Le 27 février 2025, le CJUE a rendu à un jugement important sur l’interprétation de Article 15 (1) h) et l’article 22 du règlement (UE) 2016/679 sur la protection générale des données (RGPD) C-203/22 CK Magistrate de la ville de Vienne contre Dun & Bradstreet Austria GmbH.
Les faits
L’opérateur de téléphonie mobile a refusé la demande de CK de conclure ou d’étendre le contrat de téléphone mobile pour un paiement mensuel de seulement 10. Le refus a été justifié de ne pas passer de chèque de solvabilité auprès de l’agence de référence de crédit D&B, qui a effectué une évaluation automatisée. Sans surprise, CK n’était pas satisfait de la décision; Son pointage de crédit était bon. Elle a porté l’affaire à l’Autriche Data Protection Authority et, avec cela, a commencé un long chemin vers la référence préliminaire, en passant par diverses voies de protection.
Le tribunal référent a sauvé plusieurs questions que le CJUE a regroupées en deux questions essentielles:
La première question
Doit l’article 15, paragraphe 1, h) être interprété comme signifiant que, dans le cas de la prise de décision automatisée, y compris le profilage, au sens de l’article 22 (1), la personne concernée peut exiger que le contrôleur fournisse, « des informations significatives sur la logique impliquée « dans la prise de décision, ce qui signifierait l’explication ex-house de la procédure et des principes réellement appliqués dans l’utilisation des données personnelles pour obtenir un résultat spécifique, dans ce cas, une étude de crédibilité.
Selon l’article 15 (h), la personne concernée a le droit d’obtenir à partir de la confirmation du contrôleur quant à savoir si les données Hristher sont traitées, les informations sur l’utilisation de la prise de décision automatisée le cas échéant, y compris le profil Des informations significatives sur la logique impliquéeainsi que le Signification et les conséquences envisagées d’un tel traitement pour la personne concernée.
L’article 22 prévoit que les données de données ont le droit de ne pas être soumise à une décision basée uniquement sur le traitement automatisé, y compris le profilage, et que certaines données enrôlées à l’article 9 (1) du RGPD telles que l’origine raciale ou ethnique, les LIefs religieux ne peuvent pas être pris en compte dans le traitement des données.
Le profilage, dans ce contexte, signifie le traitement automatisé des données personnelles, consistant à utiliser des données personnelles pour analyser ou prédire la situation économique du consommateur.
Dans son analyse, la première gymnastique du CJUE à une interprétation littérale du libellé de l’article 15 (h) et a conclu que le concept de « informations significatives » en vertu de cette disposition peut être diverses significations dans différentes versions linguistiques du RGPD, qui devrait être considérée comme complémentaire à chaque oach. De plus, la «logique impliquée» dans la prise de décision automatisée, qui constitue l’objet de «informations significatives» est capable de couvrir un large éventail de «logiques» concernant l’utilisation de données personnelles et d’autres données en vue d’obtenir un résultat spécifique par des moyens automatisés. Le CJeu a tenu, Que la disposition couvre toutes les informations pertinentes concernant la procédure et les principes relatifs à l’utilisation, par des moyens automatisés, des données personnelles en vue d’obtenir un résultat spécifique.
Le CJUE s’est ensuite tourné vers l’analyse contextuelle du concept de «des informations significatives sur la logique impliquée», au sens de l’article 15 (h). Dans cette analyse, le CJUE a examiné les lignes directrices sur la prise de décision et le profilage individuels automatisés aux fins du règlement 2016/679 et une autre commission du RGPD fournissant des tâches d’information des contrôleurs de données. Le CJUE a conclu Ces tâches d’information sont liées à toutes les informations pertinentes qui devraient être fournies sous forme claire, concise, transparente, intelligible et facile, en utilisant un langage clair et clair
Enfin, le CJUE a examiné l’objectif de la disposition, affirmant que le but des sujets de données est le droit d’obtenir les informations prévues à l’article 15 (1) h) est de lui permettre d’exercer efficacement les droits qui lui ont été conférés par l’article 22 (3), à savoir le droit d’exprimer son point de vue et de contester la décision pertinente. Cela, à son tour, nécessite le droit d’obtenir à l’explication de la décision.
