ARRÊT DE LA COUR (première chambre)
7 décembre 2023 ( *1 )
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 22 – Décision individuelle automatisée – Sociétés fournissant des informations commerciales – Établissement automatisé d’une valeur de probabilité concernant la capacité d’une personne à honorer des engagements de paiement à l’avenir (“scoring”) – Utilisation de cette valeur de probabilité par des tiers »
Dans l’affaire C‑634/21,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne), par décision du 1er octobre 2021, parvenue à la Cour le 15 octobre 2021, dans la procédure
OQ
contre
Land Hessen,
en présence de :
SCHUFA Holding AG,
LA COUR (première chambre),
composée de M. A. Arabadjiev, président de chambre, MM. T. von Danwitz, P. G. Xuereb, A. Kumin (rapporteur) et Mme I. Ziemele, juges,
avocat général : M. P. Pikamäe,
greffier : M. C. Di Bella, administrateur,
vu la procédure écrite et à la suite de l’audience du 26 janvier 2023,
considérant les observations présentées :
– pour OQ, par Me U. Schmidt, Rechtsanwalt,
– pour le Land Hessen, par Mes M. Kottmann et G. Ziegenhorn, Rechtsanwälte,
– pour SCHUFA Holding AG, par M. G. Thüsing et Me U. Wuermeling, Rechtsanwalt,
– pour le gouvernement allemand, par M. P.–L. Krüger, en qualité d’agent,
– pour le gouvernement danois, par Mmes V. Pasternak Jørgensen, M. Søndahl Wolff et Y. Thyregod Kollberg, en qualité d’agents,
– pour le gouvernement portugais, par Mmes P. Barros da Costa, I. Oliveira, M. J. Ramos et C. Vieira Guerra, en qualité d’agents,
– pour le gouvernement finlandais, par Mme M. Pere, en qualité d’agent,
– pour la Commission européenne, par MM. A. Bouchagiar, F. Erlbacher et H. Kranenborg, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 16 mars 2023,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 6, paragraphe 1, et de l’article 22 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2, ci-après le
« RGPD »).
2 Cette demande a été présentée dans le cadre d’un litige opposant OQ au Land Hessen (Land de Hesse, Allemagne) au sujet du refus du Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Commissaire à la protection des données et à la liberté de l’information pour le Land de Hesse, Allemagne) (ci-après le « HBDI ») d’enjoindre à SCHUFA Holding AG (ci-après « SCHUFA ») d’accueillir une demande formée par OQ visant à accéder et à effacer des données à caractère personnel la concernant.
Le cadre juridique
Le droit de l’Union
3 Aux termes du considérant 71 du RGPD :
« La personne concernée devrait avoir le droit de ne pas faire l’objet d’une décision, qui peut comprendre une mesure, impliquant l’évaluation de certains aspects personnels la concernant, qui est prise sur le seul fondement d’un traitement automatisé et qui produit des effets juridiques la concernant ou qui, de façon similaire, l’affecte de manière significative, tels que le rejet automatique d’une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention
humaine. Ce type de traitement inclut le “profilage” qui consiste en toute forme de traitement automatisé de données à caractère personnel visant à évaluer les aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements, dès lors qu’il produit
des effets juridiques concernant la personne en question ou qu’il l’affecte de façon similaire de manière significative. Toutefois, la prise de décision fondée sur un tel traitement, y compris le profilage, devrait être permise lorsqu’elle est expressément autorisée par le droit de l’Union ou le droit d’un État membre auquel le responsable du traitement est soumis, y compris aux fins de contrôler et de prévenir les fraudes et l’évasion fiscale conformément aux règles, normes et recommandations des
institutions de l’Union [européenne] ou des organes de contrôle nationaux, et d’assurer la sécurité et la fiabilité d’un service fourni par le responsable du traitement, ou nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement, ou si la personne concernée a donné son consentement explicite. En tout état de cause, un traitement de ce type devrait être assorti de garanties appropriées, qui devraient comprendre une information spécifique
de la personne concernée ainsi que le droit d’obtenir une intervention humaine, d’exprimer son point de vue, d’obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation et de contester la décision. Cette mesure ne devrait pas concerner un enfant.
Afin d’assurer un traitement équitable et transparent à l’égard de la personne concernée, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées, le responsable du traitement devrait utiliser des procédures mathématiques ou statistiques adéquates aux fins du profilage, appliquer les mesures techniques et organisationnelles appropriées pour faire en sorte, en particulier, que les facteurs qui entraînent des erreurs dans les données à
caractère personnel soient corrigés et que le risque d’erreur soit réduit au minimum, sécuriser les données à caractère personnel d’une manière qui tienne compte des risques susceptibles de peser sur les intérêts et les droits de la personne concernée, et prévenir, entre autres, les effets discriminatoires à l’égard des personnes physiques fondés sur l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions, l’appartenance syndicale, le statut génétique ou l’état de
santé, ou l’orientation sexuelle, ou tout traitement qui se traduit par des mesures produisant un tel effet. »
4 L’article 4 de ce règlement, intitulé « Définitions », prévoit :
« Aux fins du présent règlement, on entend par :
[...]
