Haro de la Cour de justice sur les services d’aide à la décision !

13.12.2023

L’établissement automatisé, par une société fournissant des informations commerciales, d’une valeur de probabilité fondée sur des données à caractère personnel relatives à une personne et concernant la capacité de celle-ci à honorer des engagements de paiement à l’avenir constitue une « décision individuelle automatisée », au sens de l’article 22, § 1er, du règlement général sur la protection des données (RGPD), lorsque dépend de manière déterminante de cette valeur de probabilité le fait qu’une tierce partie, à laquelle ladite valeur de probabilité est communiquée, établisse, exécute ou mette fin à une relation contractuelle avec cette personne.

par Ludovic Pailler, Professeur agrégé de droit privé et sciences criminelles Centre de recherche sur le Droit international privé (EDIEC – EA4185), Université Jean Moulin Lyon III

1. Parmi les quatre riches arrêts de la Cour de justice rendus au cours de la semaine du 4 décembre 2023, ce n’est pas l’un de ceux rendus en grande chambre¹ que nous souhaitons mettre en lumière. Il faut leur préférer le charme discret d’un arrêt de la première chambre qui fait écho aux discussions les plus actuelles², en particulier sur l’intelligence artificielle. Les débats publics³ comme doctrinaux⁴ ont bien mis en lumière les craintes relatives à la prise de décision algorithmique, que ce soit dans le secteur public ou privé. Que chacun se rassure, le RGPD garantit d’ores et déjà un niveau de protection élevé, fondé sur une interdiction de principe, pour autant que soit en cause un traitement de données à caractère personnel. Et la Cour de justice s’affirme, une fois encore, en gardienne des droits et libertés individuels en veillant à n’admettre que restrictivement les prises de décision individuelle automatisée.

2. Au cas d’espèce, le responsable de traitement est une société de droit allemand. Elle a notamment pour activité d’établir la probabilité d’un comportement futur des personnes (scoring), en l’occurrence leur capacité à honorer leurs engagements de paiement à l’avenir, en se fondant sur des données à caractère personnel. La personne concernée est un consommateur auquel a été refusé l’octroi d’un prêt par un tiers aux opérations de traitement susdécrites, sur le fondement de la probabilité établie par le responsable de traitement. Elle n’a obtenu de ce dernier que des informations relatives au niveau de son score et les grandes lignes du calcul de ce dernier. C’est en vain qu’elle a demandé au Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Commissaire à la protection des données et à la liberté de l’information pour le Land de Hesse, Allemagne) d’enjoindre au responsable de traitement de satisfaire à sa demande d’accès⁵ et d’effacement⁶. Par conséquent, la personne concernée a saisi le Tribunal administratif de Wiesbaden d’un recours⁷, lequel est à l’origine de deux questions préjudicielles relatives à l’article 22 du RGPD, intitulé « Décision individuelle automatisée, y compris le profilage ».

3. Nous ne nous attarderons pas sur les débats relatifs à la recevabilité de la question préjudicielle, quoiqu’ils soient l’écho de questions légitimes sur le contrôle de « pleine compétence »⁸ confié au juge du recours contre les décisions d’une autorité de contrôle. Un autre arrêt rendu le même jour, dans une affaire impliquant le même responsable de traitement, comprend des éléments plus complets sur ce point⁹.

4. En revanche, l’arrêt commenté retient toute notre attention à raison de la charge qu’il sonne contre les traitements à l’origine d’une prise de décision individuelle automatisée. Elle procède d’un double mouvement d’extension du domaine de l’interdiction de la prise de décision individuelle automatisée et de restriction de ses cas d’usage. Ce faisant, la Cour de justice anticipe sur une réglementation des services d’aide à la décision par le règlement sur l’intelligence artificielle.

L’extension du domaine de la prise de décision individuelle automatisée

5. L’article 22 du RGPD dispose que « La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ». La Cour de justice en déduit naturellement trois conditions d’applicabilité sur lesquelles le cas d’espèce ne permet de lever toutes les zones d’ombres quoiqu’il soit le terreau d’une interprétation déjà très fertile.

