Décision automatisée: faut-il fournir l’algorithme et risquer de dévoiler un secret d’affaire ?

Dans le cas d’une évaluation de crédit automatisée, la personne concernée a le droit qu’on lui explique comment la décision a été prise à son égard. L’explication fournie doit lui permettre de comprendre et de contester la décision automatisée. La loi ne peut pas interdire la transmission de cette information au nom du secret d’affaires,…

Dans le cas d’une évaluation de crédit automatisée, la personne concernée a le droit qu’on lui explique comment la décision a été prise à son égard. L’explication fournie doit lui permettre de comprendre et de contester la décision automatisée. La loi ne peut pas interdire la transmission de cette information au nom du secret d’affaires, mais il faut néanmoins maintenir un équilibre avec les droits légitimes du responsable de traitement à protéger son investissement, grâce à une pondération réalisée par l’autorité de contrôle ou à la juridiction compétentes à qui il appartient de déterminer l’étendue du droit d’accès auxdites informations de la personne concernée.

Au fil du temps, la problématique des décisions entièrement automatisées (DEA) révèle toute sa complexité, et ce n’est pas près de s’arrêter vu les développements attendus en matière d’IA.

Dans Schufa, la Cour avait tenté (très imparfaitement à notre estime) de cerner la portée de la DEA.

Dans Dun & Bradstreet, elle se penche plus précisément sur l’interaction entre l’article 22 (interdiction des DEA sauf exception) et l’article 15 (droit d’accès), avec un enjeu très clair : comment la personne concernée peut-elle déterminer que la décision relève du régime des DEA et éventuellement en contester le résultat, si elle n’est pas en mesure de comprendre le mécanisme ayant mené à la décision en cause ?

Les faits

En Autriche, un opérateur de téléphonie mobile a refusé à une cliente la conclusion d’un contrat au motif qu’elle n’était pas suffisamment solvable. L’opérateur se fondait à cet égard sur une évaluation du crédit de la cliente, à laquelle avait procédé par voie automatisée Dun & Bradstreet Austria, une entreprise spécialisée dans la fourniture de telles évaluations. Le contrat aurait impliqué le paiement mensuel d’une somme de 10 euros.

Dans le cadre du litige qui s’en est suivi, une juridiction autrichienne a constaté, par décision définitive, que Dun & Bradstreet avait violé le règlement général sur la protection des données (RGPD). En effet, Dun & Bradstreet n’aurait pas fourni à la cliente « des informations utiles sur la logique sous-jacente » à la prise de décision automatisée en question. À tout le moins, cette entreprise n’aurait pas suffisamment motivé pourquoi elle n’aurait pas pu fournir ces informations.

La juridiction saisie par la cliente aux fins de l’exécution forcée de cette décision judiciaire se demande ce que Dun & Bradstreet doit concrètement faire à cet égard. Elle a dès lors demandé à la Cour de justice d’interpréter le RGPD et la directive sur la protection des secrets d’affaires.

L’arrêt de la Cour

Selon la Cour, le responsable du traitement doit décrire la procédure et les principes concrètement appliqués de telle manière que la personne concernée puisse comprendre lesquelles de ses données à caractère personnel ont été utilisées de quelle manière lors de la prise de décision automatisée.

Afin de satisfaire aux exigences de transparence et d’intelligibilité, il pourrait notamment être adéquat d’informer la personne concernée de la mesure dans laquelle une variation au niveau des données à caractère personnel prises en compte aurait conduit à un résultat différent. En revanche, la simple communication d’un algorithme ne constituerait pas une explication suffisamment concise et compréhensible.

Pour le cas où le responsable du traitement considère que les informations à fournir comportent des données de tiers protégées ou des secrets d’affaires, il doit communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes. Il incombe à celles-ci de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès auxdites informations de la personne concernée.

La Cour précise à cet égard que le RGPD s’oppose à l’application d’une disposition nationale qui exclut, en principe, le droit d’accès en question, lorsqu’il compromettrait un secret d’affaires du responsable du traitement ou d’un tiers.

Les conclusions de l’AG

Les conclusions de l’avocat général permettent de mieux comprendre le problème.

> Le droit d’accès

Pour l’avocat général, l’article 15, paragraphe 1, sous h), du RGPD confère à la personne concernée le droit d’accéder aux informations relatives à la logique sous-jacente d’une prise de décision automatisée, ainsi qu’à son importance et ses conséquences. Ce droit est fondamental pour assurer la transparence et permettre à l’individu d’exercer ses droits : « L’article 15, paragraphe 1, sous h), du RGPD prévoit plus particulièrement qu’une personne concernée a le droit d’être informée par le responsable du traitement de l’existence d’une prise de décision automatisée, y compris un profilage […], et, au moins en pareils cas, d’obtenir des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée » (point 43).

Le but de ce droit est d’aider la personne concernée à vérifier l’exactitude de ses données et la licéité du traitement : « De manière générale, il résulte de la jurisprudence de la Cour que le droit d’accès prévu à l’article 15 du RGPD doit permettre à la personne concernée de s’assurer que les données à caractère personnel la concernant sont exactes et qu’elles sont traitées de manière licite » (point 44).

> Le droit d’accès à l’aune des DEA : interaction entre les articles 15 et 22 du RGPD

On sait que l’article 22 interdit en principe les décisions exclusivement automatisées produisant des effets significatifs, sauf exceptions (contrat, obligation légale, consentement explicite). Tout cela est très bien mais … comment appliquer concrètement ce régime si la DEA ressemble à une boite noire fermée hermétiquement (processus entièrement automatisé) ?