Le CJEU a ensuite conclu qu’en vertu de l’article 15, paragraphe 1, h), le droit d’obtenir des informations significatives sur la logique impliquée « dans la prise de décision automatisée doit être comprise comme un droit à l’explication de la procédure et des principes réellement appliqués pour utiliser, par des moyens automatisés, les données personnelles de la matière de données avec une vue pour obtenir un résultat spécifique, la recherche comme profil de crédit. Afin de permettre aux données sous réserve d’exercer efficacement les droits qui lui ont été conférés par le RGPD et en particulier, l’article 22, paragraphe 3, que l’explication doit être fournie par Meeans d’informations pertinentes sous une forme concise, transparente, intelligible et facile. A en outre fourni des conseils sur ce qui est considéré comme des «informations significatives sur la logique impliquée» dans la prise de décision automatisée. Les procédures et les principes réellement appliqués doivent être expliqués lors de la recherche d’un moyen que la matière de données puisse comprendre Laquelle de ses données personnelles a été utilisée dans la prise de décision automatisée Et le L’étendue à laquelle une variation des données personnelles prises en compte aurait conduit à des résultats différents. Les exigences de l’article 15 (h) ne peuvent pas être satisfaites
Par la simple communication d’une formule mathématique complexe, recherchez comme un algorithme, ou par la description détaillée de toutes les étapes de la prise de décision automatisée, car aucun de ceux-ci ne constituerait une explication suffisamment concise et intelligible.
Deuxième question juridique
Une autre contribution importante du présent jugement est la prise en compte de la relation entre l’article 15, paragraphe 1, h) et la directive 2016/943 sur les secrets commerciaux, étant donné que D&B a fait valoir que la logique de leur prise de décision automatisée, y compris est considérée de quelle manière, est un secret commercial et devrait donc ne pas être divulgué.
Le CJUE a souligné que la protection des données personnelles n’est pas à droite absolue. Des restrictions sont possibles de l’étendue de l’obligation et du droit prévu, entre autres, l’article 15 du RGPD, mais uniquement lors de la recherche d’une restriction concernant l’essence des droits fondamentaux et est nécessaire et proportionné à la sécurité de la protection des droits et des libertés des autres. Cependant, le résultat de toute considération sur les limites de la protection des droits personnels ne devrait pas être un refus de fournir toutes les informations à la personne concernée.
The CJEU Concluded that Article 15 (1) (H) must be interpreted as Meaning that, where the controller Takes the view that information to be proved to the data subject is a Trade Secrets, Within the Meaning of Point 2 of Directive 2016/943, that controller is request to provide The allegedly Protected Information to the Competent Supervisory Authority Or Court, which must balance the rights and interests at issue with a view to determining the extent of the data subject’s right of access provided for à l’article 15 du RGPD.
Notre analyse
Cette décision est importante pour résoudre le problème de longue date de la laque de la transparence dans la prise de décision automatisée par les agences de référence de crédit, pour importer des problèmes dans l’UE. Étant donné que dans le must dans l’accès à nos rapports de crédit, nous pouvons savoir quelles données sont consultées dans leur prise de décision pour produire une cote de crédit et un rapport de crédit, cependant, les agences de référence de crédit ont refusé de disposer de la façon dont ces données traitées, de la logique derrière leur prise de décision, de quelle manière et dans quelle mesure les différentes données sont constituées (pondérées) dans leur prise de décision. Bien que sur la base de cette décision, les consommateurs n’ont toujours pas le droit de saisir directement ces informations, mais une première étape a été prise en exigeant la divulgation à l’autorité pertinente qui prend une décision sur ce qui le divulgue ou non au consommateur, équilibrant les droits et les intérêts des deux parties. Ce jugement et d’autres de la CJUE (voir C-634/21 SCHUFA Holding) Peut-être progressivement apporter la transparence dans cette zone traditionnellement très transformée.
Comme les agences de référence de crédit utilisent aujourd’hui l’intelligence artificielle pour la prise de décision automatisée, le jugement est pertinent pour faire progresser la transparence des systèmes d’IA.
Enfin, étant donné que le jugement s’attaque au fonctionnement des agences de référence de crédit, qui sont fréquemment utilisées par les créanciers pour évaluer l’abordabilité des demandes de prêt, il est pertinent pour les règles de prêt responsables dans la directive 2023/2225 sur le crédit à la consommation (CCD2), ce qui, dans l’article 18, se réfère à l’évaluation de la crédibilité basée sur le traitement automatisé des données personnelles.
