ARRÊT DE LA COUR (première chambre)
27 février 2025 ( *1 )
« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Article 15, paragraphe 1, sous h) – Prise de décision automatisée, y compris un profilage – “Scoring” – Appréciation de la solvabilité d’une personne physique – Accès aux informations utiles concernant la logique sous-jacente au profilage – Vérification de l’exactitude des informations fournies – Directive (UE) 2016/943 – Article 2, point 1 – Secret d’affaires – Données à caractère personnel de tiers »
Dans l’affaire C‑203/22,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Verwaltungsgericht Wien (tribunal administratif de Vienne, Autriche), par décision du 11 février 2022, parvenue à la Cour le 16 mars 2022, dans la procédure
CK
contre
Magistrat der Stadt Wien
en présence de :
Dun & Bradstreet Austria GmbH,
LA COUR (première chambre),
composée de M. K. Lenaerts, président de la Cour, faisant fonction de président de la première chambre, M. T. von Danwitz (rapporteur), vice-président de la Cour, MM. A. Kumin, N. Jääskinen et Mme I. Ziemele, juges,
avocat général : M. J. Richard de la Tour,
greffier : M. A. Calot Escobar,
vu la procédure écrite,
considérant les observations présentées :
– pour CK, par Me C. Wirthensohn, Rechtsanwalt,
– pour Dun & Bradstreet Austria GmbH, par M. D. Cooper, solicitor, Me A.-S. Oberschelp de Meneses, avocate, Mes K. Van Quathem et B. Van Vooren, advocaten,
– pour le gouvernement espagnol, par M. A. Ballesteros Panizo, en qualité d’agent,
– pour le gouvernement néerlandais, par Mmes M. K. Bulterman et C. S. Schillemans, en qualité d’agents,
– pour le gouvernement polonais, par M. B. Majczyna, en qualité d’agent,
– pour la Commission européenne, par MM. A. Bouchagiar, F. Erlbacher et H. Kranenborg, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 12 septembre 2024,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation, d’une part, de l’article 15, paragraphe 1, sous h), et de l’article 22 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »), et,
d’autre part, de l’article 2, point 1, de la directive (UE) 2016/943 du Parlement européen et du Conseil, du 8 juin 2016, sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites (JO 2016, L 157, p. 1).
2 Cette demande a été présentée dans le cadre d’un litige opposant CK au Magistrat der Stadt Wien (administration municipale de la ville de Vienne, Autriche) au sujet de l’exécution forcée d’une décision juridictionnelle enjoignant à Bisnode Austria GmbH, devenue Dun & Bradstreet Austria GmbH (ci-après « D & B »), une entreprise spécialisée dans la fourniture d’évaluations de crédit, de fournir à CK des informations utiles concernant la logique sous-jacente à un profilage portant sur ses données à
caractère personnel.
Le cadre juridique
Le droit de l’Union
Le RGPD
3 Les considérants 4, 11, 58, 63 et 71 du RGPD énoncent :
« (4) Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité. Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la [charte des droits fondamentaux
de l’Union européenne (ci-après la “Charte”)], consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et linguistique.
[...]
(11) Une protection effective des données à caractère personnel dans l’ensemble de l’Union [européenne] exige de renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel, ainsi que de prévoir, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle du respect des règles relatives à la protection des données à caractère personnel et des sanctions équivalentes pour les
violations.
[...]
(58) Le principe de transparence exige que toute information adressée au public ou à la personne concernée soit concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples et, en outre, lorsqu’il y a lieu, illustrée à l’aide d’éléments visuels. [...]
[...]
(63) Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. [...] Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne
devraient pas aboutir à refuser toute communication d’informations à la personne concernée. [...]
[...]
(71) La personne concernée devrait avoir le droit de ne pas faire l’objet d’une décision, qui peut comprendre une mesure, impliquant l’évaluation de certains aspects personnels la concernant, qui est prise sur le seul fondement d’un traitement automatisé et qui produit des effets juridiques la concernant ou qui, de façon similaire, l’affecte de manière significative, tels que le rejet automatique d’une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention
humaine. Ce type de traitement inclut le “profilage” qui consiste en toute forme de traitement automatisé de données à caractère personnel visant à évaluer les aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements, dès lors qu’il
produit des effets juridiques concernant la personne en question ou qu’il l’affecte de façon similaire de manière significative. [...] En tout état de cause, un traitement de ce type devrait être assorti de garanties appropriées, qui devraient comprendre une information spécifique de la personne concernée ainsi que le droit d’obtenir une intervention humaine, d’exprimer son point de vue, d’obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation et de contester la
décision. [...]. »
4 L’article 4, point 4, de ce règlement, intitulé « Définitions », prévoit :
« Aux fins du présent règlement, on entend par :
[...]
