Consécration d’un droit à l’explicabilité du scoring bancaire

14.03.2025

En présence d’une décision individuelle automatisée, les informations utiles concernant la logique sous-jacente du traitement s’entendent comme un droit à l’explication de la procédure et des principes concrètement appliqués sur les données personnelles de la personne concernée aux fins d’en obtenir un résultat déterminé. Ces explications doivent être suffisamment intelligibles pour permettre à la personne concernée d’exercer ses droits, notamment celui de contester la décision.

L’information sur le fonctionnement d’un système d’intelligence artificielle, et plus généralement de tout traitement automatisé, suscite des questions relatives à son degré de précision. Du point de vue des intérêts du responsable du traitement, la protection garantie par le secret des affaires – seule alternative satisfaisante de protection – risque d’être mise à mal en cas de divulgation intégrale. Du point de vue de la personne qui fait l’objet d’une décision automatisée, une divulgation intégrale respecterait pleinement le principe de transparence sans toutefois garantir une compréhension du processus décisionnel.

Cette balance d’intérêts s’observe en présence d’une décision fondée exclusivement sur un traitement automatisé, y compris un profilage, produisant des effets juridiques sur une personne concernée, qui dispose d’un régime spécial au sein du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD). Quelques mois après l’importante décision Schufa qui précisait notamment son champ d’application (CJUE 7 déc. 2023, aff. C-634/21, Dalloz actualité, 12 déc. 2023, obs. L. Pailler ; D. 2024. 1000 , note T. Douville ; Dalloz IP/IT 2024. 362, obs. C. Galichet ; RTD com. 2024. 342, obs. E. Netter ; CCE 2024. Étude 3, obs. L. Huttner), la Cour de justice de l’Union européenne s’est de nouveau prononcée, précisant le degré d’information auquel a droit la personne concernée lors de l’exercice de son droit d’accès.

En l’espèce, la Cour était saisie d’une question préjudicielle à l’occasion d’un litige opposant un éditeur de logiciel d’évaluation de crédit (scoring bancaire) et une personne s’étant vu refuser la conclusion d’un contrat de téléphonie mobile au motif que le résultat du scoring présentait une solvabilité financière insuffisante. Le tribunal administratif avait enjoint l’éditeur du logiciel de fournir à la personne des informations supplémentaires sur son score, sur le fondement de l’article 15, § 1, h), du RGPD relatif au droit d’accès à des informations utiles concernant la logique sous-jacente à la prise de décision automatisée. Toutefois, la demande d’exécution forcée de la décision a été rejetée au motif que l’éditeur du logiciel aurait satisfait à ses obligations, même en l’absence de fourniture d’informations supplémentaires.

Saisie d’un recours à l’encontre de cette décision de rejet, la juridiction de renvoi a estimé, d’une part, que seul un expert était en mesure d’évaluer ces informations, incluant les données traitées, la formule mathématique, la valeur attribuée à chaque facteur ainsi que l’échelle d’intervalle. D’autre part, l’éditeur du logiciel devrait également fournir une liste de scores de personnes ayant fait l’objet d’une évaluation six mois avant et après celle de la personne concernée. En l’espèce, il apparaissait que le score attestait d’une bonne solvabilité de la personne, contrairement à ce que prétendaient l’éditeur du logiciel et l’opérateur de téléphonique mobile.

Ainsi, la juridiction de renvoi s’est-elle notamment demandée si l’article 15, § 1, h), du RGPD précité incluait le droit de pouvoir vérifier l’exactitude des informations communiquées par le responsable du traitement et si le responsable du traitement pouvait opposer le secret d’affaires à une demande d’exercice du droit d’accès.

Interprétant la notion « d’informations utiles concernant la logique sous-jacente », la Cour de justice considère que le responsable du traitement doit expliquer « au moyen d’informations pertinentes et d’une façon concise, transparente, compréhensible et aisément accessible, la procédure et les principes concrètement appliqués pour exploiter, par la voie automatisée, les données à caractère personnel relatives à cette personne aux fins d’en obtenir un résultat déterminé, tel un profil de solvabilité ». Si cette communication inclut une information protégée par le secret d’affaires, « ce responsable est tenu de communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès de la personne ». Nous suivrons naturellement le plan de la Cour après avoir abordé, à titre liminaire, le champ d’application du scoring bancaire.