4) “profilage”, toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ;
[...] »
5 L’article 5 dudit règlement, intitulé « Principes relatifs au traitement des données à caractère personnel », dispose :
1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; [...] (limitation des finalités) ;
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
d) exactes et, si nécessaire, tenues à jour ; [...] (exactitude) ;
e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; [...] (limitation de la conservation) ;
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel [...] (intégrité et confidentialité) ;
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »
6 L’article 6 du RGPD, intitulé « Licéité du traitement », énonce, à ses paragraphes 1 et 3 :
« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
[...]
3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :
a) le droit de l’Union ; ou
b) le droit de l’État membre auquel le responsable du traitement est soumis.
Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. [...] »
7 L’article 9 de ce règlement, intitulé « Traitement portant sur des catégories particulières de données à caractère personnel », est ainsi libellé :
« 1. Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.
2. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :
a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée ;
[...]
g) le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ;
[...] »
8 L’article 13 dudit règlement, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », dispose, à son paragraphe 2 :
« En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :
[...]
f) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée. »
9 L’article 14 du RGPD, intitulé « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », dispose, à son paragraphe 2 :
« En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l’égard de la personne concernée :
[...]
g) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée. »
10 L’article 15 de ce règlement, intitulé « Droit d’accès de la personne concernée », énonce, à son paragraphe 1 :
« La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :
[...]
h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée. »
11 L’article 22 dudit règlement, intitulé « Décision individuelle automatisée, y compris le profilage », prévoit :
« 1. La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.
2. Le paragraphe 1 ne s’applique pas lorsque la décision :
a) est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ;
b) est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ; ou
c) est fondée sur le consentement explicite de la personne concernée.
3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.
4. Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l’article 9, paragraphe 1, à moins que l’article 9, paragraphe 2, point a) ou g), ne s’applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place. »
12 L’article 78 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre une autorité de contrôle », dispose, à son paragraphe 1 :
« Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne. »
Le droit allemand
13 L’article 31 du Bundesdatenschutzgesetz (loi fédérale relative à la protection des données), du 30 juin 2017 (BGBl. I, p. 2097, ci-après le « BDSG »), intitulé « Protection des transactions économiques en cas de “scoring” et de renseignements sur la solvabilité », se lit comme suit :
« (1) L’utilisation d’une valeur de probabilité concernant un comportement spécifique, à l’avenir, d’une personne physique afin de décider de l’établissement, de l’exécution ou de la cessation d’une relation contractuelle avec cette personne (“scoring”) n’est autorisée que lorsque
1. les dispositions en matière de droit à la protection des données ont été respectées,
2. il peut être démontré, sur la base d’une méthode mathématique et statistique scientifiquement reconnue, que les données utilisées afin de calculer la valeur de probabilité sont pertinentes pour le calcul relatif à la probabilité du comportement spécifique,
3. le calcul de la valeur de probabilité n’utilise pas exclusivement des données relatives à une adresse et
4. en cas d’utilisation de données relatives à une adresse, la personne concernée a été informée de l’utilisation prévue de ces données avant le calcul de la valeur de probabilité ; cette information doit être attestée par un document.
(2) L’utilisation d’une valeur de probabilité relative à la solvabilité et à la volonté de payer d’une personne physique, établie par des sociétés fournissant des informations commerciales, n’est autorisée, dans le cas dans lequel des informations sur les créances sont incluses, que dans la mesure où les conditions visées au paragraphe 1 sont réunies et où seules sont prises en compte les créances qui sont relatives à une prestation due qui n’a pas été fournie bien que celle-ci soit exigible et
1. qui ont été constatées par un jugement devenu définitif ou déclaré provisoirement exécutoire ou pour lesquelles il existe un titre de dette conformément à l’article 794 de la Zivilprozessordnung [(code de procédure civile)],
2. qui ont été constatées conformément à l’article 178 de l’Insolvenzordnung [(code de l’insolvabilité)] et qui n’ont pas été contestées par le débiteur lors de la réunion d’examen des créances,
3. que le débiteur a expressément reconnues,
4. pour lesquelles
a) le débiteur a reçu au moins deux mises en demeure écrites postérieurement à leur échéance,
b) la première mise en demeure remonte à au moins quatre semaines,
c) le débiteur a été informé préalablement, mais au plus tôt lors de la première mise en demeure, de leur éventuelle prise en compte par une société fournissant des informations commerciales et
d) le débiteur n’a pas contesté la créance ; ou
5. dont la relation contractuelle sous-jacente peut être résiliée sans préavis pour cause de retards de paiement et pour lesquelles le débiteur a été préalablement informé de leur éventuelle prise en compte par une société fournissant des informations commerciales.
