La Cour de justice de l'UE (CJUE) a estimé, dans un arrêt rendu jeudi 27 février (aff. C-203/22), qu'une personne concernée par une évaluation automatisée d'un crédit avait le droit d'obtenir une explication sur la manière dont la décision avait été prise à son égard.
L’affaire au principal portait sur une décision d’un opérateur téléphonique autrichien qui avait refusé un contrat à une cliente en raison d’une évaluation de solvabilité réalisée de manière automatisée par l’entreprise Dun & Bradstreet Austria.
La cliente, contestant ce refus, avait saisi la justice autrichienne, qui avait reconnu que l’entreprise avait violé le Règlement général sur la protection des données (RGPD) en ne fournissant pas d’explication claire sur la logique ayant conduit à cette évaluation.
Dans le cadre de l’exécution de cette décision, la juridiction autrichienne a interrogé la CJUE sur l’étendue du droit d’accès de la cliente. La Cour a précisé que l’explication fournie devait permettre à la personne concernée de comprendre comment ses données étaient utilisées et d’évaluer l’incidence de leurs variations sur la décision finale. La simple communication d’un algorithme ne suffit pas.
Par ailleurs, la Cour a rappelé que si certaines informations sont protégées en tant que secrets d’affaires, elles doivent être communiquées aux autorités compétentes afin de déterminer l’étendue du droit d’accès de la personne concernée. En outre, la CJUE a souligné que le RGPD ne permettait pas à une législation nationale d'exclure systématiquement ce droit d’accès au nom de la protection des secrets commerciaux.
Voir l'arrêt de la Cour : https://aeur.eu/f/fom (Bernard Denuit)