Pour l’avocat général, l’établissement automatisé d’une probabilité sur la capacité d‘une personne à honorer un prêt constitue un profilage selon le RGPD, qu’il soumet ensuite au régime de la décision entièrement automatisée. Il y a beaucoup à dire sur le lien entre profilage et décision entièrement automatisée. Il faut espérer un arrêt clair et didactique sur ces notions très importantes.
Dans le cadre de son activité économique consistant à fournir à ses clients des informations concernant la solvabilité des personnes tierces, SCHUFA Holding AG (ci-après « SCHUFA »), une société de droit privé, a fourni à un établissement de crédit un score concernant le citoyen en question qui a servi de base au refus du crédit demandé par ce dernier.
Le citoyen a ensuite demandé à SCHUFA d’effacer l’enregistrement y relatif et de lui donner accès aux données correspondantes.
Cette dernière ne lui a cependant communiqué que le score pertinent et, de manière générale, les principes qui sous-tendent la méthode de calcul du score, sans l’informer des données spécifiques prises en compte dans ce calcul et de la pertinence qui leur est attribuée dans ce contexte, en faisant valoir que la méthode de calcul relève du secret des affaires.
La Cour de justice est appelée par le tribunal administratif de Wiesbaden à se prononcer sur les restrictions que le RGPD impose à l’activité économique des agences de renseignement dans le secteur financier, en particulier dans la gestion des données, ainsi que sur l’incidence à reconnaître au secret des affaires.
Dans ses conclusions, l’avocat général indique, d’abord, que le RGPD consacre un « droit » de la personne concernée de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé, y compris le profilage.
L’avocat général constate ensuite que les conditions de ce droit sont réunies puisque :
La disposition du RGPD prévoyant ce droit est donc applicable dans des circonstances telles que celles de l’affaire au principal.
L’avocat général souligne que, conformément à une autre disposition du RGPD, la personne concernée a le droit d’obtenir du responsable du traitement non seulement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées, mais aussi d’autres informations comme l’existence d’une prise de décision automatisée, y compris un profilage, des renseignements utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
Il considère que l’obligation de fournir « des informations utiles concernant la logique sous-jacente » doit être comprise en ce sens qu’elle comporte des explications suffisamment détaillées sur la méthode utilisée pour le calcul du score et les raisons qui ont conduit à un résultat déterminé. En général, le responsable du traitement devrait fournir à la personne concernée des informations générales, notamment sur les facteurs pris en considération pour le processus décisionnel et sur leur importance respective à un niveau agrégé, qui lui sont également utiles pour contester toute « décision » au sens de la disposition du RGPD consacrant le « droit » de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé, y compris le profilage.
L’avocat général conclut que cette disposition doit être interprété en ce sens que l’établissement automatisé d’une valeur de probabilité concernant la capacité de la personne concernée à honorer un prêt à l’avenir constitue déjà une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques concernant cette personne ou l’affectant de manière significative de façon similaire lorsque cette valeur, établie au moyen de données à caractère personnel relatives à ladite personne, est communiquée par le responsable du traitement à un tiers responsable du traitement et que, conformément à une pratique constante, celui-ci fonde sa décision relative à l’établissement, à l’exécution ou à la cessation d’une relation contractuelle avec cette même personne de manière déterminante sur ladite valeur.
Tout d’abord, la Cour devra clarifier la différence et le lien entre le profilage d’un côté, et la décision entièrement automatisée (DEA) de l’autre :
Le lien entre les deux notions ? L’article 22 stipule expressément que la DEA à laquelle il est fait référence, comprend le profilage : « La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, (…) ».
Il en découle une première précision, nécessaire, qu’il appartient à la Cour d’apporter : le profilage doit-il être considéré en tant que tel comme tombant sous le régime de l’article 22, ou n’y est-il soumis que (1) s’il est le résultat, dans un cas précis, d’une décision entièrement automatisée et (2) qu’il affecte significativement la personne concernée ?
L’avocat général semble pencher pour la seconde hypothèse, ce qui nous paraît correct, mais il faut espérer une plus grande clarté.
La précision est importante car l’article 22 crée un régime d’interdiction qui n’est levé que dans certains cas (dont le consentement et l’exécution du contrat, mais pas pour la poursuite d’un intérêt légitime), là où le profilage, s’il n’est pas nécessairement considéré comme une DEA, est un traitement soumis au régime général, notamment en ce qui concerne les bases de licéité (y compris, donc, l’intérêt légitime).
Par ailleurs, il faudrait profiter de l’arrêt pour mieux définir le « profilage » et, en particulier, la différence éventuelle la segmentation et le profilage ?
Dire qu’une personne est un homme, âgé de 50 ans, ayant déclaré 100.000 € de revenu l’année précédente, marié, père de 2 enfants de 12 et 17 ans, possédant un immeuble de 750.000 € payé à 50% … est-ce une segmentation (le découpage d’une cible plus vaste en sous-groupes dont les membres partagent des critères communs) ou un profilage ?
Pour qu’il y ait profilage au sens de l’article 4.4 , faut-il ou non introduire la notion de comportement probabledéduit d’autres données (l’article 4.4 parle d’évaluation, d’analyse ou de prédiction) ; dans l’affirmative où placer le curseur ?