Cela vaut sans préjudice de la licéité du traitement, y compris de l’établissement de valeurs de probabilité et d’autres données pertinentes en matière de solvabilité, au regard du droit général de la protection des données. »
Le litige au principal et les questions préjudicielles
14 SCHUFA est une société privée de droit allemand qui fournit à ses partenaires contractuels des informations sur la solvabilité de tiers, notamment de consommateurs. À cette fin, elle établit un pronostic sur la probabilité d’un comportement futur d’une personne (« score »), tel que le remboursement d’un prêt, à partir de certaines caractéristiques de cette personne, sur la base de procédures mathématiques et statistiques. L’établissement des scores (« scoring ») est fondé sur l’hypothèse selon
laquelle il est possible, en assignant une personne à un groupe d’autres personnes possédant des caractéristiques comparables et qui se sont comportées d’une manière donnée, de prédire un comportement similaire.
15 Il ressort de la demande de décision préjudicielle que OQ s’est vu refuser l’octroi d’un prêt par un tiers après avoir fait l’objet d’informations négatives établies par SCHUFA et transmises à ce tiers. OQ a demandé à SCHUFA de lui communiquer des informations sur les données à caractère personnel enregistrées et d’effacer celles d’entre elles qui étaient prétendument erronées.
16 En réponse à cette demande, SCHUFA a informé OQ du niveau de son score et a exposé, dans les grandes lignes, les modalités de calcul des scores. Cependant, elle s’est refusée, en invoquant le secret d’affaires, à divulguer les différentes informations prises en compte aux fins de ce calcul ainsi que leur pondération. Enfin, SCHUFA a indiqué qu’elle se limitait à faire parvenir des informations à ses partenaires contractuels et que c’était ces derniers qui prenaient les décisions contractuelles
proprement dites.
17 Par une réclamation introduite le 18 octobre 2018, OQ a demandé au HBDI, l’autorité de contrôle compétente, d’enjoindre à SCHUFA d’accueillir sa demande d’accès aux informations et d’effacement.
18 Par une décision du 3 juin 2020, le HBDI a rejeté cette demande d’injonction, en expliquant qu’il n’était pas établi que SCHUFA ne respecte pas les exigences énoncées à l’article 31 du BDSG qui lui incombent s’agissant de son activité.
19 OQ a introduit un recours contre cette décision devant le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne), la juridiction de renvoi, en application de l’article 78, paragraphe 1, du RGPD.
20 Selon cette juridiction, il importe de déterminer, aux fins de statuer sur le litige dont elle est saisie, si l’établissement d’une valeur de probabilité telle que celle en cause au principal constitue une décision individuelle automatisée, au sens de l’article 22, paragraphe 1, du RGPD. En effet, dans l’affirmative, la licéité de cette activité serait subordonnée, conformément à l’article 22, paragraphe 2, sous b), de ce règlement, à la condition que cette décision soit autorisée par le droit de
l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis.
21 À cet égard, la juridiction de renvoi nourrit des doutes quant à la thèse selon laquelle l’article 22, paragraphe 1, du RGPD n’est pas applicable à l’activité de sociétés telles que SCHUFA. Elle fonde ses doutes, d’un point de vue factuel, sur l’importance d’une valeur de probabilité telle que celle en cause au principal pour la pratique décisionnelle des tiers auxquels cette valeur de probabilité est transmise et, d’un point de vue juridique, principalement sur les objectifs poursuivis par cet
article 22, paragraphe 1, et sur les garanties de protection juridique consacrées par le RGPD.
22 Plus spécifiquement, la juridiction de renvoi souligne que c’est la valeur de probabilité qui normalement détermine si et comment le tiers contractera avec la personne concernée. Or, l’article 22 du RGPD viserait précisément à protéger les personnes contre les risques liés aux décisions purement fondées sur un automatisme.
23 En revanche, si l’article 22, paragraphe 1, du RGPD devait être interprété en ce sens que la qualité de « décision individuelle automatisée » ne peut être reconnue, dans une situation telle que celle en cause au principal, qu’à la décision prise par le tiers à l’égard de la personne concernée, il en découlerait une lacune dans la protection juridique. En effet, d’une part, une société telle que SCHUFA ne serait pas tenue de donner accès aux informations supplémentaires auxquelles la personne
concernée a droit en vertu de l’article 15, paragraphe 1, sous h), de ce règlement, car cette société ne serait pas celle qui adopte une « décision automatisée », au sens de cette disposition et, par voie de conséquence, au sens de l’article 22, paragraphe 1, dudit règlement. D’autre part, le tiers auquel la valeur de probabilité est communiquée ne pourrait pas fournir ces informations supplémentaires car il n’en dispose pas.
24 Ainsi, selon la juridiction de renvoi, pour éviter une telle lacune dans la protection juridique, il serait nécessaire que l’établissement d’une valeur de probabilité telle que celle en cause au principal relève du champ d’application de l’article 22, paragraphe 1, du RGPD.
