Arrêt du Tribunal admi­nis­tra­tif fédé­ral autri­chien (Bundesverwaltungsgericht der Republik Österreich) W108 2263948–1/4E du 18 octobre 2023

Introduction

Les proprié­taires d’une maison installent une caméra de surveillance qui détecte tout mouve­ment devant leur domi­cile et les en informe par courriel.

En décembre 2021, ils ne reçoivent plus de noti­fi­ca­tion, mais le problème est rapi­de­ment résolu par le four­nis­seur. Deux mois plus tard, de nouveaux dysfonc­tion­ne­ments se produisent. L’époux apprend alors que l’algorithme a auto­ma­ti­que­ment suspendu les noti­fi­ca­tions pour des motifs sécu­ri­taires. En effet, l’algorithme a détecté qu’un nombre anor­ma­le­ment élevé de cour­riels a été envoyé et soup­çonne donc un usage abusif du compte des proprié­taires. Cette mesure dure jusqu’à fin février 2022.

Considérant que la suspen­sion consti­tue une déci­sion indi­vi­duelle auto­ma­ti­sée (DIA ; art. 22 RGPD), l’époux intro­duit une récla­ma­tion (art. 77 RGPD) sur laquelle le Tribunal admi­nis­tra­tif fédé­ral autri­chien (TAF/​AT) a été amené à se prononcer.

La DIA européenne

Aux termes de l’art. 22 par. 1 RGPD, la DIA est une « une déci­sion fondée exclu­si­ve­ment sur un trai­te­ment auto­ma­tisé, y compris le profi­lage, produi­sant des effets juri­diques la concer­nant ou l’af­fec­tant de manière signi­fi­ca­tive de façon simi­laire. ». L’existence d’une DIA suppose le respect de trois condi­tions cumulatives :

1. L’existence d’une décision ;
2. Le carac­tère exclu­si­ve­ment auto­ma­tisé de la prise de déci­sion ; et
3. Les effets signi­fi­ca­tifs de la déci­sion sur la personne concernée.

De la volonté du légis­la­teur euro­péen, la personne concer­née a le droit de ne pas faire l’objet d’une déci­sion prise sur le seul fonde­ment d’un trai­te­ment auto­ma­tisé (consi­dé­rant 71 du RGPD). Les DIA font donc l’objet d’une inter­dic­tion de prin­cipe (art. 22 par. 1 RGPD). Elles ne peuvent être prises que (i) si elles sont néces­saires à la conclu­sion ou à l’exécution d’un contrat entre la personne concer­née et un respon­sable du trai­te­ment, (ii) si elles sont prévues par le droit de l’Union euro­péenne ou par le droit d’un État membre ou encore (iii) si la personne concer­née y a expli­ci­te­ment consenti (art. 22 par. 2 RGPD).

Dans le cas d’espèce, l’époux allègue en substance que la suspen­sion auto­ma­tique des noti­fi­ca­tions par l’algorithme du four­nis­seur consti­tue une DIA. Or, dans la mesure où aucune des excep­tions de l’art. 22 par. 2 RGPD n’est réali­sée, la DIA serait illicite.

Ce raison­ne­ment ne convainc pas le TAF/​AT. S’épargnant en parti­cu­lier l’épineuse ques­tion de savoir si la suspen­sion des noti­fi­ca­tions consti­tue une déci­sion (pour une inter­pré­ta­tion de la notion de déci­sion par la CJUE, cf. Michael Montavon, La CJUE serre la vis au trai­te­ment des données par les socié­tés de four­ni­ture de rensei­gne­ments commer­ciaux , 18 décembre 2023 in www​.swiss​pri​vacy​.law/​274), il analyse direc­te­ment la troi­sième condi­tion et conclut à l’absence d’effets signi­fi­ca­tifs sur la personne concer­née. En effet, la suspen­sion tempo­raire des noti­fi­ca­tions a certes été déci­dée par un algo­rithme, mais la gravité de ses effets n’est pas compa­rable à celle de l’annulation d’un contrat, du refus de pres­ta­tions sociales ou du refus d’un crédit (cf. Groupe de travail Article 29, Lignes direc­trices rela­tives à la prise de déci­sion indi­vi­duelle auto­ma­ti­sée et au profi­lage aux fins du règle­ment (UE) 2016/​679, p. 23 s.). L’argumentaire de l’époux, selon lequel la perte de sécu­rité résul­tant de l’absence de noti­fi­ca­tion l’affecte de manière signi­fi­ca­tive, tombe donc à faux.