4) “profilage”, toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».
5 L’article 12 dudit règlement, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », dispose, à son paragraphe 1 :
« Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. [...] »
6 L’article 13 du même règlement, qui concerne les informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée, et l’article 14 de celui-ci, qui concerne les informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, prévoient respectivement à leurs paragraphe 2, sous f) et paragraphe 2, sous g), que le responsable du traitement est tenu de fournir à la personne concernée, pour
garantir un traitement équitable et transparent à l’égard de celle-ci, notamment l’information de « l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ».
7 L’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée », est libellé comme suit :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :
[...]
h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
[...]
3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en
soit autrement.
4. Le droit d’obtenir une copie visé au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui. »
8 L’article 22 de ce règlement, intitulé « Décision individuelle automatisée, y compris le profilage », énonce :
« 1. La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.
2. Le paragraphe 1 ne s’applique pas lorsque la décision :
a) est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ;
b) est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ; ou
c) est fondée sur le consentement explicite de la personne concernée.
3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.
4. Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l’article 9, paragraphe 1, à moins que l’article 9, paragraphe 2, point a) ou g), ne s’applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place. »
9 Aux termes de l’article 23 dudit règlement, intitulé « Limitations » :
« 1. Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et
qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir :
[...]
i) la protection de la personne concernée ou des droits et libertés d’autrui ;
[...]
2. En particulier, toute mesure législative visée au paragraphe 1 contient des dispositions spécifiques relatives, au moins, le cas échéant :
a) aux finalités du traitement ou des catégories de traitement ;
b) aux catégories de données à caractère personnel ;
c) à l’étendue des limitations introduites ;
d) aux garanties destinées à prévenir les abus ou l’accès ou le transfert illicites ;
e) à la détermination du responsable du traitement ou des catégories de responsables du traitement ;
f) aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement ;
g) aux risques pour les droits et libertés des personnes concernées ; et
h) au droit des personnes concernées d’être informées de la limitation, à moins que cela ne risque de nuire à la finalité de la limitation. »
10 L’article 54 du même règlement, intitulé « Règles relatives à l’établissement de l’autorité de contrôle », dispose, à son paragraphe 2 :
« Le ou les membres et les agents de chaque autorité de contrôle sont soumis, conformément au droit de l’Union ou au droit des États membres, au secret professionnel concernant toute information confidentielle dont ils ont eu connaissance dans l’exercice de leurs missions ou de leurs pouvoirs, y compris après la fin de leur mandat. Pendant la durée de leur mandat, ce secret professionnel s’applique en particulier au signalement par des personnes physiques de violations du présent règlement. »
11 L’article 58 du RGPD, intitulé « Pouvoirs », prévoit, à son paragraphe 1, sous e) :
« Chaque autorité de contrôle dispose de tous les pouvoirs d’enquête suivants :
e) obtenir du responsable du traitement et du sous-traitant l’accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l’accomplissement de ses missions ».
La directive 2016/943
12 Le considérant 35 de la directive 2016/943 énonce :
« [...] la présente directive ne devrait pas avoir d’incidence sur les droits et obligations fixés par la [directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31)], notamment le droit de la personne concernée d’accéder aux données à caractère personnel la concernant qui font l’objet d’un traitement et le
droit d’obtenir la rectification, l’effacement ou le verrouillage de ces données lorsqu’elles sont incomplètes ou inexactes [...] ».
13 L’article 2, point 1, de cette directive prévoit :
« Aux fins de la présente directive, on entend par :
1) “secret d’affaires”, des informations qui répondent à toutes les conditions suivantes :
a) elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l’assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles,
b) elles ont une valeur commerciale parce qu’elles sont secrètes,
c) elles ont fait l’objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes ».
