La Cour de justice de l’Union européenne a rendu, le 7 décembre 2023, un arrêt majeur concernant la protection des données à caractère personnel.
Un particulier a essuyé un refus de crédit bancaire après la communication d’une valeur de probabilité défavorable par une société de renseignements commerciaux.
L’intéressé a sollicité l’accès à ses informations personnelles avant de contester le refus de communication opposé par le prestataire de services privés.
L’autorité de contrôle compétente a rendu, le 3 juin 2020, une décision rejetant la demande d’injonction formée par la personne physique concernée.
Le tribunal administratif de Wiesbaden a été saisi d’un recours tendant à l’annulation de cette décision administrative de rejet le premier octobre deux mille vingt-et-un.
La juridiction de renvoi s’interroge sur la qualification juridique du scoring au regard de l’interdiction de principe des décisions individuelles automatisées.
Les juges de Luxembourg affirment que l’établissement d’une telle valeur constitue une décision si le tiers s’y conforme de manière déterminante.
L’assimilation du score à une décision individuelle automatisée précédera l’analyse de la garantie d’une protection juridique effective pour les citoyens européens.
I. L’assimilation du score à une décision individuelle automatisée
A. L’élargissement de la notion de décision
La Cour adopte une approche large de la notion de décision afin de garantir une protection efficace des droits des personnes physiques.
Elle considère que « le résultat du calcul de la solvabilité d’une personne sous la forme d’une valeur de probabilité » est une décision.
Cette interprétation téléologique s’appuie sur la finalité protectrice du règlement qui vise à limiter les risques liés aux traitements purement automatisés.
L’étude de l’élargissement conceptuel de la décision sera complétée par l’examen du rôle crucial joué par l’automatisme dans le processus contractuel.
B. Le caractère déterminant du traitement automatisé
L’application de la protection suppose que la mesure produise des effets juridiques ou affecte l’intéressé « de manière significative de façon similaire ».
Le juge européen observe que l’action du tiers destinataire de l’information est guidée « de manière déterminante » par ce score de probabilité.
Dès lors, « l’établissement de cette valeur doit être qualifié en soi de décision » produisant des effets sur la situation de l’individu.
La reconnaissance de cette qualification juridique permet d’assurer une protection effective des citoyens contre les risques de l’intelligence artificielle.
II. La garantie d’une protection juridique effective
A. L’exigence de transparence sur la logique algorithmique
L’assimilation du score à une décision permet d’éviter une lacune de protection qui priverait l’individu de ses droits fondamentaux d’accès.
Le particulier peut désormais exiger du responsable du traitement « des informations utiles concernant la logique sous-jacente » aux calculs de probabilité effectués.
Le créancier final n’est souvent pas en mesure de fournir ces précisions techniques car il ne maîtrise pas les paramètres du profilage.
La transparence algorithmique sera suivie d’une analyse des limites imposées aux États membres dans la mise en œuvre des dérogations légales.
B. L’encadrement des compétences législatives nationales
La Cour encadre strictement la faculté pour les législateurs nationaux de prévoir des exceptions à l’interdiction de principe des décisions automatisées.
Les normes internes doivent impérativement respecter les principes de licéité et de loyauté définis à l’article cinq du règlement général européen.
La juridiction nationale devra apprécier la compatibilité de sa législation au regard de la nécessité de sauvegarder les libertés individuelles des citoyens.
