L’application de l’article 15(1)(h) du RGPD, qui impose au responsable du traitement de fournir des « informations significatives » à la personne concernée en matière de prise de décision automatisée (ADM), a toujours été source d’ambiguïté et de débat.
Dans l’affaire récente C-203/22 Dun & Bradstreet, la CJUE a enfin clarifié l’existence d’un « droit à l’explicabilité » tout en abordant la question de la protection des secrets d’affaires.
Dans cet article, nous analyserons les points clés de ce jugement et ses implications pour votre organisation.
L’affaire Dun & Bradstreet : quand les secrets d’affaires se heurtent à la transparence
L’affaire concernait CK, une personne s’étant vu refuser un contrat de téléphonie mobile en raison d’une évaluation automatisée de solvabilité réalisée par Dun & Bradstreet Austria GmbH (D&B). Sur la base de l’article 15(1)(h) du RGPD, CK a demandé des informations sur la logique ayant conduit à cette décision.
D&B a refusé de fournir des détails, invoquant la protection des secrets d’affaires. CK a alors saisi l’Autorité autrichienne de protection des données, qui a statué en sa faveur et ordonné à D&B de divulguer la logique sous-jacente à l’évaluation.
D&B a fait appel, arguant que son système de notation constituait un secret commercial et ne devait pas être révélé. L’affaire a finalement été portée devant la CJUE, qui devait trancher sur l’étendue de la transparence requise par le RGPD et sur la possibilité de limiter le droit à l’explication des personnes concenées au nom de la protection des secrets d’affaires.
Décision clé de la CJUE : Ce que les entreprises doivent (et n’ont pas à divulguer)
Le 27 février 2025, la CJUE a rendu son arrêt :
- Aucune obligation de divulguer l’algorithme : Les entreprises ne sont pas tenues de partager leur algorithme avec les individus (point 59). En revanche, elles doivent fournir des informations concises, transparentes, intelligibles et facilement accessibles (article 12(1) du RGPD). En résumé : il s’agit d’explicabilité, pas de divulgation de l’algorithme. Cette décision confirme ainsi le “droit à l’explicabilité”.
- Expliquer l’impact des modifications de données : Les entreprises doivent informer les individus de la manière dont une modification de leurs données personnelles aurait pu conduire à un résultat différent (point 62). Cela garantit une meilleure compréhension du rôle des données personnelles dans la prise de décision.
- Équilibre entre transparence et secrets d’affaires : Bien que les individus aient un droit d’accès à l’information, les entreprises peuvent refuser de divulguer certains détails s’ils relèvent des secrets d’affaires. Toutefois, cette protection n’est pas automatique (point 68). Le droit d’accès “ne doit pas porter atteinte aux droits ou libertés d’autrui, y compris aux secrets d’affaires ou à la propriété intellectuelle” (points 69 et 71, considérant 63 du RGPD).
- Contrôle des autorités de surveillance : Si une entreprise refuse de fournir certaines informations en invoquant la protection des secrets d’affaires, elle pourrait néanmoins être tenue de les transmettre à une Autorité de Contrôle (AC) ou à une juridiction, qui évaluera si cette rétention d’informations est justifiée (point 74).
Ce que cela signifie en pratique
Pour les entreprises
Les entreprises utilisant la prise de décision automatisée (ADM) ne sont pas tenues de divulguer leurs algorithmes. En revanche, elles doivent expliquer leur processus décisionnel de manière compréhensible. Cela implique de fournir des exemples clairs illustrant comment différentes entrées de données peuvent aboutir à des résultats distincts. L’exigence de base est donc qu’une organisation doit être capable d’expliquer ses ADM.
Cependant, les entreprises doivent évaluer avec attention la manière dont elles souhaitent (ou non) partager leurs secrets d’affaires avec les régulateurs en cas de demande. Les autorités de régulation offrent-elles des garanties de sécurité suffisantes pour leur transmettre directement ces informations sensibles ? Est-il préférable de leur permettre une consultation sur site ? Une question délicate.
Pour les personnes concernées
Les personnes concernées par des décisions automatisées disposent désormais d’une meilleure clarté sur leurs droits. Bien qu’elles ne puissent pas exiger l’accès à un algorithme, elles ont le droit de demander une explication sur la manière dont leurs données personnelles ont influencé la décision. Elles bénéficient ainsi d’un “droit à l’explicabilité”, facilitant la contestation d’évaluations injustes ou erronées.
Pour les Autorités de contrôle/surveillance
Les Autorités de contrôle joueront un rôle clé dans l’équilibre entre transparence et confidentialité des affaires. Elles pourraient être confrontées à une augmentation des cas où des entreprises refusent de divulguer certaines informations, nécessitant une évaluation rigoureuse des revendications de secret d’affaire. Cependant, elles devront également définir comment elles souhaitent traiter ces secrets d’affaires et sous quelles conditions ces informations peuvent leur être communiquées.
Prochaines étapes
- Élaborez des explications claires et accessibles pour vos processus de prise de décision automatisée.
- Mettez en place une procédure sécurisée pour partager les secrets d’affaires avec les autorités de contrôle.
- Adaptez vos politiques de confidentialité et vos réponses aux demandes d’accès en tenant compte de ces clarifications juridiques.
Cet arrêt vise à trouver un équilibre entre la protection de la propriété intellectuelle et l’exigence de transparence. Si les entreprises peuvent protéger leurs algorithmes, elles doivent néanmoins fournir des explications claires et compréhensibles pour respecter le RGPD et renforcer les droits des personnes concernées.