Rappel : le scoring bancaire est un profilage

La décision de la Cour de justice lève définitivement le doute sur l’application du régime de la prise de décision automatisée au scoring bancaire ; question déjà traitée préalablement lors de l’arrêt Schufa précité, portant sur l’établissement d’une note de solvabilité en fonction d’une estimation comportementale fondée sur des informations commerciales.

En premier lieu, l’arrêt Schufa considérait que le scoring était une « décision » au sens de l’article 22, § 1, du RGPD. Se fondant sur le considérant 71 du RGPD, lequel énonce que la décision « peut comprendre une mesure, impliquant l’évaluation de certains aspects personnels », la Cour adoptait une conception extensive de la notion. Les motifs de la Cour se contentaient d’affirmer que cette notion « est suffisamment large pour englober le résultat du calcul de solvabilité d’une personne sous la forme d’une valeur de probabilité concernant la capacité de cette personne à honorer des engagements de paiement à l’avenir » (pt 46). Cette absence d’argumentation se justifie probablement par la lettre du considérant 71 qui évoque, parmi les décisions, celles « visant à évaluer les aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant […] sa fiabilité », ce qui correspond au scoring.

En second lieu, la Cour analysait la notion de décision « fondée exclusivement sur un traitement automatisé, y compris le profilage » (RGPD, art. 22, § 1). En l’espèce, seule la notion de profilage était mobilisée (pt 47), nous privant ainsi de l’interprétation du reste de la définition (regrettant ce choix, L. Huttner, Décisions automatisées : le réveil d’un géant endormi ?, CCE 2024. Étude 3, spéc. pt 9). La solution s’explique par la définition même du profilage, consistant à utiliser des données personnelles « pour évaluer certains aspects personnels relatifs à une personne physique », y incluant « la fiabilité » de la personne (RGPD, art. 4, 4).

Lors de l’arrêt Dun & Bradstreet présentement commenté, la Cour confirme sa position. Sans s’essayer à l’exercice de qualification – car ce n’était pas l’objet de la question préjudicielle –, la Cour se contente d’affirmer que la décision en cause constitue un profilage (pt 62).

Consécration : le droit à l’explicabilité d’une décision automatisée

Le cœur de la décision repose sur l’interprétation du droit spécial de l’information en présence d’une décision automatisée. Le responsable du traitement est ainsi tenu de fournir à la personne concernée « des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée » en cas d’exercice du droit d’accès de la personne concernée (RGPD, art. 15, § 1, h).

Selon la Cour, ces obligations impliquent que le responsable du traitement « explique, au moyen d’informations pertinentes et d’une façon concise, transparente, compréhensible et aisément accessible, la procédure et les principes concrètement appliqués pour exploiter, par la voie automatisée, les données à caractère personnel relatives à cette personne aux fins d’en obtenir un résultat déterminé, tel un profil de solvabilité » (pt 66).

Le raisonnement de la Cour suit trois temps :

un exercice de légistique (pts 40 à 43) ;
une appréciation contextuelle (pts 44 à 50) ;
une prise en compte des objectifs du RGPD (pts 51 à 65).

Premièrement, afin de comprendre la substance de la notion « d’informations utiles concernant la logique sous-jacente », la Cour analyse les différentes traductions du RGPD, constatant « la diversité d’acceptions retenues » qui doit donc s’entendre comme « une complémentarité des significations » (pt 41). Il en résulte que l’utilité est synonyme de « pertinence » et que la logique sous-jacente « vise toute information pertinente relative à la procédure et aux principes d’exploitation, par la voie automatisée, de données à caractère personnel aux fins d’en obtenir un résultat déterminé » (pt 43).

