Corte di Cassazione, sez. I Civ. – 25/​05/​2021, n. 14381

Cette affaire fait suite à une déci­sion de l’auto­rité italienne de protec­tion des données (GPDP ou Garante) inter­ve­nue avant l’entrée en force du RGPD, le 24 novembre 2016.

En bref, l’association Mevaluate Onlus avait alors comme projet de créer un site web visant à l’élaboration de profils répu­ta­tion­nels de personnes physiques et morales inscrites sur la plate­forme. Le proces­sus d’éva­lua­tion des personnes inté­res­sées devait commen­cer par le char­ge­ment  volon­taire sur la plate­forme, par les utili­sa­teurs, de docu­ments conte­nant des infor­ma­tions consi­dé­rées comme impor­tantes en termes de répu­ta­tion, notam­ment des docu­ments conte­nant des infor­ma­tions pénales et fiscales, mais aussi des infor­ma­tions rela­tives au travail, aux études et à la forma­tion des personnes concer­nées. Les éléments char­gés sur la plate­forme par les utili­sa­teurs devaient être d’abord évalués par des consul­tants spécia­li­sés en profils répu­ta­tion­nels afin de garan­tir leur authen­ti­cité et fiabi­lité. À la fin des opéra­tions de véri­fi­ca­tion, le système devait calcu­ler, au moyen d’un algo­rithme mathé­ma­tique sophis­ti­qué, une note globale à attri­buer aux parties inté­res­sées (dite « note de répu­ta­tion ») afin de déter­mi­ner leur degré de fiabi­lité. Le score devait ensuite être mis à dispo­si­tion des autres utili­sa­teurs de la plateforme.

Le Garante estime que le trai­te­ment de données effec­tué par l’association Mevaluate Onlus porte atteinte à la person­na­lité des personnes concer­nées. Le trai­te­ment de données person­nelles se fait sur une base volon­taire, dans la mesure où les personnes concer­nées décident de s’inscrire sur la plate­forme et chargent elles-mêmes les docu­ments permet­tant d’évaluer leur carac­tère répu­ta­tion­nel. Le trai­te­ment se base donc sur le consen­te­ment des personnes concer­nées (art. 7 let. a Directive 95/​46/​CE). Or, le Garante consi­dère que ce dernier ne peut être vala­ble­ment donné car il est fourni par crainte d’éventuelles consé­quences néga­tives pour les personnes concer­nées (manquer la conclu­sion d’un contrat ou la fin d’une rela­tion contrac­tuelle). De plus, le Garante relève le nombre élevé de personnes impli­quées, l’ab­sence de mesures de sécu­rité adéquates, le manque de néces­sité et de propor­tion­na­lité et le manque de fiabi­lité et d’exactitude du système.

Par consé­quent, le Garante a inter­dit à l’association Mevaluate Onlus de pour­suivre le trai­te­ment de données personnelles.

Cette déci­sion a fait l’objet d’un recours devant la Cour d’appel civile de Rome, qui, dans sa déci­sion du 4 avril 2018, a partiel­le­ment admis le recours en consi­dé­rant que le trai­te­ment des données person­nelles en cause était licite, dans la mesure où les personnes concer­nées avaient consenti à de tels traitements.

Le Garante a ensuite recouru contre cette déci­sion auprès de la Cour de cassa­tion italienne, qui a annulé la déci­sion de la Cour d’appel civile de Rome et ordonné une nouvelle décision.

Ordonnance de la Cour de cassation 

Dans son ordon­nance du 25 mai 2021, la Cour de cassa­tion italienne consi­dère que les méca­nismes de nota­tion et de certi­fi­ca­tion par des personnes privées sont large­ment connus et répan­dus. Le trai­te­ment des données person­nelles des membres de la plate­forme Mevaluate Onlus basé sur le consen­te­ment des personnes concer­nées est licite car il est l’ex­pres­sion de l’au­to­no­mie privée.

La Cour de cassa­tion confirme la possi­bi­lité de déve­lop­per des services de profils répu­ta­tion­nels basés sur le consen­te­ment des personnes concer­nées à la condi­tion que ce dernier soit vala­ble­ment donné et qu’il soit exprimé de manière libre et spéci­fique en réfé­rence à un trai­te­ment clai­re­ment identifié.

La Cour de cassa­tion ajoute ce qui suit :

« dans le cas d’une plate­forme web (avec archives infor­ma­tiques annexées) desti­née à trai­ter les profils répu­ta­tion­nels de personnes physiques et morales, centrée sur un système de calcul basé sur un algo­rithme visant à établir des scores de fiabi­lité, l’exi­gence de connais­sance de la logique derrière l’algorithme ne peut être consi­dé­rée comme satis­faite lorsque le schéma de mise en œuvre de l’al­go­rithme et les éléments qui le composent restent incon­nus ou ne peuvent être connus des personnes concer­nées » (traduc­tion libre).

L’ordon­nance de la Cour de cassa­tion admet ainsi, en prin­cipe, la licéité de telles plate­formes d’évaluation auto­ma­ti­sées de profils répu­ta­tion­nels, à condi­tion de respec­ter les condi­tions de vali­dité du consen­te­ment énon­cées ci-dessus, contrai­re­ment au GPDP qui s’y était opposé.