6. La première condition tient à l’existence d’une « décision », laquelle n’avait pas fait l’objet de précisions utiles par le groupe « article 29 »¹⁰. Malgré la richesse de l’article 4 du RGPD, cette notion n’y est pas définie. Le libellé de l’article 22 du RGPD n’en donne pas moins des éléments éclairants : il s’agit d’un acte qui produit des effets juridiques concernant la personne en cause ou qui affecte celle-ci de manière significative de façon similaire. Sans en donner de critère¹¹, la Cour en retient une acception très compréhensive¹², forte des exemples donnés dans les motifs du droit dérivé¹³ : rejet automatique d’une demande de crédit en ligne ; pratique de recrutement en ligne sans aucune intervention humaine. La Cour de justice le reconnaît, la notion de décision « est suffisamment large pour englober le résultat du calcul de la solvabilité d’une personne sous la forme d’une valeur de probabilité concernant la capacité de cette personne à honorer des engagements de paiement à l’avenir »¹⁴. L’absence de véritable choix, de conclusion définitive ou de résolution d’une question douteuse par l’établissement d’une probabilité ne sont pas de nature à écarter la qualification discutée.

7. Les véritables arguments d’une telle acception ne ressortent pas de la lettre du texte, trop silencieuse, mais de son objectif : la protection effective contre la prise de décision individuelle automatisée. La Cour en argue pour justifier qu’elle ne pouvait retenir une interprétation qu’elle qualifie de « restrictive » – lecture orientée – en qualifiant l’établissement de la valeur de probabilité d’acte préparatoire¹⁵. Un meilleur argument est pris de ce que, à défaut de qualification de décision, la personne concernée ne pourrait faire valoir son droit d’être informée de la logique sous-jacente au traitement ainsi que de l’importance et des conséquences prévues de ce traitement pour la personne concernée¹⁶. À défaut, la personne concernée serait privée de la possibilité de comprendre les tenants de la décision prise par un tiers qui lui-même, de façon générale, ignore les ressorts du traitement prédictif qu’il a sous-traité.

8. La deuxième condition tient à ce que la décision est « fondée exclusivement sur un traitement automatisé, y compris le profilage ». C’est sur ce point que la portée de l’arrêt commenté est moindre. Le traitement en cause répond sans difficulté à la définition du profilage dès lors qu’il consiste à évaluer la capacité de la personne concernée à honorer ses engagements financiers au moyen d’un traitement automatisé¹⁷. Toutefois, l’arrêt confirme, tout particulièrement à raison de l’acception large de la notion de décision, la confusion partielle qui s’opère avec la notion de profilage¹⁸, et l’importance rétrospective de la première.

9. La troisième condition est relative aux « effets juridiques » de la décision en cause pour la personne concernée ou à ce qu’une décision l’affecte « de manière significative de façon similaire »¹⁹. Cette dernière expression est tout aussi fuyante par elle-même qu’opportune au cas d’espèce. L’estimation d’une probabilité de solvabilité ne saurait être une décision de nature à produire des effets juridiques, à défaut de modifier la situation juridique de la personne concernée. En revanche, « la valeur de probabilité telle que celle en cause au principal [affecte], à tout le moins, la personne concernée de manière significative » dès lors que son insuffisance entraîne, quasi systématiquement, un refus par une tierce partie d’octroyer un prêt²⁰.

