La Cour de justice de l’Union européenne (CJUE) a récemment rendu un arrêt sur l’interprétation du Règlement général sur la protection des données (RGPD) et son articulation avec le secret des affaires. Cette décision renforce le droit des individus à obtenir des explications sur l’utilisation de leurs données, même lorsque des entreprises invoquent le secret.
Le litige à l’origine de cette décision s’est déroulé en Autriche. Un opérateur de téléphonie mobile a refusé un contrat à une cliente au motif d’une évaluation de solvabilité jugée insuffisante. Cette évaluation avait été réalisée de manière automatisée par Dun & Bradstreet Austria, une entreprise spécialisée dans le scoring crédit.
Dun & Bradstreet Austria “n’aurait pas suffisamment motivé pourquoi elle n’aurait
pas pu fournir ces informations” à la personne concernée. “Dans le cadre du litige qui s’en est suivi, une juridiction autrichienne a constaté, par décision définitive, que Dun & Bradstreet avait violé le règlement général sur la protection des données (RGPD)“.
Dans son arrêt, la CJUE précise que “le responsable du traitement doit décrire la procédure et les principes concrètement appliqués de telle manière que la personne concernée puisse comprendre quelles données à caractère personnel ont été utilisées et de quelle manière lors de la prise de décision automatisée.”
Cette obligation de transparence inscrit dans le RGPD, signifie que les entreprises doivent transmettre “des informations utiles sur la logique sous-jacente” à la prise de décision automatisée en question. Cette transparence s’applique à tout outil de notation ou d’évaluation, que ce soit pour le crédit, l’assurance, le recrutement, la santé… La CJUE considère que le RGPD prévaut sur le recours au secret des affaires pour éviter de communiquer des informations aux personnes concernées.
Le secret des affaires ne tient plus
Une entreprise ne peut plus invoquer le secret des affaires pour refuser un droit d’accès aux données personnelles. “Pour le cas où le responsable du traitement considère que les informations à fournir comportent des données de tiers protégées ou des secrets d’affaires, il doit communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes” explique la Cour. Il incombe alors à ces dernières de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès auxdites informations de la personne concernée.
La Cour précise que “le RGPD s’oppose à l’application d’une disposition nationale qui exclut, en principe, le droit d’accès en question, lorsqu’il compromettrait un secret d’affaires du responsable du traitement ou d’un tiers”.
Des conséquences majeures
Cette décision a des conséquences importantes sur les modèles de systèmes d’intelligence artificielle et la transparence des algorithmes. Les entreprises ont ainsi une responsabilité accrue dans l’utilisation des outils de notation ou d’évaluation qui doivent impérativement être documentés et explicables auprès des personnes concernées.
Les entreprises doivent revoir leur approche et mettre en place des procédures de transparence accrues. Les parties prenantes ont un droit d’accès aux critères des décisions automatisées. Les entreprises doivent être en mesure d’expliquer le fonctionnement de leurs algorithmes et les données utilisées et leur finalité. Les entreprises doivent fournir une documentation composée d’informations précises des critères de décision automatisée. Elles doivent mettre en place des procédures internes de réponse aux demandes des individus sur le traitement de leurs données. Les méthodes utilisées doivent être explicables, non discriminatoires et conformes au RGPD.
Les contrats et la politique de générale de protection des données mais aussi les procédures internes pour garantir la conformité et transparence doivent être révisés.
L’association NYOD a déposé plainte auprès de l’autorité suédoise de protection des données le 27 février contre Swedbank pour avoir rejeté la demande d’accès d’un citoyen suédois. Elle affirme que le calcul est un “secret commercial“. La mise en application de cet arrêt devrait donc être rapidement mis en application.