14 L’article 9 de ladite directive, intitulé « Protection du caractère confidentiel des secrets d’affaires au cours des procédures judiciaires », dispose :
« 1. Les États membres veillent à ce que les parties, leurs avocats ou autres représentants, le personnel judiciaire, les témoins, les experts et toute autre personne participant à une procédure judiciaire relative à l’obtention, l’utilisation ou la divulgation illicite d’un secret d’affaires, ou ayant accès à des documents faisant partie d’une telle procédure, ne soient pas autorisés à utiliser ou divulguer un secret d’affaires ou un secret d’affaires allégué que les autorités judiciaires
compétentes ont, en réponse à la demande dûment motivée d’une partie intéressée, qualifié de confidentiel et dont ils ont eu connaissance en raison de cette participation ou de cet accès. À cet égard, les États membres peuvent aussi permettre aux autorités judiciaires compétentes d’agir d’office.
L’obligation visée au premier alinéa perdure après la fin de la procédure judiciaire. Toutefois, elle cesse d’exister dans l’une ou l’autre des circonstances suivantes :
a) il est constaté, dans une décision définitive, que le secret d’affaires allégué ne remplit pas les conditions prévues à l’article 2, point 1) ; ou
b) les informations en cause sont devenues, au fil du temps, généralement connues des personnes appartenant aux milieux qui s’occupent normalement de ce genre d’informations, ou sont devenues aisément accessibles à ces personnes.
2. Les États membres veillent également à ce que les autorités judiciaires compétentes puissent, à la demande dûment motivée d’une partie, prendre les mesures particulières nécessaires pour protéger le caractère confidentiel de tout secret d’affaires ou secret d’affaires allégué utilisé ou mentionné au cours d’une procédure judiciaire relative à l’obtention, l’utilisation ou la divulgation illicite d’un secret d’affaires. Les États membres peuvent aussi permettre aux autorités judiciaires
compétentes de prendre de telles mesures d’office.
Les mesures visées au premier alinéa incluent au moins la possibilité :
a) de restreindre à un nombre limité de personnes l’accès à tout ou partie d’un document contenant des secrets d’affaires ou des secrets d’affaires allégués produit par les parties ou par des tiers ;
b) de restreindre à un nombre limité de personnes l’accès aux audiences, lorsque des secrets d’affaires ou des secrets d’affaires allégués sont susceptibles d’y être divulgués, ainsi qu’aux procès-verbaux ou notes d’audience ;
c) de mettre à la disposition de toute personne autre que celles faisant partie du nombre limité de personnes visées aux points a) et b) une version non confidentielle de toute décision judiciaire dans laquelle les passages contenant des secrets d’affaires ont été supprimés ou biffés.
Le nombre de personnes visées au deuxième alinéa, points a) et b), n’est pas supérieur à ce qui est nécessaire pour garantir aux parties à la procédure judiciaire le respect de leur droit à un recours effectif et à accéder à un tribunal impartial et il comprend, au moins, une personne physique pour chaque partie et l’avocat de chaque partie ou d’autres représentants de ces parties à la procédure judiciaire.
3. Lorsqu’elles se prononcent sur les mesures visées au paragraphe 2 et évaluent leur caractère proportionné, les autorités judiciaires compétentes prennent en considération la nécessité de garantir le droit à un recours effectif et à accéder à un tribunal impartial, les intérêts légitimes des parties et, le cas échéant, des tiers, ainsi que tout dommage que l’octroi ou le refus de ces mesures pourrait causer à l’une ou l’autre des parties et, le cas échéant, à des tiers.
4. Tout traitement de données à caractère personnel en vertu du paragraphe 1, 2 ou 3 est effectué conformément à la [directive 95/46]. »
Le droit autrichien
15 L’article 4, paragraphe 6, du Datenschutzgesetz (loi sur la protection des données), du 17 août 1999 (BGBl. I, 165/1999), dans sa version applicable au litige principal (ci-après le « DSG »), exclut, en principe, l’accès de la personne concernée à ses données à caractère personnel, prévu à l’article 15 du RGPD, lorsque cet accès porte préjudice à un secret commercial ou industriel du responsable du traitement ou d’un tiers.
Le litige au principal et les questions préjudicielles
16 CK s’est vu refuser, par un opérateur de téléphonie mobile, la conclusion ou la prolongation d’un contrat de téléphonie mobile, qui aurait impliqué le paiement mensuel d’une somme de dix euros, au motif que, selon une évaluation de son crédit par voie automatisée, à laquelle a procédé D & B, elle ne présentait pas une solvabilité financière suffisante.
17 CK a saisi l’autorité autrichienne de protection des données, laquelle a enjoint à D & B de communiquer à CK des informations utiles sur la logique sous-jacente à la prise de décision automatisée fondée sur les données à caractère personnel relatives à CK.