Par ailleurs, le TAF/​AT relève qu’en tout état de cause, l’art. 22 par. 2 let. a RGPD aurait trouvé appli­ca­tion. En effet, en vertu du contrat liant l’époux et le four­nis­seur, ce dernier doit garan­tir la stabi­lité, la sécu­rité du réseau et la protec­tion des données de l’époux. La suspen­sion tempo­raire des noti­fi­ca­tions est néces­saire à l’exécution de cette obli­ga­tion contrac­tuelle et il n’y a pas d’alternative. En parti­cu­lier, au vu du nombre impor­tant de clients, il ne peut être exigé de procé­der à une analyse au cas par cas.

Partant, l’art. 22 RGPD ne trouve pas appli­ca­tion et la récla­ma­tion de l’époux est écartée.

Les ensei­gne­ments de l’arrêt

Cet arrêt du TAF/​AT comporte plusieurs ensei­gne­ments. En premier lieu, il met en exergue qu’un trai­te­ment effec­tué au moyen d’un algo­rithme n’est pas néces­sai­re­ment une DIA. Encore faut-il que la déci­sion déploie « des effets juri­diques » ou affecte la personne concer­née « de manière signi­fi­ca­tive de façon simi­laire ». Par ailleurs, contrai­re­ment à ce que l’art. 22 par. 1 RGPD laisse suggé­rer, tant les effets juri­diques que les autres effets simi­laires doivent avoir une inci­dence grave pour être couverts par l’art. 22 RGPD (cf. Groupe de travail Article 29, Lignes direc­trices rela­tives à la prise de déci­sion indi­vi­duelle auto­ma­ti­sée et au profi­lage aux fins du règle­ment (UE) 2016/​679, p. 23 s.).

En second lieu, l’arrêt démontre que l’application de l’art. 22 par. 2 let. a RGPD suppose une analyse appro­fon­die. En plus d’identifier les clauses contrac­tuelles perti­nentes, le respon­sable du trai­te­ment doit prou­ver la néces­sité de la DIA en expli­quant qu’il n’y a pas d’autre méthode moins intru­sive pour atteindre le même but.

Que faut-il en tirer pour la DIA suisse ?

« [T]oute déci­sion qui est prise exclu­si­ve­ment sur la base d’un trai­te­ment de données person­nelles auto­ma­tisé et qui a des effets juri­diques pour elle ou l’affecte de manière signi­fi­ca­tive » est une DIA au sens de l’art. 21 al. 1 LPD. À l’instar du droit euro­péen, l’art. 21 al. 1 LPD pour­rait lais­ser croire que les effets juri­diques ne doivent pas néces­sai­re­ment avoir une grave inci­dence sur la personne concer­née. Toutefois, le légis­la­teur suisse s’étant inspiré de la défi­ni­tion euro­péenne (Message concer­nant la LPD, FF 2017 6565, p. 6619 s. et 6673 s.), nous esti­mons que la DIA suisse suppose néces­sai­re­ment des effets signi­fi­ca­tifs (cf. ég. Célian Hirsch/​Nastassia Yasmina Merlino, Do Robots Rule Wealth Management ? A Brief Legal Analysis of Robo-Advisors, in : Schweizerische Zeitschrift für Wirtschafts- und Finanzmarktrecht, 2022, vol. 94, n° 1, p. 33 ss, p. 43).

Malgré une défi­ni­tion simi­laire de la DIA, le légis­la­teur suisse a prévu un régime diffé­rent. En effet, il n’a pas opté pour une inter­dic­tion de prin­cipe, mais mise plutôt sur le devoir d’information. Ainsi, le respon­sable du trai­te­ment doit infor­mer la personne concer­née de l’existence d’une DIA (art. 21 al. 1 LPD), sauf si :

1. la DIA est direc­te­ment liée à la conclu­sion ou l’exécution d’un contrat entre le respon­sable du trai­te­ment et la personne concer­née et donne satis­fac­tion à cette dernière (21 al. 3 let. a LPD) ; ou
2. la personne concer­née a expres­sé­ment consenti à la DIA (21 al. 3 let. b LPD).

Par consé­quent, le raison­ne­ment du TAF/​AT ne peut pas être trans­posé tel quel en droit suisse. Il n’en demeure pas moins qu’il four­nit des ensei­gne­ments inté­res­sants pour l’art. 21 al. 3 let. a LPD. Pour s’en préva­loir, le respon­sable du trai­te­ment doit iden­ti­fier la clause contrac­tuelle topique et expli­quer en quoi la DIA est liée à cette obli­ga­tion contractuelle.

Toutefois, pour être libéré de son devoir d’informer, le respon­sable du trai­te­ment doit en plus démon­trer qu’il a fait droit à la demande de la personne concernée.