Aux yeux de l’avocat général, le cadre juridique spécifique applicable aux DEA implique nécessairement de permettre aux personnes concernées de comprendre ce qui s’est passé, et non seulement s’arrêter au résultat ; il considère que l’accès aux informations sur la logique sous-jacente est crucial pour que la personne puisse contester ces décisions.

Il souligne la situation de la juridiction de renvoi qui « met l’accent sur le lien entre le droit d’accès prévu à l’article 15, paragraphe 1, sous h), dudit règlement et ces droits de la personne concernée [NDR : le responsable du traitement met en œuvre au moins le droit de la personne concernée d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la DEA] (…) » (point 49).

Pour l’avocat général, les informations fournies doivent être compréhensibles, accessibles et contextualisées. Il s’agit d’expliquer les critères et la méthode utilisés dans la décision. Il estime que « Toute information adressée à la personne concernée doit être concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples » (point 52), et que « La connaissance par la personne concernée de ce contexte doit lui permettre de comprendre le résultat auquel la décision automatisée est parvenue, par une connaissance des éléments essentiels de la méthode et des critères mis en œuvre » (point 64).

« Ainsi définies, des “informations utiles concernant la logique sous-jacente” à une prise de décision automatisée devraient notamment décrire la méthode utilisée et les critères pris en compte ainsi que leur pondération » (point 76).

> Le problème des algorithmes

L’algorithme pose une question particulière. D’un côté, on pourrait se dire qu’il serait simple pour le responsable de traitement de fournir l’algorithme, en se disant que la personne concernée ne pourra quand même rien en faire et que c’est une façon commode de respecter le droit d’accès. D’un autre côté, on pourrait se dire que l’obligation de fournir l’algorithme mettrait le responsable de traitement en situation très délicate par rapport à la protection de ses secrets d’affaires.

L’avocat général adopte une position médiane.

« Je ne pense pas que l’article 15, paragraphe 1, sous h), du RGPD doive être interprété comme faisant peser sur le responsable du traitement une obligation de divulguer à la personne concernée des informations qui, en raison de leur nature technique, présentent un degré de complexité tel qu’elles ne peuvent pas être comprises par les personnes qui ne disposent pas d’une expertise technique particulière » (point 72).

« Le RGPD exige que le responsable du traitement fournisse des informations utiles sur la logique sous-jacente, mais pas nécessairement une explication complexe des algorithmes utilisés ou la divulgation de l’algorithme complet […] Les informations fournies doivent toutefois être suffisamment complètes pour que la personne concernée comprenne les raisons de la décision » (point 74).

Cependant, le responsable ne peut prétexter la complexité pour ne pas donner d’explication : « La complexité ne peut excuser l’absence de fourniture d’informations à la personne concernée » (point 75).

> Exigences de transparence et contrôle des DEA

Les informations doivent permettre à la personne concernée de vérifier l’exactitude des données, la cohérence des critères utilisés et l’existence d’un lien logique entre ces critères et le résultat.

L’avocat général estime que du point de vue de la personne concernée, « Il doit ainsi lui être possible de s’assurer qu’il existe une cohérence et un lien de causalité objectivement vérifiables entre, d’une part, la méthode et les critères utilisés et, d’autre part, le résultat auquel est parvenue la décision automatisée » (point 68). Pour l’AG, « Cela suppose, en premier lieu, que cette personne puisse obtenir des informations concises, aisément accessibles, faciles à comprendre et formulées en des termes clairs et simples sur la méthode et les critères utilisés en vue de cette décision » (point 71).

> Limites et équilibre avec d’autres droits

La transparence doit être conciliée avec :

  • Le secret des affaires : pas d’obligation de divulguer l’algorithme en détail.
  • La protection des tiers : pas de communication des données personnelles d’autrui.

Sur cette question, l’avocat général considère que c’est dans la nécessité de fournir des explications lisibles et compréhensibles bien plus qu’une réponse technique illisible pour un quidam, que se situe la protection des intérêts légitimes du responsable de traitement : « En effet, dans la mesure où, selon moi, cette notion ne devrait pas s’étendre à des informations de nature technique, telles qu’un algorithme, qu’une personne concernée n’est pas en mesure de comprendre sans disposer d’une expertise particulière, le droit d’accès qui est garanti par ladite disposition ne devrait pas conduire, dans la plupart des cas, à porter atteinte au secret d’affaires dont peut légitimement se prévaloir le responsable du traitement » (point 80).

Sur cette question précise, l’arrêt de la Cour est plus tranché :

  • Le RGPD s’oppose à l’application d’une disposition nationale qui exclut, en principe, le droit d’accès en question, lorsqu’il compromettrait un secret d’affaires du responsable du traitement ou d’un tiers.
  • Pour le cas où le responsable du traitement considère que les informations à fournir comportent des données de tiers protégées ou des secrets d’affaires, il doit communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes. Il incombe à celles-ci de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès auxdites informations de la personne concernée.

Plus d’infos

L’arrêt rendu par la Cour, et les conclusions de l’AG, sont joints.

Mots clés

Articles recommandés

Les 30 commandements du fisc

MASP : procédure en vrac - exportation - mise à jour

Paiement du droit d’accise spécial complémentaire: quand et comment payer?