18 D & B a formé un recours contre la décision de cette autorité devant le Bundesverwaltungsgericht (tribunal administratif fédéral, Autriche), en faisant valoir, en substance, que, en raison d’un secret d’affaires protégé, elle n’avait pas à communiquer à CK d’informations supplémentaires à celles qui lui avaient déjà été fournies.
19 Par décision du 23 octobre 2019 (ci-après la « décision du 23 octobre 2019 »), cette juridiction a constaté que D & B avait violé l’article 15, paragraphe 1, sous h), du RGPD, en ne fournissant pas à CK des informations utiles sur la logique sous-jacente à la prise de décision automatisée fondée sur les données à caractère personnel relatives à CK, ou, à tout le moins, en ne motivant pas de façon suffisante l’impossibilité dans laquelle elle se serait trouvée de fournir ces informations.
20 En particulier, dans cette décision, le Bundesverwaltungsgericht (tribunal administratif fédéral) a relevé que D & B n’avait pas fourni à CK d’explications suffisantes lui permettant de comprendre comment avait été établi, la concernant, le pronostic sur la probabilité de son comportement futur (« score »), que cette entreprise lui a communiqué avec la précision que, pour obtenir ce « score », certaines données sociodémographiques de CK avaient été « agrégées de manière équivalente ».
21 La décision du 23 octobre 2019 est devenue définitive et est exécutoire en vertu du droit autrichien. Néanmoins, la demande d’exécution forcée de cette décision, formée par CK auprès de l’administration municipale de la ville de Vienne, qui est l’autorité d’exécution, a été rejetée au motif que D & B aurait satisfait à suffisance à son obligation d’information, bien que cette société n’ait fourni aucune information supplémentaire après l’adoption de cette même décision.
22 CK a introduit un recours contre la décision de l’administration municipale de la ville de Vienne devant le Verwaltungsgericht Wien (tribunal administratif de Vienne, Autriche), qui est la juridiction de renvoi, en vue de l’exécution forcée de la décision du 23 octobre 2019.
23 La juridiction de renvoi considère que, en vertu du droit autrichien, elle est tenue de faire exécuter cette dernière décision, ce qui impliquerait de déterminer les actes concrets que D & B est tenue d’accomplir en vertu de celle-ci.
24 Estimant que cette détermination ne peut être effectuée que par un expert ayant les compétences requises, la juridiction de renvoi a désigné un expert qui a considéré que D & B est tenue de fournir, pour satisfaire à ses obligations à l’égard de CK, les informations minimales suivantes :
– les données à caractère personnel relatives à CK qui ont été traitées dans le cadre de la constitution d’un « facteur » (date de naissance, adresse, sexe, etc.) ;
– la formule mathématique à la base du calcul ayant abouti au « score » en cause au principal ;
– la valeur concrète attribuée à CK pour chacun des facteurs concernés, et
– la précision des intervalles à l’intérieur desquels la même valeur est attribuée à différentes données pour le même facteur (évaluation par intervalles ou évaluation discrète ou indicielle/cadastrale).
25 Afin de garantir que, après leur communication, l’exactitude de ces informations minimales puisse être vérifiée par CK, D & B devrait également fournir une liste établissant les « scores » de personnes (« scoring ») pour la période couvrant les six mois qui ont précédé et les six mois qui ont suivi l’établissement du « score » de CK, et qui ont été obtenus sur le fondement de la même règle de calcul.
26 Selon la juridiction de renvoi, seule la communication des informations minimales recensées par ledit expert permettrait de vérifier la cohérence et l’exactitude des informations fournies par un responsable du traitement en vertu de l’article 15, paragraphe 1, sous h), du RGPD.
27 En l’occurrence, plusieurs indices montreraient clairement que les informations fournies par D & B sont contraires aux faits. En effet, alors que les informations communiquées à CK, dont notamment le « score » obtenu, attestaient d’une très bonne solvabilité de celle-ci, le profilage réel aurait conduit à considérer qu’elle n’était pas solvable, y compris quant au paiement de la somme de dix euros par mois en vertu d’un contrat de téléphonie mobile.
28 La juridiction de renvoi estime que se pose donc la question de savoir si l’article 15, paragraphe 1, sous h), du RGPD garantit à la personne concernée de pouvoir vérifier l’exactitude des informations communiquées par le responsable du traitement.