25 Si une telle interprétation devait être retenue, la licéité de cette activité serait alors soumise à l’existence d’une base juridique au niveau de l’État membre concerné, conformément à l’article 22, paragraphe 2, sous b), de ce règlement. Or, en l’occurrence, s’il est vrai que l’article 31 du BDSG pourrait constituer une telle base juridique en Allemagne, il existerait des doutes sérieux quant à la compatibilité de cette disposition avec l’article 22 du RGPD car le législateur allemand ne
réglementerait que l’« utilisation » d’une valeur de probabilité telle que celle en cause au principal, et non l’établissement en tant que tel de cette valeur.
26 En revanche, si l’établissement d’une telle valeur de probabilité ne constitue pas une décision individuelle automatisée, au sens de l’article 22 du RGPD, la clause d’ouverture figurant au paragraphe 2, sous b), de cet article 22 ne s’appliquerait pas non plus aux réglementations nationales concernant cette activité. Compte tenu du caractère en principe exhaustif du RGPD et en l’absence d’une autre compétence normative pour de telles réglementations nationales, il semblerait que le législateur
allemand, en assujettissant l’établissement de valeurs de probabilité à des conditions de licéité de fond plus poussées, précise la matière réglementée en allant au-delà des exigences énoncées aux articles 6 et 22 du RGPD, sans disposer de pouvoir de réglementation à cette fin. Si ce point de vue était correct, cela modifierait la marge d’examen de l’autorité nationale de contrôle, qui devrait alors apprécier la compatibilité de l’activité des sociétés fournissant des informations commerciales à
l’aune de l’article 6 de ce règlement.
27 Dans ces conditions, le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) L’article 22, paragraphe 1, du [RGPD] doit-il être interprété en ce sens que l’établissement automatisé d’une valeur de probabilité concernant la capacité de la personne concernée à honorer un prêt à l’avenir constitue déjà une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques concernant cette personne ou l’affectant de manière significative de façon similaire, lorsque cette valeur, établie au moyen de données à caractère
personnel relatives à ladite personne, est communiquée par le responsable du traitement à un tiers responsable du traitement et que celui-ci fonde sa décision relative à l’établissement, à l’exécution ou à la cessation d’une relation contractuelle avec cette même personne de manière déterminante sur ladite valeur ?
2) Si la première question préjudicielle appelle une réponse négative :
l’article 6, paragraphe 1, et l’article 22 du [RGPD] doivent-ils être interprétés en ce sens qu’ils s’opposent à une réglementation nationale en vertu de laquelle l’utilisation d’une valeur de probabilité – en l’espèce, une valeur relative à la solvabilité et la volonté de payer d’une personne physique lorsque des informations sur des créances sont incluses – s’agissant d’un comportement donné futur d’une personne physique aux fins de la décision relative à l’établissement, à l’exécution ou à
la cessation d’une relation contractuelle avec cette personne (“scoring”, [établissement de scores]) n’est autorisée que lorsque d’autres conditions supplémentaires déterminées qui sont exposées plus en détail dans les motifs de la présente décision de renvoi sont réunies ? »
Sur la recevabilité de la demande de décision préjudicielle
28 SCHUFA conteste la recevabilité de la demande de décision préjudicielle en faisant valoir, en premier lieu, que la juridiction de renvoi n’est pas appelée à contrôler le contenu d’une décision sur réclamation, adoptée par une autorité de contrôle telle que le HBDI, dès lors que le recours juridictionnel contre une telle décision, prévu à l’article 78, paragraphe 1, du RGPD, ne sert qu’à contrôler si cette autorité a respecté les obligations qui lui incombent au titre de ce règlement, en
particulier celle de traiter les réclamations, étant précisé que ladite autorité dispose d’un pouvoir discrétionnaire pour décider si et comment elle doit agir.
29 En second lieu, SCHUFA soutient que la juridiction de renvoi n’expose pas les raisons précises pour lesquelles les questions posées seraient décisives pour la solution du litige au principal. Ce dernier aurait pour objet une demande d’information sur un score concret et l’effacement de celui-ci. Or, en l’occurrence, SCHUFA aurait suffisamment respecté son obligation d’information et aurait déjà effacé le score faisant l’objet de la procédure.
30 À cet égard, il convient de rappeler que, selon une jurisprudence constante de la Cour, il appartient au seul juge national, qui est saisi du litige et qui doit assumer la responsabilité de la décision juridictionnelle à intervenir, d’apprécier, au regard des particularités de l’affaire, tant la nécessité d’une décision préjudicielle pour être en mesure de rendre son jugement que la pertinence des questions qu’il pose à la Cour. En conséquence, dès lors que les questions posées portent sur
l’interprétation d’une règle de droit de l’Union, la Cour est, en principe, tenue de statuer (arrêt du 12 janvier 2023, DOBELES HES, C‑702/20 et C‑17/21, EU:C:2023:1, point 46 ainsi que jurisprudence citée).
