swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
S'abonner
-->

Algorithmes et décisions automatisées : un secret possible, mais une explication obligatoire

Célian Hirsch, le 7 mars 2025
La société de credit scoring doit expli­quer à la personne concer­née la procé­dure et les prin­cipes concrè­te­ment appli­qués pour établir son profil de solva­bi­lité. En outre, le secret d’affaires de la société ne s’oppose pas à la commu­ni­ca­tion des infor­ma­tions à l’autorité ou au tribu­nal, lequel doit procé­der à une pesée des intérêts.

Arrêt de la CJUE du 27 février 2025 dans l’affaire C‑203/​22

Un opéra­teur de télé­pho­nie mobile refuse à un ressor­tis­sant autri­chien (CK) la conclu­sion d’un contrat de télé­pho­nie mobile, lequel aurait impli­qué le paie­ment mensuel de 10.- EUR. Ce refus est justi­fié en raison d’une évalua­tion néga­tive de sa solva­bi­lité par voie auto­ma­ti­sée effec­tuée par la société Dun & Bradstreet (D&B).

Suite à diverses procé­dures inten­tées par CK à l’encontre de D&B, le Verwaltungsgericht de Vienne estime que CK a le droit de rece­voir au moins (1) les données qui ont été trai­tées dans le cadre de la consti­tu­tion d’un « facteur », (2) la formule mathé­ma­tique à la base du calcul ayant abouti au « score » en cause, (3) la valeur concrète attri­buée à CK pour chacun des facteurs concer­nés, et (4) la préci­sion des inter­valles à l’intérieur desquels la même valeur est attri­buée à diffé­rentes données pour le même facteur (évalua­tion par inter­valles ou évalua­tion discrète ou indicielle/​cadastrale). En outre, D&B devrait égale­ment four­nir une liste établis­sant les scores d’autres personnes pour la période couvrant les six mois qui ont précédé et les six mois qui ont suivi l’établissement du score de CK, et qui ont été obte­nus sur le fonde­ment de la même règle de calcul.

Avant de tran­cher défi­ni­ti­ve­ment, le Verwaltungsgericht saisit la CJUE de ques­tions préju­di­cielles. Celles-ci visent à préci­ser (1) si la personne concer­née a le droit d’obtenir des expli­ca­tions sur la procé­dure et les prin­cipes concrè­te­ment appli­qués pour établir son profil de solva­bi­lité et (2) si le secret d’affaires s’oppose à la commu­ni­ca­tion des infor­ma­tions à l’autorité ou au tribunal.

Lorsqu’une personne concer­née fait l’objet d’une déci­sion indi­vi­duelle auto­ma­ti­sée (art. 22 RGPD), elle a le droit d’obtenir « des infor­ma­tions utiles concer­nant la logique sous-jacente » de la déci­sion (art. 15 par. 1 let. h RGPD).

La CJUE procède à une inter­pré­ta­tion litté­rale, systé­ma­tique et téléo­lo­gique de cette dispo­si­tion. Elle relève en parti­cu­lier que ces infor­ma­tions visent à permettre à la personne concer­née d’exprimer son point de vue sur cette déci­sion et de la contes­ter (art. 22 par. 3 RGPD). Elle conclut qu’il s’agit d’un véri­table droit à l’explication sur le fonc­tion­ne­ment du méca­nisme qui sous-tend une prise de déci­sion auto­ma­ti­sée. Ce droit comprend l’explication de la procé­dure et des prin­cipes concrè­te­ment appli­qués pour exploi­ter les données person­nelles afin d’obtenir un résul­tat déter­miné, tel un profil de solvabilité.

La CJUE consi­dère que l’information doit être donnée d’une façon suffi­sam­ment concise et compré­hen­sible. Le respon­sable du trai­te­ment ne peut donc simple­ment commu­ni­quer à la personne concer­née une formule mathé­ma­tique complexe, telle qu’un algo­rithme, ni la descrip­tion détaillée de toutes les étapes d’une prise de déci­sion auto­ma­ti­sée. Il doit trou­ver des moyens simples d’informer la personne concer­née de la raison d’être de la déci­sion auto­ma­ti­sée ou des critères sur lesquels elle est fondée. Ainsi, l’information ne comprend pas néces­sai­re­ment une expli­ca­tion complexe des algo­rithmes utili­sés ou la divul­ga­tion de l’algorithme complet. Concrètement, le respon­sable du trai­te­ment pour­rait infor­mer la personne concer­née de la mesure dans laquelle une varia­tion au niveau de ses données aurait conduit à un résul­tat différent.

Concernant la protec­tion des secrets d’affaires, celle-ci ne peut pas abou­tir à refu­ser toute commu­ni­ca­tion à la personne concer­née. Le respon­sable du trai­te­ment doit trans­mettre les infor­ma­tions préten­du­ment proté­gées à l’autorité ou à la juri­dic­tion compé­tentes. Ces dernières peuvent ensuite pondé­rer les droits et inté­rêts en cause afin de déter­mi­ner l’étendue du droit d’accès.