L’arrêt surprend en ce qu’il assimile à des effets juridiques une probabilité susceptible de déterminer une prise de décision, nonobstant son automaticité ou l’intervention humaine, par un tiers – le refus d’octroi d’un prêt – qui ne serait pas elle-même pourvue d’effets juridiques²¹, faute d’empêcher l’exercice ou le bénéfice d’un droit antérieurement acquis à la personne concernée ou de modifier sa situation juridique²². En outre, le lien entre la probabilité établie et la décision d’un tiers pour vérifier cette deuxième condition est bien lâche, quoique la Cour évoque, plus loin dans l’arrêt commenté, une « action de la tierce partie […] guidée de manière déterminante » par la probabilité établie²³. À la lecture de l’arrêt, cette dernière condition est encore incertaine. Il suffit que l’évaluation d’une probabilité en cause ait une influence certaine, qui n’est ni véritablement qualifiée, ni véritablement quantifiée, sur la décision d’un tiers. L’avocat général Priit Pikamäe évoquait une « incidence grave »²⁴. Quoi qu’il en soit, sans doute aurait-il été difficile de statuer autrement sans priver les personnes concernées de la protection offerte par l’article 22 du RGPD.

10. Ce faisant, la Cour procède à un dépeçage de la chaîne décisionnelle, dont il n’est pas encore certain qu’il soit applicable lorsque la même personne établit une probabilité et décide ultérieurement des suites à lui donner. C’est le résultat d’un outil d’aide à la décision qui est considéré comme une décision autonome au sens de l’article 22 du RGPD. Ne sont-ce pas tous les outils d’aide à la décision, nonobstant que cette dernière soit automatisée ou entièrement déterminée par les premiers, qui sont ainsi visés dès lors qu’ils excluent, dans leur fonctionnement, toute intervention d’une analyse humaine ? Sans doute, il s’est agi d’affirmer l’encadrement ce ces outils, en toute matière, y compris judiciaire²⁵, par le RGPD. L’objectif serait d’éviter que les fournisseurs de services d’aide à la décision échappent aux obligations de l’article 22 du RGPD, notamment lorsque la décision finale implique une intervention humaine, laquelle pourrait être exclusive de l’application de ce texte. Il y aurait là un moyen commode de contourner le critère trop étroit tiré d’une décision exclusivement fondée sur un traitement automatisé. La solution jette alors une nouvelle lumière sur un certain nombre de situations pour lesquelles la CNIL a écarté l’existence d’une prise de décision automatisée au regard d’une intervention humaine ultérieure. Que l’on songe, par exemple, au signalement de comportement frauduleux résultant d’une modélisation de ces comportements par les services fiscaux²⁶, à la détection automatisée de situations susceptibles d’être considérées comme des abus de marché²⁷, au datamining de données pour déterminer les profils de dossiers présentant des risques de fraude aux allocations familiales²⁸ ou au scoring lui-même²⁹.

La lecture restrictive des règles applicables à la prise de décision individuelle automatisée

11. Contrairement à la directive « Police-Justice » qui pose un principe clair d’interdiction de la prise de décision individuelle automatisée³⁰, la lettre de l’article 22.1 du RGPD confère à la personne concernée un « droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire »³¹. Sans en faire cas, la Cour de justice confirme³² l’esprit du texte : il s’agit d’« une interdiction de principe dont la méconnaissance ne nécessite pas d’être invoquée de manière individuelle par une telle personne »³³.

Comme le souligne la Cour elle-même, cette interprétation assure la cohérence du premier paragraphe du texte avec les exceptions limitativement énumérées par l’article 22.2 du RGPD. Les droits conférés à la personne concernée lorsque ces exceptions sont mises en œuvre, et notamment les droits à une intervention humaine, d’exprimer son point de vue et de contester la décision³⁴ n’auraient aucun sens dans le cas contraire. Elle est également cohérente avec le libellé de l’article 22.4 du RGPD qui encadre la prise de décision fondée sur le traitement de catégories particulières de données en visant les décisions de l’article 22.2.

L’exigence spéciale de mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée conforte encore la solution³⁵.