31 Il s’ensuit que les questions portant sur le droit de l’Union bénéficient d’une présomption de pertinence. Le refus de la Cour de statuer sur une question préjudicielle posée par une juridiction nationale n’est possible que s’il apparaît de manière manifeste que l’interprétation d’une règle de l’Union sollicitée n’a aucun rapport avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de
droit nécessaires pour répondre de façon utile aux questions qui lui sont posées (arrêt du 12 janvier 2023, DOBELES HES, C‑702/20 et C‑17/21, EU:C:2023:1, point 47 ainsi que jurisprudence citée).
32 S’agissant, en premier lieu, du motif d’irrecevabilité tiré d’un contrôle juridictionnel prétendument limité auquel seraient soumises les décisions sur réclamation adoptées par une autorité de contrôle, il convient de rappeler que, conformément à l’article 78, paragraphe 1, du RGPD, sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une
autorité de contrôle qui la concerne.
33 En l’occurrence, la décision adoptée par le HBDI en tant qu’autorité de contrôle constitue une décision juridiquement contraignante, au sens de cet l’article 78, paragraphe 1. En effet, après avoir examiné le bien-fondé de la réclamation dont elle avait été saisie, cette autorité a statué sur celle-ci et a constaté que le traitement des données à caractère personnel contesté par la requérante au principal était licite.
34 En ce qui concerne l’étendue du contrôle juridictionnel exercé sur une telle décision dans le cadre d’un recours formé au titre dudit article 78, paragraphe 1, il suffit de relever qu’une décision sur réclamation adoptée par une autorité de contrôle est soumise à un contrôle juridictionnel entier [arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C‑26/22 et C‑64/22, EU:C:2023:XXX, point 1 du dispositif].
35 Le premier motif d’irrecevabilité soulevé par SCHUFA doit donc être rejeté.
36 En second lieu, il ressort clairement de la demande de décision préjudicielle que la juridiction de renvoi s’interroge sur le critère de contrôle à retenir lors de l’appréciation, à la lumière du RGPD, du traitement des données à caractère personnel en cause au principal, ce critère dépendant de l’applicabilité ou non de l’article 22, paragraphe 1, de ce règlement.
37 Ainsi, il n’apparaît pas de manière manifeste que l’interprétation du RGPD sollicitée par la juridiction de renvoi n’a aucun rapport avec la réalité ou l’objet du litige au principal ni que le problème est de nature hypothétique. En outre, la Cour dispose des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées.
38 Partant, le second motif d’irrecevabilité soulevé par SCHUFA doit également être rejeté.
39 Dans ces conditions, la demande de décision préjudicielle est recevable.
Sur les questions préjudicielles
Sur la première question
40 Par sa première question, la juridiction de renvoi demande, en substance, si l’article 22, paragraphe 1, du RGPD doit être interprété en ce sens que constitue une « décision individuelle automatisée », au sens de cette disposition, l’établissement automatisé, par une société fournissant des informations commerciales, d’une valeur de probabilité fondée sur des données à caractère personnel relatives à une personne et concernant la capacité de celle-ci à honorer des engagements de paiement à
l’avenir lorsque dépend de manière déterminante de cette valeur de probabilité le fait qu’une tierce partie, à laquelle ladite valeur de probabilité est communiquée, établisse, exécute ou mette fin à une relation contractuelle avec cette personne.
41 Aux fins de répondre à cette question, il convient de rappeler, à titre liminaire, que l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie (arrêt du 22 juin 2023, Pankki S, C‑579/21, EU:C:2023:501, point 38 et jurisprudence citée).
42 S’agissant des termes de l’article 22, paragraphe 1, du RGPD, cette disposition prévoit que la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.
43 L’applicabilité de cette disposition est donc soumise à trois conditions cumulatives, à savoir, premièrement, qu’il doit exister une « décision », deuxièmement, que cette décision doit être « fondée exclusivement sur un traitement automatisé, y compris le profilage », et, troisièmement, qu’elle doit produire « des effets juridiques [concernant l’intéressé] » ou l’affecter « de manière significative de façon similaire ».
44 En ce qui concerne, premièrement, la condition relative à l’existence d’une décision, il convient de relever que la notion de « décision », au sens de l’article 22, paragraphe 1, du RGPD, n’est pas définie par ce règlement. Il ressort cependant du libellé même de cette disposition que cette notion renvoie non seulement à des actes qui produisent des effets juridiques concernant la personne en cause mais également des actes qui affectent celle-ci de manière significative de façon similaire.
45 La portée large que revêt la notion de « décision » est confirmée par le considérant 71 du RGPD, aux termes duquel une décision impliquant l’évaluation de certains aspects personnels concernant une personne, dont celle-ci devrait avoir le droit de ne pas faire l’objet, « peut comprendre une mesure » qui soit produit « des effets juridiques la concernant », soit, « de façon similaire, l’affecte de manière significative ». Selon ce considérant, sont couverts par le terme « décision », à titre
d’exemples, le rejet automatique d’une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention humaine.