29 Dans l’hypothèse où l’article 15, paragraphe 1, sous h), du RGPD ne garantirait pas cette vérification, le droit d’accès aux données à caractère personnel de la personne concernée et à d’autres informations qui y est prévu serait vidé de toute portée et rendu inutile, d’autant que chaque responsable pourrait dans ce cas être en mesure de fournir des informations erronées.
30 Se poserait également la question de savoir si et, le cas échéant, dans quelle mesure l’exception tirée de l’existence d’un secret d’affaires est de nature à restreindre ce droit d’accès que garantissent les dispositions combinées de l’article 15, paragraphe 1, sous h), et de l’article 22 du RGPD.
31 À la lumière des règles prévues à l’article 9 de la directive 2016/943, il conviendrait d’apprécier s’il est envisageable de ne communiquer qu’à l’autorité ou à la juridiction saisie les informations qualifiées de « secrets d’affaires », au sens de l’article 2, point 1, de cette directive, pour que cette autorité ou cette juridiction vérifie de manière autonome s’il y a lieu de considérer qu’il existe effectivement un tel secret d’affaires et si ces informations fournies par le responsable du
traitement, au sens de l’article 15, paragraphe 1, du RGPD, sont conformes à la réalité de la situation en cause.
32 Enfin, il importerait d’examiner si une disposition telle que l’article 4, paragraphe 6, du DSG, qui exclut, en principe, le droit d’accès de la personne concernée, prévu à l’article 15 du RGPD, lorsque cet accès compromettrait un secret d’affaires ou d’entreprise du responsable du traitement ou d’un tiers, peut être considérée comme étant conforme aux dispositions combinées de l’article 15, paragraphe 1, et de l’article 22, paragraphe 3, du RGPD.
33 Dans ces conditions, le Verwaltungsgericht Wien (tribunal administratif de Vienne) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) Quelles sont les exigences matérielles auxquelles doivent répondre les informations communiquées dans le cadre d’un droit d’accès pour être considérées comme suffisamment “utiles” au sens de l’article 15, paragraphe 1, sous h), du [RGPD] ?
Dans le cas d’un profilage, et sous l’éventuelle réserve de la préservation d’un secret d’affaires existant, le responsable du traitement est-il en principe tenu, en donnant accès aux informations concernant la “logique sous-jacente”, de fournir également les informations essentielles destinées à rendre intelligible le résultat de la décision individuelle automatisée, et ce, notamment, en communiquant : 1) les données traitées de la personne concernée ; 2) les parties de l’algorithme à la
base du profilage qui sont nécessaires à son intelligibilité ; et 3) les informations pertinentes pour établir le lien entre les informations traitées et la valorisation effectuée ?
Dans les cas ayant pour objet un profilage, le titulaire du droit d’accès, au sens de l’article 15, paragraphe 1, sous h), du RGPD, est-il en droit, même en cas d’exception tirée de l’existence d’un secret d’affaires, d’obtenir l’accès aux informations suivantes, relatives au traitement concret qui le concerne, afin de pouvoir faire valoir ses droits en vertu de l’article 22, paragraphe 3, du RGPD :
a) communication de toutes les informations, éventuellement [après avoir fait l’objet d’une pseudonymisation], portant notamment sur la façon dont les données de la personne concernée sont traitées, qui permettent de vérifier le respect du RGPD,
b) mise à disposition des données d’entrée utilisées pour le profilage,
c) les paramètres et les variables d’entrée utilisés pour la détermination de l’évaluation,
d) l’incidence de ces paramètres et variables d’entrée sur l’évaluation calculée,
e) des informations sur l’obtention des paramètres ou des variables d’entrée,
f) explication de la raison pour laquelle le titulaire du droit d’accès au sens de l’article 15, paragraphe 1, sous h), du RGPD a été associé à un résultat d’évaluation spécifique, et présentation de la déclaration associée à cette évaluation,
g) énumération des catégories de profil et explication de la déclaration associée à chacune d’entre elles ?
2) Le droit d’accès que prévoit l’article 15, paragraphe 1, sous h), du RGPD, d’une part, et les droits d’exprimer son point de vue et de contester une décision automatisée au sens de l’article 22 du RGPD, que garantit l’article 22, paragraphe 3, du RGPD, d’autre part, sont-ils liés par un rapport tel que les informations à fournir à la suite d’une demande d’accès, au sens de l’article 15, paragraphe 1, sous h), du RGPD, ne sont suffisamment “utiles” que si la personne sollicitant l’accès, et
concernée au sens de l’article 15, paragraphe 1, sous h), du RGPD, est mise en mesure d’exercer de manière effective, approfondie et prometteuse les droits que lui garantit l’article 22, paragraphe 3, du RGPD, à savoir d’exprimer son point de vue et de contester la décision automatisée qui la concerne au sens de l’article 22 du RGPD ?