De son côté, l’association Mevaluate Onlus se consi­dère déjà en adéqua­tion avec les exigences de la Cour de cassa­tion, dans la mesure où elle estime avoir indi­qué de manière adéquate les critères de fonc­tion­ne­ment de l’algorithme. En effet, tant dans le règle­ment de l’association que dans le contrat entre chaque membre et le consul­tant spécia­lisé en profils répu­ta­tion­nels (chargé de véri­fier et certi­fier l’authenticité des docu­ments déter­mi­nants pour procé­der à l’évaluation) traitent de la ques­tion. Pour ce point, la Cour de cassa­tion a demandé un complé­ment d’instruction à la Cour d’appel civile de Rome qui devra se pronon­cer dans une nouvelle décision.

Il sera inté­res­sant de voir comment la Cour d’appel civile de Rome va déter­mi­ner le carac­tère trans­pa­rent de l’algorithme, notam­ment quant à la ques­tion de savoir si une notice d’information ou une clause contrac­tuelle est suffi­sante pour admettre qu’une personne lambda (sans connais­sances parti­cu­lières en la matière) a été infor­mée des éléments essen­tiels qui carac­té­risent l’algorithme et a été capable de les comprendre.

Le RGPD, qui n’est pas appli­cable à cette affaire, prévoit des règles spéci­fiques concer­nant les déci­sions auto­ma­ti­sées. L’art. 22 par. 1 RGPD précise qu’une déci­sion auto­ma­ti­sée est une déci­sion fondée exclu­si­ve­ment sur un trai­te­ment auto­ma­tisé de données, produi­sant des effets juri­diques ou affec­tant de manière signi­fi­ca­tive la personne concer­née. Une personne peut notam­ment faire l’objet d’une déci­sion entiè­re­ment auto­ma­ti­sée, lorsque la déci­sion est fondée sur le consen­te­ment expli­cite des personnes concer­nées. L’art. 13 par. 2 let. f RGPD prévoit qu’en cas de déci­sion auto­ma­ti­sée, le respon­sable du trai­te­ment informe la personne concer­née  de l’existence d’une telle déci­sion, ainsi que les infor­ma­tions utiles concer­nant la logique sous-jacente, ainsi que l’im­por­tance et les consé­quences prévues de ce trai­te­ment pour la personne concernée.

En droit suisse, les déci­sions indi­vi­duelles auto­ma­ti­sées sont celles basées sur un trai­te­ment de données person­nelles auto­ma­ti­sées qui a des effets juri­diques ou affectent de manière signi­fi­ca­tive les personnes concer­nées (art. 21 al. 1 nLPD). Le respon­sable du trai­te­ment a un devoir d’information envers les personnes concer­nées, à moins que la déci­sion ne soit en rela­tion directe avec la conclu­sion ou l’exécution d’un contrat (art. 21 al. 3 let. a nLPD) ou que la personne concer­née a expres­sé­ment consenti à la prise de déci­sion auto­ma­ti­sée (art. 21 al. 3 let. b nLPD) (voir aussi : Florent Thouvenin/​Alfred Früh/​Damian George, Datenschutz und auto­ma­ti­sierte Entscheidungen, in : Jusletter 26. November 2018).

L’art. 25 al. 2 let. f nLPD prévoit, sur demande de la personne concer­née, un droit d’accès de cette dernière à l’existence d’une déci­sion indi­vi­duelle auto­ma­ti­sée la concer­nant, ainsi qu’à la logique sur laquelle se base la déci­sion. Le Message précise néan­moins qu’il n’y a pas lieu de révéler les algo­rithmes utilisés, qui relèvent souvent du secret d’affaires, mais plutôt les hypothèses de base qui sous-tendent la logique algo­rith­mique sur laquelle repose la décision indi­vi­duelle automatisée (FF 2017 6684).

Il est inté­res­sant de consta­ter qu’au sens du RGPD, la personne concer­née a un droit d’information s’agissant de la logique sous-jacente à la déci­sion indi­vi­duelle auto­ma­ti­sée, même si elle a consenti à un tel trai­te­ment de ses données person­nelles (art. 13 par. 2 let. f RGPD). En revanche, au sens de la nLPD, lorsque la personne concer­née a consenti à un tel trai­te­ment de données, le respon­sable de trai­te­ment n’a pas l’obligation de l’informer acti­ve­ment, mais la personne concer­née peut faire valoir son droit d’accès afin d’ob­te­nir des infor­ma­tions, notam­ment concer­nant la logique sur laquelle se fonde la déci­sion (art. 21 al. 3 let. a nLPD et art. 25 al. 2 let. f nLPD).

Dans cette affaire, les infor­ma­tions à dispo­si­tion ne permettent pas de déter­mi­ner si la déci­sion peut être consi­dé­rée comme entiè­re­ment auto­ma­ti­sée de par l’intervention des consul­tants spécia­li­sés en profils répu­ta­tion­nels afin de véri­fier chaque docu­ment trans­mis par les personnes concer­nées. Le cas échéant, et à condi­tion que les personnes concer­nées aient consenti expli­ci­te­ment à une telle déci­sion indi­vi­duelle auto­ma­ti­sée, le trai­te­ment pour­rait être consi­déré comme conforme au RGPD et à la LPD. Les prin­cipes géné­raux restent tout de même appli­cables et pour­raient venir limi­ter un tel traitement.