46 La notion de « décision » au sens de l’article 22, paragraphe 1, du RGPD étant ainsi, comme M. l’avocat général l’a relevé au point 38 de ses conclusions, susceptible d’inclure plusieurs actes pouvant affecter la personne concernée de multiples manières, cette notion est suffisamment large pour englober le résultat du calcul de la solvabilité d’une personne sous la forme d’une valeur de probabilité concernant la capacité de cette personne à honorer des engagements de paiement à l’avenir.
47 S’agissant, deuxièmement, de la condition selon laquelle la décision, au sens de cet article 22, paragraphe 1, doit être « fondée exclusivement sur un traitement automatisé, y compris le profilage », ainsi que l’a relevé M. l’avocat général au point 33 de ses conclusions, il est constant qu’une activité telle que celle de SCHUFA répond à la définition de « profilage » figurant à l’article 4, point 4, du RGPD et donc que cette condition est remplie en l’occurrence, le libellé de la première
question préjudicielle se référant d’ailleurs explicitement à l’établissement automatisé d’une valeur de probabilité fondée sur des données à caractère personnel relatives à une personne et concernant la capacité de celle-ci à honorer un prêt à l’avenir.
48 Pour ce qui est, troisièmement, de la condition selon laquelle la décision doit produire « des effets juridiques » concernant la personne en cause ou l’affecter « de manière significative de façon similaire », il ressort de la teneur même de la première question préjudicielle que l’action de la tierce partie à laquelle la valeur de probabilité est transmise est guidée « de manière déterminante » par cette valeur. Ainsi, selon les constatations factuelles de la juridiction de renvoi, en cas de
demande de prêt adressée par un consommateur à une banque, une valeur de probabilité insuffisante entraîne, dans presque tous les cas, le refus de cette dernière d’accorder le prêt sollicité.
49 Dans ces conditions, il convient de considérer que la troisième condition à laquelle est subordonnée l’application de l’article 22, paragraphe 1, du RGPD est également remplie, une valeur de probabilité telle que celle en cause au principal affectant, à tout le moins, la personne concernée de manière significative.
50 Il en découle que, dans des circonstances telles que celles en cause au principal, dans lesquelles la valeur de probabilité établie par une société fournissant des informations commerciales et communiquée à une banque joue un rôle déterminant dans l’octroi d’un crédit, l’établissement de cette valeur doit être qualifié en soi de décision produisant à l’égard d’une personne concernée « des effets juridiques la concernant ou l’affectant de manière significative de façon similaire », au sens de
l’article 22, paragraphe 1, du RGPD.
51 Cette interprétation est corroborée par le contexte dans lequel s’inscrit l’article 22, paragraphe 1, du RGPD ainsi que par les objectifs et la finalité que ce règlement poursuit.
52 À cet égard, il importe de relever que, comme l’a fait observer M. l’avocat général au point 31 de ces conclusions, l’article 22, paragraphe 1, du RGPD confère à la personne concernée le « droit » de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage. Cette disposition édicte une interdiction de principe dont la méconnaissance ne nécessite pas d’être invoquée de manière individuelle par une telle personne.
53 En effet, ainsi qu’il découle d’une lecture combinée de l’article 22, paragraphe 2, du RGPD et du considérant 71 de ce règlement, l’adoption d’une décision fondée exclusivement sur un traitement automatisé n’est autorisée que dans les cas visés à cet article 22, paragraphe 2, à savoir lorsque cette décision est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement [point a)], lorsqu’elle est autorisée par le droit de l’Union ou le
droit de l’État membre auquel le responsable du traitement est soumis [point b)], ou lorsqu’elle est fondée sur le consentement explicite de la personne concernée [point c)].
54 En outre, l’article 22 du RGPD prévoit, à son paragraphe 2, sous b), et à son paragraphe 3, que des mesures appropriées pour la sauvegarde des droits et des libertés ainsi que des intérêts légitimes de la personne concernée doivent être prévues. Dans les cas visés à l’article 22, paragraphe 2, sous a) et c), de ce règlement, le responsable du traitement met en œuvre au moins le droit de la personne concernée d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la
décision.
55 Par ailleurs, conformément à l’article 22, paragraphe 4, du RGPD, ce n’est que dans certains cas spécifiques que les décisions individuelles automatisées au sens de cet article 22 peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l’article 9, paragraphe 1, de ce règlement.
56 De surcroît, dans le cas d’une prise de décision automatisée, telle que celle visée à l’article 22, paragraphe 1, du RGPD, d’une part, le responsable du traitement est soumis à des obligations d’information supplémentaires en vertu de l’article 13, paragraphe 2, sous f), ainsi que de l’article 14, paragraphe 2, sous g), de ce règlement. D’autre part, la personne concernée bénéficie, en vertu de l’article 15, paragraphe 1, sous h), dudit règlement, du droit d’obtenir du responsable du traitement,
notamment, « des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ».
57 Ces exigences plus élevées quant à la licéité d’une prise de décision automatisée ainsi que les obligations d’information supplémentaires du responsable du traitement et les droits d’accès supplémentaires de la personne concernée qui y sont liés s’expliquent par la finalité que l’article 22 du RGPD poursuit, consistant à protéger les personnes contre les risques particuliers pour leurs droits et libertés que présente le traitement automatisé de données à caractère personnel, y compris le
profilage.