12. L’ensemble garantit un niveau de protection plus élevé dans la situation considérée, en lien direct avec « les risques particuliers » pour les droits et libertés des personnes concernées³⁶ dès lors que sont en cause l’analyse ou la prédiction d’aspects personnels relatifs à la personne physique susceptibles d’emporter des effets discriminatoires potentiels. L’arrêt du même jour, impliquant le même responsable de traitement, souligne bien la gravité de l’ingérence dans les droits et libertés de la personne concernée qui en résulte³⁷. Dans d’autres situations, l’ingérence pourrait être accrue lorsque seront en cause plusieurs aspects personnels ou des aspects sensibles en eux-mêmes (l’état de santé, les origines ethniques, les opinions politiques, religieuses ou philosophiques, par ex.). Ces risques justifient pleinement l’interdiction de principe³⁸.

13. C’est encore de ces risques que découle l’interprétation restrictive des exceptions admises par l’article 22 RGPD. Elle n’est pas explicitée par la Cour. Elle ressort de l’interprétation de l’une d’elles ainsi que de rappels opportuns.

14. Parmi les trois exceptions prévues par l’article 22.2 du RGPD, la deuxième vise la prise de décision automatisée autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable de traitement est soumis³⁹ dès lors que ce droit « prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée »⁴⁰. La Cour précise ces garanties en densifiant la normativité du considérant 71 du RGPD, au point d’étendre à l’exception en cause ce que la lettre de l’article 22.3 du RGPD réserve aux deux autres⁴¹. Il s’en déduit que toute exception à l’interdiction d’une prise de décision individuelle automatisée doit répondre, d’abord, à un principe de fiabilité. Le responsable de traitement doit utiliser « des procédures mathématiques ou statistiques adéquates, [applique] les mesures techniques et organisationnelles appropriées pour faire en sorte que le risque d’erreur soit réduit au minimum et que des erreurs soient corrigées » et sécuriser le traitement de données afin de prévenir les risques pour les droits et libertés des personnes concernées, notamment discriminatoires⁴². Ensuite, toute prise de décision automatisée ouvre droit pour la personne concernée, a minima, d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision prise à son égard.

Aussi bienvenues que soient ces énonciations de la Cour de justice, il ne faut pas omettre que l’article 22 du RGPD est l’un de ceux que peuvent limiter le droit de l’Union ou le droit d’un État membre sous réserve de respecter l’essence des droits et libertés fondamentaux et de constituer une mesure nécessaire et proportionnée dans une société démocratique pour garantir l’un des objectifs exhaustivement énuméré⁴³.

15. La Cour rappelle que, la prise de décision individuelle automatisée étant un traitement, elle demeure régie par le chapitre du RGPD relatif aux principes. Il n’est pas suffisant de satisfaire aux exigences de l’article 22 du RGPD, encore faut-il, en particulier, que le traitement soit licite⁴⁴. La Cour commence par relever que les seules bases juridiques pertinentes sont celles tirées du consentement, de la nécessité du traitement pour l’exécution d’un contrat ou de mesures précontractuelles ou de la nécessité du traitement aux fins des intérêts légitimes du responsable de traitement⁴⁵. À cet égard, deux précisions fondamentales sont formulées. La première tient à ce que ces bases juridiques ne peuvent être modulées par les États membres, une telle intervention étant réservée aux seules bases juridiques de l’article 6.1, c et e, du RGPD. La seconde, dans le prolongement de la première, est que le droit des États membres, pris comme fondement de l’exception à l’article 22.1 du RGPD, ne peut figer le résultat de la pondération des droits et intérêts en cause lorsque le traitement est fondé sur les intérêts légitimes du responsable de traitement. Un tel résultat ne peut être déterminé in abstracto, ne serait-ce qu’au regard des possibilités offertes par le droit à l’effacement⁴⁶ et le droit d’opposition⁴⁷ de le remettre en cause in casu et in concreto⁴⁸. Seul le juge est à même de réaliser un tel équilibre au regard des circonstances.

