- Administratif
- Toute la matière
- > Bien
- > Collectivité territoriale
- > Contrat et marché
- > Droit fondamental et liberté publique
- > Election
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Institution administrative
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Famille - Personne
- > Mariage - Divorce - Couple
- > Procédure civile
- > Profession juridique et judiciaire
- > Responsabilité
- > Société et association
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Etrangers
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Temps de travail
- > Travailleurs handicapés
- Avocat
Article
Haro de la Cour de justice sur les services d’aide à la décision !
Haro de la Cour de justice sur les services d’aide à la décision !
L’établissement automatisé, par une société fournissant des informations commerciales, d’une valeur de probabilité fondée sur des données à caractère personnel relatives à une personne et concernant la capacité de celle-ci à honorer des engagements de paiement à l’avenir constitue une « décision individuelle automatisée », au sens de l’article 22, § 1er, du règlement général sur la protection des données (RGPD), lorsque dépend de manière déterminante de cette valeur de probabilité le fait qu’une tierce partie, à laquelle ladite valeur de probabilité est communiquée, établisse, exécute ou mette fin à une relation contractuelle avec cette personne.
1. Parmi les quatre riches arrêts de la Cour de justice rendus au cours de la semaine du 4 décembre 2023, ce n’est pas l’un de ceux rendus en grande chambre1 que nous souhaitons mettre en lumière. Il faut leur préférer le charme discret d’un arrêt de la première chambre qui fait écho aux discussions les plus actuelles2, en particulier sur l’intelligence artificielle. Les débats publics3 comme doctrinaux4 ont bien mis en lumière les craintes relatives à la prise de décision algorithmique, que ce soit dans le secteur public ou privé. Que chacun se rassure, le RGPD garantit d’ores et déjà un niveau de protection élevé, fondé sur une interdiction de principe, pour autant que soit en cause un traitement de données à caractère personnel. Et la Cour de justice s’affirme, une fois encore, en gardienne des droits et libertés individuels en veillant à n’admettre que restrictivement les prises de décision individuelle automatisée.
2. Au cas d’espèce, le responsable de traitement est une société de droit allemand. Elle a notamment pour activité d’établir la probabilité d’un comportement futur des personnes (scoring), en l’occurrence leur capacité à honorer leurs engagements de paiement à l’avenir, en se fondant sur des données à caractère personnel. La personne concernée est un consommateur auquel a été refusé l’octroi d’un prêt par un tiers aux opérations de traitement susdécrites, sur le fondement de la probabilité établie par le responsable de traitement. Elle n’a obtenu de ce dernier que des informations relatives au niveau de son score et les grandes lignes du calcul de ce dernier. C’est en vain qu’elle a demandé au Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Commissaire à la protection des données et à la liberté de l’information pour le Land de Hesse, Allemagne) d’enjoindre au responsable de traitement de satisfaire à sa demande d’accès5 et d’effacement6. Par conséquent, la personne concernée a saisi le Tribunal administratif de Wiesbaden d’un recours7, lequel est à l’origine de deux questions préjudicielles relatives à l’article 22 du RGPD, intitulé « Décision individuelle automatisée, y compris le profilage ».
3. Nous ne nous attarderons pas sur les débats relatifs à la recevabilité de la question préjudicielle, quoiqu’ils soient l’écho de questions légitimes sur le contrôle de « pleine compétence »8 confié au juge du recours contre les décisions d’une autorité de contrôle. Un autre arrêt rendu le même jour, dans une affaire impliquant le même responsable de traitement, comprend des éléments plus complets sur ce point9.
4. En revanche, l’arrêt commenté retient toute notre attention à raison de la charge qu’il sonne contre les traitements à l’origine d’une prise de décision individuelle automatisée. Elle procède d’un double mouvement d’extension du domaine de l’interdiction de la prise de décision individuelle automatisée et de restriction de ses cas d’usage. Ce faisant, la Cour de justice anticipe sur une réglementation des services d’aide à la décision par le règlement sur l’intelligence artificielle.
