La société de credit scoring ne doit pas divulguer son algorithme, mais doit l’expliquer

La société de credit scoring doit expliquer à la personne concernée la procédure et les principes concrètement appliqués pour établir son profil de solvabilité. En outre, le secret d’affaires de la société ne s’oppose pas à la communication des informations à l’autorité ou au tribunal, lequel doit procéder à une pesée des intérêts (arrêt de la CJUE du 27 février 2025 dans l’affaire C‑203/22).

Un opérateur de téléphonie mobile refuse à un ressortissant autrichien (CK) la conclusion d’un contrat de téléphonie mobile, lequel aurait impliqué le paiement mensuel de 10.- EUR. Ce refus est justifié en raison d’une évaluation négative de sa solvabilité par voie automatisée effectuée par la société Dun & Bradstreet (D&B).

Suite à diverses procédures intentées par CK à l’encontre de D&B, le Verwaltungsgericht de Vienne estime que CK a le droit de recevoir au moins (1) les données qui ont été traitées dans le cadre de la constitution d’un « facteur », (2) la formule mathématique à la base du calcul ayant abouti au « score » en cause, (3) la valeur concrète attribuée à CK pour chacun des facteurs concernés, et (4) la précision des intervalles à l’intérieur desquels la même valeur est attribuée à différentes données pour le même facteur (évaluation par intervalles ou évaluation discrète ou indicielle/cadastrale). En outre, D&B devrait également fournir une liste établissant les scores d’autres personnes pour la période couvrant les six mois qui ont précédé et les six mois qui ont suivi l’établissement du score de CK, et qui ont été obtenus sur le fondement de la même règle de calcul.

Avant de trancher définitivement, le Verwaltungsgericht saisit la CJUE de questions préjudicielles. Celles-ci visent à préciser (1) si la personne concernée a le droit d’obtenir des explications sur la procédure et les principes concrètement appliqués pour établir son profil de solvabilité et (2) si le secret d’affaires s’oppose à la communication des informations à l’autorité ou au tribunal.

Lorsqu’une personne concernée fait l’objet d’une décision individuelle automatisée (art. 22 RGPD), elle a le droit d’obtenir « des informations utiles concernant la logique sous-jacente » de la décision (art. 15 par. 1 let. h RGPD).

La CJUE procède à une interprétation littérale, systématique et téléologique de cette disposition. Elle relève en particulier que ces informations visent à permettre à la personne concernée d’exprimer son point de vue sur cette décision et de la contester (art. 22 par. 3 RGPD). Elle conclut qu’il s’agit d’un véritable droit à l’explication sur le fonctionnement du mécanisme qui sous-tend une prise de décision automatisée. Ce droit comprend l’explication de la procédure et des principes concrètement appliqués pour exploiter les données personnelles afin d’obtenir un résultat déterminé, tel un profil de solvabilité.

La CJUE considère que l’information doit être donnée d’une façon suffisamment concise et compréhensible. Le responsable du traitement ne peut donc simplement communiquer à la personne concernée une formule mathématique complexe, telle qu’un algorithme, ni la description détaillée de toutes les étapes d’une prise de décision automatisée. Il doit trouver des moyens simples d’informer la personne concernée de la raison d’être de la décision automatisée ou des critères sur lesquels elle est fondée. Ainsi, l’information ne comprend pas nécessairement une explication complexe des algorithmes utilisés ou la divulgation de l’algorithme complet. Concrètement, le responsable du traitement pourrait informer la personne concernée de la mesure dans laquelle une variation au niveau de ses données aurait conduit à un résultat différent.

Concernant la protection des secrets d’affaires, celle-ci ne peut pas aboutir à refuser toute communication à la personne concernée. Le responsable du traitement doit transmettre les informations prétendument protégées à l’autorité ou à la juridiction compétentes. Ces dernières peuvent ensuite pondérer les droits et intérêts en cause afin de déterminer l’étendue du droit d’accès.

Cette décision de la CJUE fait suite à l’arrêt Schufa (C‑634/21), selon lequel la société de credit scoring prend une décision individuelle automatisée lorsqu’elle effectue un examen de solvabilité (cdbf.ch/1316/ ; Hirsch Célian, Intelligence artificielle et automatisation des décisions dans le secteur bancaire et financier : application de la LPD et du RGPD, RSDA 2024 115 ss).

Le présent arrêt permet d’apporter un peu de clarification sur la portée du devoir d’expliquer à la personne concernée la décision automatisée. Ainsi, l’algorithme complet ne doit pas être dévoilé. En outre, l’information sur la variation des données et son impact sur le résultat nous semble consister en une bonne méthode (cf. ég. Wachter Sandra/Mittelstadt Brent/Russell Chris, Counterfactual Explanations Without Opening the Black Box : Automated Decisions and the GDPR, Harvard Journal of Law & Technology, 31 (2), 2018). Cette jurisprudence pourrait à l’avenir également être pertinente pour déterminer l’étendue du « droit à l’explication » des décisions prises par des systèmes d’intelligence artificielle à haut risque (art. 86 du Règlement sur l’IA).

Le droit suisse prévoit également que, lors d’une décision individuelle automatisée (art. 21 LPD), la personne concernée a le droit d’être informée de « la logique sur laquelle se base la décision » (art. 25 al. 2 let. f LPD). Comme pour le RGPD, l’information ne vise pas la divulgation des algorithmes, qui relèvent souvent du secret d’affaires (pour un panorama approfondi de cette notion, cf. Chappuis Grégoire/Kuonen Nicolas, La protection des secrets d’affaires, une mosaïque à synthétiser, SJ 2025 59). En outre, vu que ce droit provient du RGPD et lui correspond, l’interprétation suisse devrait être en principe conforme à celle de la CJUE (à ce sujet, cf. Hirsch Célian, Le devoir d’informer lors d’une violation de la sécurité des données – Avec un regard particulier sur les données bancaires, thèse, Genève 2023, p. 130 ss).