16. La Cour de justice intime encore aux législateurs des États membres de ne pas s’écarter des exigences qu’elle a posées dans un arrêt du même jour mettant en cause le même responsable de traitement. Passée la surprise d’une affirmation si vigoureuse, c’est réaffirmer en creux que, s’il existe un intérêt légitime du responsable de traitement à fournir des valeurs de probabilité relatives à la solvabilité des personnes concernées, encore est-il requis que le traitement soit nécessaire à sa réalisation et que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent pas⁴⁹. L’évaluation de la solvabilité de partenaires contractuels est un intérêt légitime⁵⁰. S’agissant de la nécessité et de la proportionnalité de la fourniture d’une information relative à l’octroi d’une libération de reliquat de dette à un tiers, la Cour de justice a particulièrement relevé qu’elle « constitue une ingérence grave dans les droits fondamentaux de la personne concernée, consacrés aux articles 7 et 8 de la Charte » dès lors que « de telles données servent comme un facteur négatif lors de l’évaluation de la solvabilité de la personne concernée et constituent donc des informations sensibles sur sa vie privée » susceptibles de « compliquer sensiblement l’exercice de ses libertés, notamment lorsqu’il s’agit de couvrir des besoins de base »⁵¹. Le résultat de la mise en balance est, dès lors, des plus incertains, qui pourrait dépendre d’autres facteurs comme la durée de conservation ou les catégories de données traitées, tout comme la licéité du traitement en cause dans l’arrêt commenté.

17. En conclusion, l’arrêt commenté démontre la vigueur du droit de la protection des données, qui pose une interdiction de principe de la prise de décision individuelle automatisée, quand un tel principe est largement absent de la proposition de règlement sur l’intelligence artificielle⁵². Il ne manquera pas d’alimenter la discussion sur l’évaluation des risques engendrés pour les droits et libertés des personnes concernées dont dépend la classification et le régime des systèmes d’intelligence artificielle.