3) a) L’article 15, paragraphe 1, sous h), du RGPD doit-il être interprété en ce sens que les informations ne peuvent être qualifiées d’“informations utiles” au sens de cette disposition que si elles sont suffisamment circonstanciées pour permettre au titulaire du droit d’accès, au sens de l’article 15, paragraphe 1, sous h), du RGPD, de constater si ces informations fournies correspondent bien aux faits, et donc si la décision automatisée concrètement demandée est effectivement fondée sur les
informations communiquées ?
b) Dans l’affirmative : comment faut-il procéder lorsque l’exactitude des informations fournies par un responsable ne peut être vérifiée que si le titulaire du droit d’accès au sens de l’article 15, paragraphe 1, sous h), du RGPD doit également se voir communiquer des données de tiers protégées par le RGPD (boîte noire) ?
Ce conflit entre le droit d’accès au sens de l’article 15, paragraphe 1, du RGPD et le droit des tiers à la protection de leurs données peut-il être résolu en ne communiquant qu’à l’autorité ou à la juridiction les données de tiers qui sont nécessaires à la vérification de l’exactitude, et qui ont également été soumises au même profilage, de telle sorte que l’autorité ou la juridiction vérifiera de manière autonome si les données de ces tiers qui sont communiquées correspondent aux faits ?
c) Dans l’affirmative : quels droits le titulaire du droit d’accès au sens de l’article 15, paragraphe 1, sous h), du RGPD doit-il en tout état de cause se voir reconnaître lorsque la nécessité d’assurer la protection des droits des tiers au sens de l’article 15, paragraphe 4, du RGPD impose la création de la boîte noire évoquée au point 3b) ?
Dans cette hypothèse, les données d’autres personnes que le responsable, au sens de l’article 15, paragraphe 1, du RGPD, est tenu de communiquer pour permettre la vérification de l’exactitude de la prise de décision doivent-elles être en tout état de cause communiquées [sous une forme pseudonymisée] au titulaire du droit d’accès au sens de l’article 15, paragraphe 1, sous h), du RGPD ?
4) a) Comment faut-il procéder lorsque les informations à fournir, au sens de l’article 15, paragraphe 1, sous h), du RGPD, répondent également aux conditions d’un secret d’affaires au sens de l’article 2, point 1, de la [directive 2016/943] ?
Le conflit entre le droit d’accès garanti par l’article 15, paragraphe 1, sous h), du RGPD et le droit à la non–divulgation d’un secret d’affaires protégé par la directive 2016/943 peut-il être résolu en ne communiquant qu’à l’autorité ou à la juridiction les informations considérées comme des secrets d’affaires au sens de l’article 2, point 1, de la directive 2016/943, de telle sorte que l’autorité ou la juridiction vérifiera de manière autonome s’il convient d’admettre l’existence d’un
secret d’affaires, au sens de l’article 2, point 1, de la directive 2016/943, et si les informations fournies par le responsable, au sens de l’article 15, paragraphe 1, du RGPD, correspondent aux faits ?
4) b) Dans l’affirmative : quels droits le titulaire du droit d’accès au sens de l’article 15, paragraphe 1, sous h), du RGPD doit-il en tout état de cause se voir reconnaître lorsque la nécessité d’assurer la protection des droits des tiers au sens de l’article 15, paragraphe 4, du RGPD impose la création de la boîte noire évoquée au point 4a) ?
