Le RGPD prévaut sur le secret des affaires, selon la CJUE

Dans le contexte du RGPD, qu'est-ce, au juste, que des "informations utiles" ? La CJUE a eu à en juger dans le cadre d'un litige relatif à une prise de décision automatisée.

Par cette décision, une citoyenne autrichienne s'était vu refuser la possibilité de conclure ou de prolonger un contrat de téléphonie mobile. Motif : sur la foi d'une évaluation de son crédit (par voie automatisée, donc), elle ne présentait pas une solvabilité financière suffisante.

L'intéressée avait saisi la CNIL autrichienne. Elle avait ainsi obtenu que l'entreprise à l'origine de ce scoring lui communique des informations sur la logique sous-jacente.

Cette entreprise considérait qu'en raison d'un secret d'affaires protégé, elle n'avait pas à communiquer davantage d'informations que celles déjà fournies. Elle avait donc formé un recours devant le Tribunal administratif fédéral.

La juridiction avait estimé que l'entreprise devait fournir davantage d'explications pour permettre à la personne concernée de comprendre comment avait été établi le score. On l'avait, en l'occurrence, simplement informée que des données sociodémographiques avaient été "agrégées de manière équivalente".

Chargée d'exécuter la décision, l'administration municipale de la ville de Vienne s'y était refusée. Elle aussi considérait que les informations fournies étaient suffisantes.

La personne concernée avait, en conséquence, déposé un recours devant le tribunal administratif de Vienne. Qui avait imposé à l'entreprise de fournir les éléments suivants :

• Données personnelles traitées dans le cadre de la constitution d'un "facteur" (date de naissance, adresse, sexe...)
• Formule mathématique à la base du calcul du score
• Valeur concrète attribuée à la personne pour chacun des facteurs concernés
• Précision des intervalles à l'intérieur desquels la même valeur est attribuée à différentes données pour le même facteur

L'entreprise fut aussi invitée à fournir une liste de scores attribués à d'autres personnes sur le fondement de la même règle de calcul, sur une période d'un an (les 6 mois avant précédé l'établissement de celui de la plaignante et les 6 mois suivants).

Entre secret d'affaires et RGPD, ce que dit le droit

D'après le tribunal administratif de Vienne, plusieurs indices montraient que les informations fournies étaient contraires aux faits : alors que le score attestait d'une très bonne solvabilité, le profilage réel aurait abouti au constat d'une non-solvabilité. Aussi s'est-il demandé si le RGPD garantissait à la personne concernée de pouvoir vérifier l'exactitude des informations communiquées par le responsable de traitement.

Cette question fut soumise à la CJUE, comme plusieurs autres. Il s'agissait principalement d'interpréter :

• L'article 15, paragraphe 1, sous h) du RGPD
• L'article 22 du RGPD
• L'article 2, paragraphe 1 de la directive 2016/943 sur la protection du secret d'affaires

L'article 15, paragraphe 1, sous h) du RGPD donne aux personnes concernées par un traitement de leurs données personnelles le droit de connaître l'existence d'une prise de décision automatisée - y compris un profilage, comme dans le cas présent. Et, au moins, de se voir fournir des "informations utiles concernant la logique sous-jacente".

L'article 22 du RGPD donne le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé s'il produit des effets juridiques sur la personne concernée ou s'il l'affecte "de manière significative de façon similaire". Trois exceptions sont toutefois posées :

• Traitement nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable de traitement
  
  
• Traitement fondé sur le consentement explicite de la personne concernée
  
  
• Traitement autorisé par le droit de l'UE ou de l'État membre auquel le responsable du traitement est soumis, sous réserve que ledit droit prévoie des mesures de sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée

Dans les deux premiers cas, le responsable du traitement doit mettre en oeuvre des mesures appropriées pour sauvegarder ces mêmes garanties. Cela inclut au moins le droit, pour la personne concernée, d'obtenir une intervention humaine, d'exprimer son point de vue et de contester la décision.