Pour qu’il y ait profilage, faut-il atteindre un niveau de granularité spécifique (un individu, un groupe d’individus, un sous-groupe d’une population : l’article 4.4 parle d’évaluation de certains aspects personnels relatifs à « une » personne physique) ; dans l’affirmative où placer le curseur ?
En matière de crédit scoring, il n’y a pas de doute : calculer la probabilité d’une défaillance est clairement une déduction relative au comportement probable de l’emprunteur, déduite de données qui sont antérieures à l’éventuelle défaillance.
Les choses sont parfois plus nuancées. Par exemple, si un site web ou une régie affichent une publicité ou un contenu personnalisés sur la base d’une segmentation, c’est forcément qu’ils déduisent (à tort ou à raison) un intérêt du visiteur pour ce contenu, mais on perçoit toutefois une différence quant à la nature et l’ampleur de la déduction par rapport au credit scoring.
Le RGPD traite-t-il toutes ces hypothèses identiquement ? Place-t-il sur un même pied l’analyse probable d’une défaillance contractuelle d’un individu, et le fait d’afficher un contenu plus susceptible de lui plaire ?
Toutes ces questions restent ouvertes à ce jour, et il faut espérer une réponse claire.
Ensuite, la cour devra définir la « décision » : avant de se demander si celle-ci est entièrement automatisée et affecte significativement la personne concernée, il faut s’interroger sur la notion même de « décision », en particulier dans le cadre d’un profilage.
La question est particulièrement délicate dans le cadre du crédit scoring : si le processus, par hypothèse entièrement automatisé, ne fait qu’appliquer des critères de solvabilité qui ont été préalablement définis et qui ne laissent pas de place à l’appréciation, y a-t-il encore une « décision » ?
Prenons un exemple : une banque décide d’exclure purement et simplement tout crédit si le candidat est (1) un homme, (2) âgé de plus de 50 ans, et (3) fumeur. Si l’ordinateur ne fait que rejeter une demande sur ces bases préalablement définies, qui prend la décision ? La banque au moment où elle a établi sa grille d’évaluation, ou le système automatisé au moment où il l’applique ? Si c’est la première hypothèse qui prévaut, y-a-t-il une DEA ?
Poussons l’exemple plus loin : l’entrée d’un bâtiment réservée aux porteurs d’un badge d’accès valide est-il une décision au sens de l’article 22 ? Le retrait à un distributeur automatique de billet est-il une décision ? Le système décide d’ouvrir la porte ou d’autoriser le retrait, mais il ne porte pas d’appréciation sur la demande. En un mot : tout cela relève de l’automatisation, certes, mais cela suffit-il pour en faire une décision au sens de l’article 22 ?
Si la DEA a fait l’objet d’un régime spécifique, c’est notamment en raison du risque accru lié à la perte de contrôle face à des algorithmes et des systèmes d’intelligence artificielle qui prennent des décisions que l’humain ne contrôle plus, voire qu’il ne comprend pas (IA notamment). Si ce risque disparait parce que le système se limite à automatiser un processus entièrement décidé en amont par un être humain, l’application du régime spécifique se justifie-elle encore ?
Ce sont des enjeux de cette importance qui se cachent derrière la définition de la « décision ».
L’article 22 ne s’applique qu’à la décision « fondée exclusivement sur un traitement automatisé ».
Si l’on repart de l’exemple précédent et qu’on arrive à la conclusion que le système a pris une décision, la banque peut-elle échapper au régime de l’article 22 si un être humain intervient a posterori pour valider la décision (la décision n’étant alors plus fondée exclusivement sur un traitement automatisé) ? Si l’on accepte cette hypothèse, jusqu’où doit aller l’intervention a posteriori ? L’humain peut-il se limiter à vérifier que le système a pris prise en compte les 3 critères d’exclusion précités, ou faut-il qu’il dispose d’une latitude plus large ?
Enfin, dans l’hypothèse où l’on est en présence d’une DEA, il reste la question importante de la première exception, qui vise la décision « nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ».
L’exception ne s’applique-t-elle que si celui qui prend la décision est également le cocontractant de la personne concernée ?
Dans l’affaire soumise à la Cour il y a une relation triangulaire (candidat emprunteur, organisme de crédit et société de credit scoring) dans laquelle le candidat est en relation précontractuelle avec la banque pour négocier l’octroi du crédit, mais pas avec la société de credit scoring à laquelle la banque fait appel.
Si l’on veut bien admettre, pour l’hypothèse, que la vérification de la solvabilité est « nécessaire à la conclusion » du contrat entre la banque et l’emprunteur, est-ce le fait de confier cette tache à un prestataire externe qui exclut l’application de l’exception ?
Cela ne nous paraît pas être aussi évident que cela. Non seulement le texte n’est pas très précis sur cette question, mais en outre il faut injecter dans le paramètre la question de la sous-traitance éventuelle de la DEA.
Il faut aussi s’interroger sur l’efficacité du régime créé par l’article 22 s’il suffit d’internaliser cette étape au sein de la banque pour jouir (à nouveau) de l’exception. Dans la mesure où le législateur est supposé avoir voulu créer un système efficace, la meilleure manière de retrouver de la cohérence n’est-elle pas d’admettre que l’existence d’une relation triangulaire n’est pas, en tant que tel, un élément qui s’oppose à l’exception ?
Bref, sur cette question aussi il y a beaucoup à dire.
Plus d'info : En lisant les conclusions de l’AG, jointes en annexe.
Source : Droit et technologies, mars 2023