Dans cette hypothèse d’un démembrement entre les informations à communiquer à l’autorité ou à la juridiction, d’une part, et celles qui sont à communiquer au titulaire du droit d’accès, au sens de l’article 15, paragraphe 1, sous h), du RGPD, d’autre part, le titulaire du droit d’accès, au sens de l’article 15, paragraphe 1, sous h), du RGPD, doit-il en tout état de cause, dans les cas ayant pour objet un profilage, se voir (également) communiquer les informations suivantes relatives au
traitement concret le concernant, afin de lui permettre de préserver pleinement les droits que lui confère l’article 22, paragraphe 3, du RGPD :
– communication de toutes les informations, éventuellement [après avoir fait l’objet d’une pseudonymisation], portant notamment sur la façon dont les données de la personne concernée sont traitées, qui permettent de vérifier le respect du RGPD,
– mise à disposition des données d’entrée utilisées pour le profilage,
– les paramètres et les variables d’entrée utilisés pour la détermination de l’évaluation,
– l’incidence de ces paramètres et variables d’entrée sur l’évaluation calculée,
– des informations sur l’obtention des paramètres ou des variables d’entrée,
– explication de la raison pour laquelle le titulaire du droit d’accès au sens de l’article 15, paragraphe 1, sous h), du RGPD a été associé à un résultat d’évaluation spécifique, et présentation de la déclaration associée à cette évaluation,
– énumération des catégories de profil et explication de la déclaration associée à chacune d’entre elles ?
5) La disposition prévue à l’article 15, paragraphe 4, du RGPD limite-t-elle de quelque façon que ce soit la portée des informations à fournir conformément à l’article 15, paragraphe 1, sous h), du RGPD ?
Dans l’affirmative, de quelle manière ce droit d’accès est-il limité par l’article 15, paragraphe 4, du RGPD, et comment cette portée de la limitation doit-elle être déterminée dans chaque cas ?
6) La disposition prévue à l’article 4, paragraphe 6, du [DSG], aux termes de laquelle “le droit d’accès dont bénéficie la personne concernée en vertu de l’article 15 du RGPD n’est en principe pas constitué à l’égard d’un responsable lorsque cet accès compromettrait un secret d’affaires ou d’entreprise du responsable ou d’un tiers”, est-elle conforme aux dispositions combinées de l’article 15, paragraphe 1, et de l’article 22, paragraphe 3, du RGPD ? Dans l’affirmative, sous quelles conditions
une telle compatibilité est-elle constituée ? »
La procédure devant la Cour
34 Par décision du 8 décembre 2022, le président de la Cour a suspendu la présente procédure dans l’attente de la décision mettant fin à l’instance dans l’affaire C‑634/21, SCHUFA Holding e.a. (Scoring).
35 Conformément à la décision du président de la Cour du 13 décembre 2023, le greffe de la Cour a notifié à la juridiction de renvoi l’arrêt du 7 décembre 2023, SCHUFA Holding e.a. (Scoring) (C‑634/21, EU:C:2023:957), en l’invitant à lui indiquer si, compte tenu de cet arrêt, elle souhaitait maintenir sa demande de décision préjudicielle.
36 Par courrier parvenu au greffe de la Cour le 29 janvier 2024, cette juridiction a indiqué qu’elle maintenait sa demande de décision préjudicielle, dès lors que l’arrêt du 7 décembre 2023, SCHUFA Holding e.a. (Scoring) (C‑634/21, EU:C:2023:957), ne permettait pas de répondre aux questions qu’elle a posées dans la présente affaire.
37 Par décision du 14 février 2024, le président de la Cour a donc ordonné la reprise de la procédure dans la présente affaire.
Sur les questions préjudicielles
Sur les première et deuxième questions ainsi que sur la troisième question, sous a)
38 Par les première et deuxième questions ainsi que par la troisième question, sous a), qu’il convient d’examiner conjointement, la juridiction de renvoi demande, en substance, si l’article 15, paragraphe 1, sous h), du RGPD doit être interprété en ce sens que, en cas de prise de décision automatisée, y compris un profilage, au sens de l’article 22, paragraphe 1, de ce règlement, la personne concernée peut exiger du responsable du traitement, au titre des « informations utiles concernant la logique
sous-jacente », une explication exhaustive de la procédure et des principes concrètement appliqués pour exploiter, par la voie automatisée, les données à caractère personnel relatives à cette personne aux fins d’en obtenir un résultat déterminé, tel un profil de solvabilité.
39 Selon une jurisprudence constante de la Cour, afin d’interpréter une disposition du droit de l’Union, il convient de tenir compte non seulement des termes de celle-ci, mais également de son contexte et des objectifs poursuivis par la réglementation dont elle fait partie (arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 19 ainsi que jurisprudence citée).
