroi d’un prêt par un tiers aux opérations de traitement susdécrites, sur le fondement de la probabilité établie par le responsable de traitement. Elle n’a obtenu de ce dernier que des informations relatives au niveau de son score et les grandes lignes du calcul de ce dernier. C’est en vain qu’elle a demandé au Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Commissaire à la protection des données et à la liberté de l’information pour le Land de Hesse, Allemagne) d’enjoindre au responsable de traitement de satisfaire à sa demande d’accès⁵ et d’effacement⁶. Par conséquent, la personne concernée a saisi le Tribunal administratif de Wiesbaden d’un recours⁷, lequel est à l’origine de deux questions préjudicielles relatives à l’article 22 du RGPD, intitulé « Décision individuelle automatisée, y compris le profilage ».

3. Nous ne nous attarderons pas sur les débats relatifs à la recevabilité de la question préjudicielle, quoiqu’ils soient l’écho de questions légitimes sur le contrôle de « pleine compétence »⁸ confié au juge du recours contre les décisions d’une autorité de contrôle. Un autre arrêt rendu le même jour, dans une affaire impliquant le même responsable de traitement, comprend des éléments plus complets sur ce point⁹.

4. En revanche, l’arrêt commenté retient toute notre attention à raison de la charge qu’il sonne contre les traitements à l’origine d’une prise de décision individuelle automatisée. Elle procède d’un double mouvement d’extension du domaine de l’interdiction de la prise de décision individuelle automatisée et de restriction de ses cas d’usage. Ce faisant, la Cour de justice anticipe sur une réglementation des services d’aide à la décision par le règlement sur l’intelligence artificielle.

L’extension du domaine de la prise de décision individuelle automatisée

5. L’article 22 du RGPD dispose que « La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ». La Cour de justice en déduit naturellement trois conditions d’applicabilité sur lesquelles le cas d’espèce ne permet de lever toutes les zones d’ombres quoiqu’il soit le terreau d’une interprétation déjà très fertile.

6. La première condition tient à l’existence d’une « décision », laquelle n’avait pas fait l’objet de précisions utiles par le groupe « article 29 »¹⁰. Malgré la richesse de l’article 4 du RGPD, cette notion n’y est pas définie. Le libellé de l’article 22 du RGPD n’en donne pas moins des éléments éclairants : il s’agit d’un acte qui produit des effets juridiques concernant la personne en cause ou qui affecte celle-ci de manière significative de façon similaire. Sans en donner de critère¹¹, la Cour en retient une acception très compréhensive¹², forte des exemples donnés dans les motifs du droit dérivé¹³ : rejet automatique d’une demande de crédit en ligne ; pratique de recrutement en ligne sans aucune intervention humaine. La Cour de justice le reconnaît, la notion de décision « est suffisamment large pour englober le résultat du calcul de la solvabilité d’une personne sous la forme d’une valeur de probabilité concernant la capacité de cette personne à honorer des engagements de paiement à l’avenir »¹⁴. L’absence de véritable choix, de conclusion définitive ou de résolution d’une question douteuse par l’établissement d’une probabilité ne sont pas de nature à écarter la qualification discutée.

7. Les véritables arguments d’une telle acception ne ressortent pas de la lettre du texte, trop silencieuse, mais de son objectif : la protection effective contre la prise de décision individuelle automatisée. La Cour en argue pour justifier qu’elle ne pouvait retenir une interprétation qu’elle qualifie de « restrictive » – lecture orientée – en qualifiant l’établissement de la valeur de probabilité d’acte préparatoire¹⁵. Un meilleur argument est pris de ce que, à défaut de qualification de décision, la personne concernée ne pourrait faire valoir son droit d’être informée de la logique sous-jacente au traitement ainsi que de l’importance et des conséquences prévues de ce traitement pour la personne concernée¹⁶. À défaut, la personne concernée serait privée de la possibilité de comprendre les tenants de la décision prise par un tiers qui lui-même, de façon générale, ignore les ressorts du traitement prédictif qu’il a sous-traité.

8. La deuxième condition tient à ce que la décision est « fondée exclusivement sur un traitement automatisé, y compris le profilage ». C’est sur ce point que la portée de l’arrêt commenté est moindre. Le traitement en cause répond sans difficulté à la définition du profilage dès lors qu’il consiste à évaluer la capacité de la personne concernée à honorer ses engagements financiers au moyen d’un traitement automatisé¹⁷. Toutefois, l’arrêt confirme, tout particulièrement à raison de l’acception large de la notion de décision, la confusion partielle qui s’opère avec la notion de profilage¹⁸, et l’importance rétrospective de la première.

9. La...