Deuxièmement, l’interprétation de l’article 15, § 1, h), doit tenir compte de l’existence d’autres informations obtenues au titre du droit d’accès (RGPD, art. 15, § 1), du fait qu’il forme un ensemble avec les obligations spéciales d’information (RGPD, art. 13, § 2, f et 14, § 2, g) et du fait que le responsable du traitement doit également fournir une copie des données traitées lors de l’exercice du droit d’accès (RGPD, art. 15, § 3).

Troisièmement, et rappelant que le RGPD a pour finalité de renforcer les droits des personnes concernées, la Cour expose que l’objectif du droit d’accès est de permettre à la personne, d’une part, de vérifier les principes de licéité et d’exactitude des données (pt 53) et, d’autre part, d’exercer ses droits, y incluant le droit de contester la décision automatisée (pts 54 et 55). Si, poursuit la Cour, la personne n’est pas en mesure de comprendre les informations relatives à la logique sous-jacente du traitement, il serait impossible de satisfaire aux objectifs précités (pt 56). Par conséquent, l’article 15, § 1, h), du RGPD « offre à la personne concernée un véritable droit à l’explication sur le fonctionnement du mécanisme qui sous-tend une prise de décision automatisée dont cette personne a fait l’objet et sur le résultat auquel cette décision a abouti » (pt 57).

L’exercice du droit d’accès aux informations concernant la logique sous-jacente du système implique évidemment la délivrance d’une information. Dès lors, le responsable du traitement doit satisfaire aux exigences de l’article 12, § 1, du RGPD imposant la délivrance d’une information « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». À la lumière de cette disposition et des Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage (Groupe de travail « Article 29 », 6 févr. 2018, n° WP251, p. 28), la Cour énonce que « ne saurait satisfaire à ces exigences ni la simple communication d’une formule mathématique complexe, telle qu’un algorithme, ni la description détaillée de toutes les étapes d’une prise de décision automatisée, dans la mesure où aucune de ces modalités ne constituerait une explication suffisamment concise et compréhensible » (pt 59). Cette précision a son importance, notamment si la décision repose sur un système d’intelligence artificielle au sens du règlement sur l’intelligence artificielle (Règl. [UE] 2024/1689 du 13 juin 2024, art. 3, 1). En effet, il serait loisible au responsable du traitement de fournir une notice d’information complexe de son système afin de satisfaire à son obligation, sans que la personne concernée ne soit en mesure de contester la décision automatisée dudit système. Grâce aux précisions apportées par la Cour, il est désormais impossible pour le responsable du traitement de se soustraire indirectement à ses obligations en mobilisant l’opacité de son système d’intelligence artificielle.

Ainsi, la Cour précise que les informations utiles concernant la logique sous-jacente doivent « décrire la procédure et les principes concrètement appliqués de telle manière que la personne concernée puisse comprendre lesquelles de ses données à caractère personnel ont été utilisées de quelle manière lors de la prise de décision automatisée en cause, sans que la complexité des opérations à réaliser dans le cadre d’une prise de décision automatisée puisse libérer le responsable de traitement de son devoir d’explication » (pt 61).

Cette interprétation suit l’évolution juridique qui frappe les systèmes d’intelligence artificielle, et plus largement les systèmes automatisés : l’information n’est désormais plus synonyme de transparence mais d’explication. Eu égard à la complexification des systèmes, il est patent que le destinataire de l’information n’a cure de leur fonctionnement intégral et précis – impliquant parfois des milliards de paramètres – contrairement à l’incidence de leurs données sur la décision. Cette logique se retrouve dans le règlement sur l’intelligence artificielle en matière de systèmes à haut risque où la conception et le développement d’un système doivent être pensés de sorte que le fonctionnement du système soit « suffisamment transparent pour permettre aux déployeurs d’interpréter les sorties […] et de les utiliser de manière appropriée » (RGPD, art. 13, § 1). Plus encore, un parallélisme avec le RGPD s’observe par la mention d’informations « concises, complètes, exactes et claires, qui soient pertinentes, accessibles et compréhensibles pour les déployeurs » (RGPD, art. 13, § 2).