L’extension du domaine de la prise de décision individuelle automatisée
5. L’article 22 du RGPD dispose que « La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ». La Cour de justice en déduit naturellement trois conditions d’applicabilité sur lesquelles le cas d’espèce ne permet de lever toutes les zones d’ombres quoiqu’il soit le terreau d’une interprétation déjà très fertile.
6. La première condition tient à l’existence d’une « décision », laquelle n’avait pas fait l’objet de précisions utiles par le groupe « article 29 »10. Malgré la richesse de l’article 4 du RGPD, cette notion n’y est pas définie. Le libellé de l’article 22 du RGPD n’en donne pas moins des éléments éclairants : il s’agit d’un acte qui produit des effets juridiques concernant la personne en cause ou qui affecte celle-ci de manière significative de façon similaire. Sans en donner de critère11, la Cour en retient une acception très compréhensive12, forte des exemples donnés dans les motifs du droit dérivé13 : rejet automatique d’une demande de crédit en ligne ; pratique de recrutement en ligne sans aucune intervention humaine. La Cour de justice le reconnaît, la notion de décision « est suffisamment large pour englober le résultat du calcul de la solvabilité d’une personne sous la forme d’une valeur de probabilité concernant la capacité de cette personne à honorer des engagements de paiement à l’avenir »14. L’absence de véritable choix, de conclusion définitive ou de résolution d’une question douteuse par l’établissement d’une probabilité ne sont pas de nature à écarter la qualification discutée.
7. Les véritables arguments d’une telle acception ne ressortent pas de la lettre du texte, trop silencieuse, mais de son objectif : la protection effective contre la prise de décision individuelle automatisée. La Cour en argue pour justifier qu’elle ne pouvait retenir une interprétation qu’elle qualifie de « restrictive » – lecture orientée – en qualifiant l’établissement de la valeur de probabilité d’acte préparatoire15. Un meilleur argument est pris de ce que, à défaut de qualification de décision, la personne concernée ne pourrait faire valoir son droit d’être informée de la logique sous-jacente au traitement ainsi que de l’importance et des conséquences prévues de ce traitement pour la personne concernée16. À défaut, la personne concernée serait privée de la possibilité de comprendre les tenants de la décision prise par un tiers qui lui-même, de façon générale, ignore les ressorts du traitement prédictif qu’il a sous-traité.
8. La deuxième condition tient à ce que la décision est « fondée exclusivement sur un traitement automatisé, y compris le profilage ». C’est sur ce point que la portée de l’arrêt commenté est moindre. Le traitement en cause répond sans difficulté à la définition du profilage dès lors qu’il consiste à évaluer la capacité de la personne concernée à honorer ses engagements financiers au moyen d’un traitement automatisé17. Toutefois, l’arrêt confirme, tout particulièrement à raison de l’acception large de la notion de décision, la confusion partielle qui s’opère avec la notion de profilage18, et l’importance rétrospective de la première.
9. La...
Sur le même thème
-
Premier bilan très positif pour la Juridiction unifiée du brevet
-
Brevet européen à effet unitaire, un an après : « un grand succès », selon l’OEB
-
Mandat d’arrêt européen : la priorité à la confiance mutuelle supposant la remise au détriment des droits fondamentaux
-
L’incrimination d’achat d’acte sexuel n’est pas contraire à l’article 8 de la Convention européenne des droits de l’homme… pour le moment
-
Chronique de jurisprudence de la CEDH : du refus au malade incurable d’une aide médicale à mourir
-
La protection conventionnelle de la présomption d’innocence empêche la seule insinuation de l’engagement d’une responsabilité pénale
-
La CEDH donne raison à Carole Delga
-
Interruption estivale
-
Déplacement illicite d’enfant : des précisions sur la notion de demande de retour
-
Autorité de la chose jugée d’une décision rendue dans un État membre : inapplication de la règle de concentration des moyens
Sur la boutique Dalloz
Code de la protection des données personnelles 2024, annoté et commenté
11/2023 -
6e édition
Auteur(s) : Collectif