Cette déci­sion de la CJUE fait suite à l’arrêt Schufa (C‑634/​21), selon lequel la société de credit scoring prend une déci­sion indi­vi­duelle auto­ma­ti­sée lorsqu’elle effec­tue un examen de solva­bi­lité (swiss​pri​vacy​.law/​2​74/). Cette déci­sion nous semble criti­quable et ne devrait pas être reprise en droit suisse (cf. Hirsch Célian, Intelligence arti­fi­cielle et auto­ma­ti­sa­tion des déci­sions dans le secteur bancaire et finan­cier : appli­ca­tion de la LPD et du RGPD, RSDA 2024 115 ss).

Le nouvel arrêt présenté ci-dessus permet d’apporter un peu de clari­fi­ca­tion sur la portée du devoir d’expliquer à la personne concer­née la déci­sion auto­ma­ti­sée. Ainsi, l’algorithme complet ne doit pas être dévoilé. En outre, l’information sur la varia­tion des données et son impact sur le résul­tat nous semble consis­ter en une bonne méthode (cf. ég. Wachter Sandra/​Mittelstadt Brent/​Russell Chris, Counterfactual Explanations Without Opening the Black Box : Automated Decisions and the GDPR, Harvard Journal of Law & Technology, 31 (2), 2018).

Cette nouvelle juris­pru­dence pour­rait à l’avenir égale­ment être perti­nente pour déter­mi­ner l’étendue du « droit à l’explication » des déci­sions prises par des systèmes d’intelligence arti­fi­cielle à haut risque (art. 86 du Règlement sur l’IA). Ce droit à l’explication n’existe que si (1) la déci­sion a été prise sur la base des sorties d’un système d’IA à haut risque et (2) que celle-ci produit des effets juri­diques ou affecte signi­fi­ca­ti­ve­ment la santé, la sécu­rité et les droits fonda­men­taux de la personne concernée.

Le tableau ci-dessous propose une brève compa­rai­son entre les régimes RGPD et Règlement sur l’IA :

Décisions visées Conséquences

 

RGPD Décisions exclu­si­ve­ment auto­ma­ti­sées avec des effets juri­diques ou signi­fi­ca­tifs (indé­pen­dam­ment de la tech­no­lo­gie utilisée) La DIA est soumise à une inter­dic­tion de prin­cipe (art. 22 par. 1 RGPD).

Si l’une des excep­tions s’applique, la personne concer­née a notam­ment le droit d’obtenir des infor­ma­tions utiles concer­nant la logique sous-jacente à la déci­sion ainsi que sur l’importance et les consé­quences prévues.

RIA Décision prise par un déployeur sur la base des sorties d’un système d’IA à haut risque (à l’exception des systèmes énumé­rés au point 2 de l’annexe III) avec des effets juri­diques ou signi­fi­ca­tifs pour la santé, la sécu­rité et les droits fonda­men­taux des personnes physiques Le système d’IA à haut risque n’est pas inter­dit (contrai­re­ment aux IA visées par l’art. 5 RIA), mais est soumis au respect de certaines exigences (art. 8 RIA).

La personne concer­née a le droit à des expli­ca­tions claires et perti­nentes sur le rôle du système d’IA dans la procé­dure déci­sion­nelle et sur les prin­ci­paux éléments de la déci­sion prise (art. 86 RIA).

 

Le droit suisse prévoit égale­ment que, lors d’une déci­sion indi­vi­duelle auto­ma­ti­sée (art. 21 LPD), la personne concer­née a le droit d’être infor­mée de « la logique sur laquelle se base la déci­sion » (art. 25 al. 2 let. f LPD). Comme pour le RGPD, l’information ne vise pas la divul­ga­tion des algo­rithmes, qui relèvent souvent du secret d’affaires (pour un pano­rama appro­fondi de cette notion, cf. Chappuis Grégoire/​Kuonen Nicolas, La protec­tion des secrets d’affaires, une mosaïque à synthé­ti­ser, SJ 2025 59). En outre, vu que ce droit provient du RGPD et lui corres­pond, l’interprétation suisse devrait être en prin­cipe conforme à celle de la CJUE (à ce sujet, cf. Hirsch Célian, Le devoir d’informer lors d’une viola­tion de la sécu­rité des données – Avec un regard parti­cu­lier sur les données bancaires, thèse, Genève 2023, p. 130 ss).



Proposition de citation : Célian Hirsch, Algorithmes et décisions automatisées : un secret possible, mais une explication obligatoire, 7 mars 2025 in www.swissprivacy.law/342


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • La CJUE serre la vis au traitement des données par les sociétés de fourniture de renseignements commerciaux 
  • Retrait du consentement : Mesures à prendre
  • Le sous-traitant, entre hantise et maîtrise
  • L’accès aux données d’examen
Derniers articles
  • Collectes de données personnelles par des étudiants dans le cadre de travaux académiques : qui est responsable du traitement ?
  • La LPD refoulée en clinique : des sanctions pénales plus théoriques que pratiques
  • La protection des personnes physiques à l’égard du traitement des données à caractère personnel en vertu de l’art. 58 par. 2 RGPD
  • 2e révision des ordonnances de la LSCPT : vers une surveillance de tout un chacun toujours plus intrusive pour l’internet suisse
Abonnement à notre newsletter
swissprivacy.law