En outre, ce basculement entraîne un véritable changement de paradigme. Alors qu’initialement, le droit à l’explication était réservé aux personnes en position faible – consommateur ou personne concernée –, son extension à des utilisateurs habituellement régis par le contrat les prive d’une autonomie qui peut leur être préjudiciable.

L’appréciation du degré de protection par l’information se déplace ainsi de la personne à l’objet du contrat. En matière de décision automatisée, cette évolution doit être saluée dans la mesure où la personne qui maîtrise le système bénéficie non seulement d’un avantage informationnel, mais aussi, et surtout, d’une position favorable pour se soustraire de toute responsabilité. Il lui serait en effet aisé de prétendre que le résultat d’une décision ne lui est pas imputable et que le fonctionnement du processus décisionnel lui est inconnu. Toutes formes d’attitudes déloyales peuvent ainsi en résulter ; en premier lieu le fait d’affirmer que le système a choisi la solution qui lui est favorable alors qu’elle aurait en réalité été favorable à la personne concernée.

C’est, par ailleurs, la teneur des faits de l’espèce : le contrat de téléphonie a été refusé à la personne concernée sous prétexte d’un score négatif alors qu’il apparaissait que les données de la personne auraient dû générer un score positif. À cet égard, la Cour expose que l’exercice du droit d’accès aux informations utiles concernant la logique sous-jacente permettrait de déterminer si le refus provient de la décision de l’opérateur de téléphonie mobile ou du résultat fourni par l’éditeur du logiciel de scoring (pt 64). Elle précise également que cette contradiction peut être résolue avec la combinaison de ce droit à l’information et de la vérification de l’exactitude des données (pt 63). Elle suggère enfin à la juridiction de renvoi d’enjoindre au responsable du traitement « d’informer la personne concernée de la mesure dans laquelle une variation au niveau des données à caractère personnel prises en compte aurait conduit à un résultat différent » (pt 62).

Tempérament : la divulgation de secrets d’affaires encadrée

Si la meilleure manière de protéger les secrets de son système reste encore de ne pas en divulguer le fonctionnement, la solution apportée par la Cour emporte des obligations très défavorables pour le responsable du traitement. Une balance d’intérêts doit donc être mobilisée afin de préserver les intérêts en présence. En effet, rappelle la Cour, le droit de la protection des données « n’est pas un droit absolu et doit être mis en balance avec d’autres droits fondamentaux » (pt 68), y incluant le secret des affaires (pt 69). Ainsi, d’une part, une limitation du droit d’accès est possible (pt 70) et, d’autre part, les États membres ne peuvent pas consacrer une disposition limitant systématiquement ce droit en présence d’un secret d’affaires (pt 75).

Demeure la question épineuse de l’appréciation de cette balance d’intérêts. Eu égard au principe d’accountability, il appartient en principe au responsable du traitement de procéder à cet exercice. Toutefois, il est évident que certains acteurs céderaient à la tentation de favoriser le secret d’affaires sans réelle justification. Or, et malgré la hausse significative de plaintes depuis l’entrée en vigueur du RGPD, la procédure reste susceptible de décourager les personnes concernées et ainsi laisser le responsable du traitement agir en toute impunité.

Se fondant sur l’arrêt Norra Stockholm Bygg (CJUE 2 mars 2023, aff. C-268/21, pt 58, D. 2023. 503 ; Dalloz IP/IT 2023. 142, obs. M. Triboulet ), la Cour rappelle que les informations prétendument protégées par le secret d’affaires « doivent être communiquées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès de la personne concernée aux données à caractère personnel la concernant » (pt 74). Bien que cette confirmation jurisprudentielle témoigne d’un recul du principe d’accountability au profit, notamment des autorités de contrôle, la solution reste équilibrée. La Cour fait ainsi le choix de la prévention en privilégiant les intérêts de la personne concernée sans toutefois lui accorder de droit absolu.

CJUE 27 févr. 2025, Dun & Bradstreet Austria, aff. C-203/22