58 En effet, ce traitement implique, ainsi qu’il ressort du considérant 71 du RGPD, l’évaluation d’aspects personnels relatifs à la personne physique concernée par ce traitement, notamment pour analyser ou prédire des aspects concernant son rendement au travail, sa situation économique, sa santé, ses préférences ou centres d’intérêt, sa fiabilité ou son comportement, ou sa localisation et ses déplacements.
59 Ces risques particuliers sont, selon ce considérant, susceptibles de peser sur les intérêts légitimes et les droits de la personne concernée, notamment compte tenu des effets discriminatoires potentiels à l’égard des personnes physiques, fondées sur l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions, l’appartenance syndicale, le statut génétique ou l’état de santé, ou l’orientation sexuelle. Il importe donc, toujours selon ledit considérant, de prévoir des
garanties appropriées et d’assurer un traitement équitable et transparent à l’égard de la personne concernée, en particulier par l’utilisation de procédures mathématiques ou statistiques adéquates aux fins du profilage et par l’application de mesures techniques et organisationnelles appropriées pour faire en sorte que le risque d’erreur soit réduit au minimum.
60 Or, l’interprétation exposée aux points 42 à 50 du présent arrêt, et notamment la portée large de la notion de « décision », au sens de l’article 22, paragraphe 1, du RGPD, renforce la protection effective visée par cette disposition.
61 En revanche, dans des circonstances telles que celles en cause au principal, dans lesquelles trois acteurs sont impliqués, il existerait un risque de contournement de l’article 22 du RGPD et, par suite, une lacune dans la protection juridique si une interprétation restrictive de cette disposition était retenue, selon laquelle l’établissement de la valeur de probabilité doit seulement être considéré comme un acte préparatoire et seul l’acte adopté par la tierce partie peut, le cas échéant, être
qualifié de « décision », au sens de l’article 22, paragraphe 1, de ce règlement.
62 En effet, dans cette hypothèse, l’établissement d’une valeur de probabilité telle que celle en cause au principal échapperait aux exigences spécifiques prévues à l’article 22, paragraphes 2 à 4, du RGPD, alors même que cette procédure repose sur un traitement automatisé et qu’elle produit des effets affectant de manière significative la personne concernée dans la mesure où l’action de la tierce partie, à laquelle cette valeur de probabilité est transmise, est guidée de manière déterminante par
celle-ci.
63 En outre, comme M. l’avocat général l’a relevé au point 48 de ses conclusions, d’une part, la personne concernée ne pourrait pas faire valoir, auprès de la société fournissant des informations commerciales qui établit la valeur de probabilité la concernant, son droit d’accès aux informations spécifiques visées à l’article 15, paragraphe 1, sous h), du RGPD, en l’absence de prise de décision automatisée par cette société. D’autre part, à supposer même que l’acte adopté par la tierce partie relève
pour sa part de l’article 22, paragraphe 1, de ce règlement dès lors qu’il remplit les conditions d’application de cette disposition, cette tierce partie ne serait pas en mesure de fournir ces informations spécifiques car elle n’en dispose généralement pas.
64 Le fait que l’établissement d’une valeur de probabilité telle que celle en cause au principal est couvert par l’article 22, paragraphe 1, du RGPD a pour conséquence, ainsi qu’il a été relevé aux points 53 à 55 du présent arrêt, qu’il est interdit à moins que l’une des exceptions figurant à l’article 22, paragraphe 2, de ce règlement soit applicable et que les exigences spécifiques prévues à l’article 22, paragraphes 3 et 4, dudit règlement soient respectées.
65 S’agissant, plus spécifiquement, de l’article 22, paragraphe 2, sous b), du RGPD, auquel fait référence la juridiction de renvoi, il ressort du libellé même de cette disposition que le droit national qui autorise l’adoption d’une décision individuelle automatisée doit prévoir des mesures appropriées pour la sauvegarde des droits et des libertés ainsi que des intérêts légitimes de la personne concernée.
66 À la lumière du considérant 71 du RGPD, de telles mesures doivent comprendre, en particulier, l’obligation pour le responsable du traitement d’utiliser des procédures mathématiques ou statistiques adéquates, d’appliquer les mesures techniques et organisationnelles appropriées pour faire en sorte que le risque d’erreur soit réduit au minimum et que des erreurs soient corrigées, ainsi que de sécuriser les données à caractère personnel d’une manière qui tienne compte des risques susceptibles de
peser sur les intérêts et les droits de la personne concernée et prévenir, entre autres, les effets discriminatoires à l’égard de celle-ci. Ces mesures incluent, par ailleurs, au moins le droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision prise à son égard.