1. CJUE, gr. ch., 5 déc. 2023, Deutsche Wohnen, aff. C-807/21 et Nacionalinis visuomenės sveikatos centras, aff. C-683/21.
2. V. not., Profilage et discriminations : enquête sur les dérives de l’algorithme des caisses d’allocations familiales, Le Monde, 4 déc. 2023.
3. V. not. et déjà, dénonçant des armes de destruction mathématiques, C. O’Neil, Algorithmes. La bombe à retardement, Les arènes, 2018.
4. V. not., S. Desmoulin-Canselier et D. Le Métayer, Décider avec les algorithmes. Quelle place pour l’Homme, quelle place pour le droit ?, Dalloz, 2020.
5. RGPD, art. 15.
6. RGPD, art. 17.
7. RGPD, art. 78.1.
8. RGPD, consid. 143.
9. CJUE 7 déc. 2023, SCHUFA Holding, aff. C-26/22 et C-64/22, pts 47 s.
10. Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règl. (UE) 2016/679 du 3 oct. 2017, révisées et adoptées par le Comité européen de la protection des données le 6 févr. 2018.
11. Comp., sur la qualification de décision tirée de son incidence pour la personne concernée, concl. de l’avocat général Priit Pikamäe sous l’arrêt commenté, pts 37 s.
12. Pt 45.
13. RGPD, consid. 71.
14. Pt 46.
15. Pt 61.
16. RGPD, art. 13.2, f, et 14.2, g.
17. RGPD, art. 4, 4° : « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».
18. V. déjà, Lignes directrices, préc., p. 8.
19. RGPD, art. 22.1.
20. Pts 48 et 49.
21. Comp., pour un exemple de décision affectant la personne concernée de manière significative de façon similaire à une décision produisant des effets juridiques fondé sur « le rejet automatique d’une demande de crédit en ligne », RGPD, consid. 71 ; comp., se référant à un niveau d’importance similaire à une décision porduisant un effet juridique, Lignes directrices, préc., p. 24.
22. Comp., Lignes directrices, préc., p. 23 s.
23. Pt 62.
24. Concl. sous l’arrêt commenté, pt 34.
25. Comp., sur l’absence d’argument tiré de l’article 22 RGPD dans l’examen du recours en excès de pouvoir contre le traitement de données DATAJUST, CE 30 déc. 2021, n° 440376 et autres, Dalloz IP/IT 2022. 6, obs. C. Crichton .
26. Délib. n° 2014-045 du 30 janv. 2014 portant avis sur un projet d’arrêté portant création par la direction générale des finances publiques d’un traitement automatisé de lutte contre la fraude dénommé « ciblage de la fraude et valorisation des requêtes » (demande d’avis n° 1726052).
27. Délib. n° 2018-055 du 15 févr. 2018 autorisant la Caisse Régionale du Crédit Agricole Centre-Est à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité de détecter des opérations susceptibles de constituer des abus de marché.
28. Délib. n° 2010-086 du 25 mars 2010 autorisant la mise en œuvre par la Caisse nationale des allocations familiales (CNAF) d’un traitement de données à caractère personnel ayant pour finalité l’amélioration du ciblage des comptes allocataires à contrôler par les Caisses d’allocations familiales (CAF).
29. Délib. n° 2008-198 du 9 juill.2008 modifiant l’autorisation unique n° AU-005 relative à certains traitements de données à caractère personnel mis en œuvre par les établissements de crédit pour aider à l’évaluation et à la sélection des risques en matière d’octroi de crédit.
30. Art. 11.1.
31. V. déjà, art. 15.1, dir. 95/46/CE du 24 oct. 1995 ; comp., pour une formulation proche, art. 9.1, a, Convention 108+ ; comp., pour le libellé clair d’une interdiction, art. 2 de la loi « informatique et libertés » dans sa version originale.
32. V., déjà en ce sens, Lignes directrices, préc., p. 9, 14, 21 et 22.
33. Pt. 52.
34. RGPD, art. 22.3.
35. RGPD, art. 22.2, b, et 22.4.
36. Pt 57.
37. V. infra.
38. Comp., sur les risques liés à un différentiel de protection des données justifiant l’interdiction de principe de l’opération de traitement qu’est le transfert des données à caractère personnel, CJUE, gr. ch., 16 juill. 2020, Schrems III, aff. C-311/18, spéc. pts 93 et 101, D. 2020. 2432 , note C. Castets-Renard ; ibid. 2022. 2002, obs. W. Maxwell et C. Zolynski ; AJ contrat 2020. 436 , obs. T. Douville ; Dalloz IP/IT 2020. 640, obs. B. Bertrand et J. Sirinelli ; Rev. crit. DIP 2020. 874, Eclairages A. d’Ornano ; ibid. 2022. 287, étude U. Kohl ; RTD eur. 2021. 175, obs. B. Bertrand ; ibid. 973, obs. F. Benoît-Rohmer .
39. La première exception tient à la nécessité de la prise de décision automatisée pour la conclusion ou l’exécution d’un contrat entre les parties au traitement de données (RGPD, art. 22.2, a) et la troisième au consentement explicite de la personne concernée (RGPD, art. 22.2, c).
40. RGPD, art. 22.2, b.
41. Peut être relevée, à cet égard, la contradiction existante entre le consid. 71 visant l’application desdites garanties « en tout état de cause » et les termes restrictifs de l’art. 22.3 du RGPD.
42. Pt 66.
43. RGPD, art. 23.
44. RGPD, art. 5.1, a.
45. RGPD, art. 6.1, a, b et f.
46. RGPD, art. 17.1, c.
47. RGPD, art. 21.1.
48. CJUE, gr. ch., 4 juill. 2023, Meta Platforms e.a., aff. C-252/21, pt 110, AJDA 2023. 1542, chron. P. Bonneville, C. Gänser et A. Iljic ; D. 2023. 1313 .
49. CJUE, gr. ch., Meta Platforms e.a., préc., pt 106.
50. CJUE 7 déc. 2023, aff. C-26/22 et C-64/22, préc., pts 83 s.
51. CJUE 7 déc. 2023, aff. C-26/22 et C-64/22, préc., pt 94.
52. Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’union, COM(2021) 206 final.