L'article 2, point 1 de la directive 2016/943 définit le secret d'affaires comme des informations qui :

• Sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l'assemblage exacts de leurs éléments, elles ne sont généralement pas connues des personnes appartenant aux milieux qui s'occupent normalement du genre d'informations en question, ou ne leur sont pas aisément accessibles
  
  
• Ont une valeur commerciale parce qu'elles sont secrètes
  
  
• Ont fait l'objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes

Quant au droit autrichien (article 4, paragraphe 6 du Datenschutzgesetz, équivalent de notre loi informatique et libertés), il exclut, en principe, l'accès de la personne concernée à des données personnelles lorsque cet accès porte préjudice à un secret commercial ou industriel du responsable du traitement ou d'un tiers.

Aux juridictions d'évaluer le secret d'affaires, estime la CJUE

Dans ses questions à la CJUE, le tribunal administratif de Vienne avait envisagé une solution pour résoudre le conflit entre le droit d'accès garanti par le RGPD et le droit à la non-divulgation d'un secret d'affaires. Nommément, ne communiquer les informations concernées qu'à l'autorité ou à la juridiction saisie, afin qu'elle considère si elles relèvent effectivement du secret d'affaires (et si elles correspondent aux faits).

La CJUE a validé cette option. Elle s'en est, pour cela, référée à la jurisprudence selon laquelle une juridiction nationale peut estimer que des données personnelles des parties ou de tiers doivent lui être communiquées afin de pouvoir pondérer les intérêts en présence.

Cette jurisprudence est "pleinement transposable" au cas présent, comme l'avait estimé l'avocat général. Quant au Datenschutzgesetz, il ne s'y oppose pas, au regard de la nécessité d'une détermination au cas par cas. Un État membre ne saurait effectivement prescrire de manière définitive le résultat d'une pondération au cas par cas des droits et des intérêts en cause imposée par le droit de l'Union, rappelle à ce propos la CJUE.

Dans le cas d'une prise de décision automatisée, que considérer comme des "informations utiles" ?

Le tribunal administratif de Vienne cherchait aussi à savoir, entre autres, à quelles exigences matérielles les informations fournies doivent répondre pour être considérées comme suffisamment "utiles". Doivent-elles donner à la personne concernée la possibilité d'exercer de manière effective son droit de contestation des décisions automatisées ? Doivent-elles être assez circonstanciées pour lui permettre de constater si elles correspondent bien aux faits ? Dans le cas d'un profilage, doivent-elles s'accompagner d'informations essentielles destinées à rendre intelligible le résultat de la décision automatisée ?...

La notion d'informations utiles varie selon les versions linguistiques du RGPD. Certaines privilégient la "fonctionnalité" (France, Pays-Bas, Portugal) ou la "pertinence" (Roumanie). D'autres insistent sur l'"importance" (Espagne, Pologne). En langue allemande comme en anglais, le terme peut être compris aussi bien comme faisant référence à la bonne intelligibilité des informations que comme se rapportant à une certaine qualité.

Dans ce contexte, la CJUE a fait le choix d'une acception large allant dans le sens d'une "complémentarité des significations". Elle a fait de même pour la notion de "logique sous-jacente". Et considéré que le droit d'obtenir des informations utiles concernant la logique sous-jacente à une prise de décision automatisée devait être compris comme "un droit à l'explication de la procédure et des principes concrètement appliqués" de sorte que la personne concernée peut "comprendre lesquelles de ses données personnelles ont été utilisées de quelle manière". Autrement dit, la simple communication d'une formule mathématique complexe tel un algorithme ne saurait suffire. Idem pour la description détaillée de toutes les étapes d'une prise de décision automatisée.

La personne concernée a le droit de pouvoir s'assurer de l'exactitude de ces données, précise la CJUE. Pour un profilage, ajoute-t-elle, il serait acceptable d'informer de la mesure dans laquelle une variation au niveau des données personnelles prises en compte aurait conduit à un résultat différent.

Illustration © mixmagic - Adobe Stock