67 Il importe encore de relever que, conformément à la jurisprudence constante de la Cour, tout traitement de données à caractère personnel doit, d’une part, être conforme aux principes relatifs au traitement des données fixés à l’article 5 du RGPD et, d’autre part, eu égard en particulier au principe de la licéité du traitement, prévu au paragraphe 1, sous a), de cet article, répondre à l’une des conditions de licéité du traitement énumérées à l’article 6 de ce règlement (arrêt du 20 octobre 2022,
Digi, C‑77/21, EU:C:2022:805, point 49 et jurisprudence citée). Le responsable du traitement doit être en mesure de démontrer le respect de ces principes, conformément au principe de responsabilité énoncé à l’article 5, paragraphe 2, dudit règlement (voir, en ce sens, arrêt du 20 octobre 2022, Digi, C‑77/21, EU:C:2022:805, point 24).
68 Ainsi, dans l’hypothèse où le droit d’un État membre autorise, conformément à l’article 22, paragraphe 2, sous b), du RGPD, l’adoption d’une décision fondée exclusivement sur un traitement automatisé, ce traitement doit respecter non seulement les conditions posées à cette dernière disposition et à l’article 22, paragraphe 4, de ce règlement, mais également les exigences posées aux articles 5 et 6 dudit règlement. Partant, les États membres ne sauraient adopter, au titre de l’article 22,
paragraphe 2, sous b) du RGPD, des réglementations qui autorisent le profilage en méconnaissance des exigences posées par ces articles 5 et 6, telles qu’interprétées par la jurisprudence de la Cour.
69 S’agissant en particulier des conditions de licéité, prévues à l’article 6, paragraphe 1, sous a), b), et f), du RGPD, lesquelles sont susceptibles de trouver à s’appliquer dans un cas tel que celui en cause au principal, les États membres ne sont pas habilités à prévoir des règles complémentaires pour la mise en application de ces conditions, une telle faculté étant, conformément à l’article 6, paragraphe 3, de ce règlement, limitée aux motifs visés à l’article 6, paragraphe 1, sous c) et e),
dudit règlement.
70 En outre, en ce qui concerne plus particulièrement l’article 6, paragraphe 1, sous f), du RGPD, les États membres ne sauraient, au titre de l’article 22, paragraphe 2, sous b), de ce règlement, s’écarter des exigences résultant de la jurisprudence de la Cour issue de l’arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette) (C‑26/22 et C‑64/22, EU:C:2023:XXX), notamment, en prescrivant de manière définitive le résultat de la pondération des droits et des intérêts en cause
(voir, en ce sens, arrêt du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779, point 62).
71 En l’occurrence, la juridiction de renvoi indique que seul l’article 31 du BDSG pourrait constituer une base juridique nationale, au sens de l’article 22, paragraphe 2, sous b), du RGPD. Cependant, elle éprouve de sérieux doutes quant à la compatibilité de cet article 31 avec le droit de l’Union. À supposer que cette disposition soit jugée incompatible avec le droit de l’Union, SCHUFA agirait non seulement sans base légale, mais méconnaîtrait ipso iure l’interdiction édictée à l’article 22,
paragraphe 1, du RGPD.
72 À cet égard, il incombe à la juridiction de renvoi de vérifier si l’article 31 du BDSG peut être qualifié de base légale autorisant, au titre de l’article 22, paragraphe 2, sous b), du RGPD, l’adoption d’une décision fondée exclusivement sur un traitement automatisé. Si cette juridiction devait parvenir à la conclusion que ledit article 31 constitue une telle base légale, il lui appartiendrait encore de vérifier si les conditions posées à l’article 22, paragraphes 2, sous b), et 4, du RGPD et
celles figurant aux articles 5 et 6 de ce règlement sont remplies en l’occurrence.
73 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la première question que l’article 22, paragraphe 1, du RGPD doit être interprété en ce sens que l’établissement automatisé, par une société fournissant des informations commerciales, d’une valeur de probabilité fondée sur des données à caractère personnel relatives à une personne et concernant la capacité de celle-ci à honorer des engagements de paiement à l’avenir constitue une « décision individuelle
automatisée », au sens de cette disposition, lorsque dépend de manière déterminante de cette valeur de probabilité le fait qu’une tierce partie, à laquelle ladite valeur de probabilité est communiquée, établisse, exécute ou mette fin à une relation contractuelle avec cette personne.
Sur la seconde question
74 Compte tenu de la réponse apportée à la première question, il n’y a pas lieu de répondre à la seconde question.
Sur les dépens
75 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (première chambre) dit pour droit :
L’article 22, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
l’établissement automatisé, par une société fournissant des informations commerciales, d’une valeur de probabilité fondée sur des données à caractère personnel relatives à une personne et concernant la capacité de celle-ci à honorer des engagements de paiement à l’avenir constitue une « décision individuelle automatisée », au sens de cette disposition, lorsque dépend de manière déterminante de cette valeur de probabilité le fait qu’une tierce partie, à laquelle ladite valeur de probabilité est
communiquée, établisse, exécute ou mette fin à une relation contractuelle avec cette personne.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : l’allemand.