40 En ce qui concerne, tout d’abord, le libellé de l’article 15, paragraphe 1, sous h), du RGPD, il importe de relever, d’une part, que les acceptions de la notion d’« informations utiles », au sens de cette disposition, dans les différentes versions linguistiques de celle-ci divergent, certaines privilégiant, à l’instar de la version en langue française, la fonctionnalité (« nuttige » en langue néerlandaise, « úteis » en langue portugaise) ou la pertinence (« pertinente » en langue roumaine) des
informations à fournir, alors que d’autres insistent davantage sur l’importance de celles-ci (« significativa » en langue espagnole et « istotne » en langue polonaise). Enfin, tant dans la version en langue allemande que dans celle en langue anglaise de ladite disposition, le terme retenu (respectivement, « aussagekräftig » et « meaningful ») peut être compris aussi bien comme faisant référence à la bonne intelligibilité desdites informations que comme se rapportant à une certaine qualité de
celles–ci.
41 Or, la diversité d’acceptions retenues dans les différentes versions linguistiques doit être comprise dans le sens d’une complémentarité des significations exposées au point précédent, dont il convient de tenir compte lors de l’interprétation de la notion d’« informations utiles concernant la logique sous-jacente », au sens de l’article 15, paragraphe 1, sous h), du RGPD, ainsi que l’a relevé M. l’avocat général, en substance, au point 65 de ses conclusions.
42 D’autre part, au vu de sa formulation générale, la référence, à cette disposition, à la « logique sous-jacente » à une prise de décision automatisée, qui constitue l’objet desdites « informations utiles », est susceptible de couvrir un large éventail de « logiques » d’exploitation de données à caractère personnel et d’autres données aux fins d’en obtenir, par la voie automatisée, un résultat déterminé. Cette interprétation est corroborée par certaines versions linguistiques de ladite disposition
qui emploient des termes visant, de manière complémentaire, différents aspects de l’acception commune de la notion de « logique ». Ainsi, par exemple, dans les versions en langues tchèque et polonaise, référence est faite respectivement aux termes « postupu » et à « zasady », qui peuvent être traduits par « procédure » et « principes ».
43 Il y a donc lieu de considérer que le libellé de l’article 15, paragraphe 1, sous h), du RGPD vise toute information pertinente relative à la procédure et aux principes d’exploitation, par la voie automatisée, de données à caractère personnel aux fins d’en obtenir un résultat déterminé.
44 S’agissant, ensuite, du contexte dans lequel s’inscrit la notion d’« informations utiles concernant la logique sous-jacente », figurant à l’article 15, paragraphe 1, sous h), du RGPD, il importe de souligner, en premier lieu, que ces informations ne sont qu’une partie de celles visées par le droit d’accès prévu à cet article, celui-ci concernant également les informations relatives à l’importance et aux conséquences prévues du traitement en cause pour la personne concernée.
45 Si ces dernières informations, qui, selon les lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679, adoptées le 3 octobre 2017 par le groupe de travail institué par l’article 29 de la directive 95/46, dans leur version révisée et adoptée le 6 février 2018, pour être utiles et compréhensibles, devraient être assorties d’« exemples réels et tangibles », ne font pas l’objet des questions posées par la juridiction de renvoi,
il convient néanmoins d’en tenir compte en tant qu’élément du contexte dans lequel s’inscrit la notion d’« informations utiles concernant la logique sous-jacente ».
46 En deuxième lieu, au regard du fait que la notion d’« informations utiles concernant la logique sous-jacente » figure également à l’article 13, paragraphe 2, sous f), et à l’article 14, paragraphe 2, sous g), du RGPD, la Cour a déjà constaté que, dans le cas d’une prise de décision automatisée, au sens de l’article 22, paragraphe 1, de ce règlement, le droit d’accès à de telles informations consacré à l’article 15, paragraphe 1, sous h), de celui-ci forme un ensemble avec les obligations
d’information supplémentaires qui s’imposent au responsable du traitement en vertu de cet article 13, paragraphe 2, sous f), et de cet article 14, paragraphe 2, sous g), du RGPD [voir, en ce sens, arrêt du 7 décembre 2023, SCHUFA Holding e.a. (Scoring), C‑634/21, EU:C:2023:957, point 56].
47 En troisième lieu, comme l’a exposé, en substance, M. l’avocat général aux points 58 à 60 de ses conclusions, il convient de tenir compte, dans le cadre de l’interprétation contextuelle des droits d’accès prévus en cas de prise de décision automatisée, de la jurisprudence de la Cour relative aux exigences que doit respecter le responsable du traitement en vertu de l’article 15, paragraphe 3, du RGPD.
48 Ainsi, il y a lieu de tenir compte notamment du fait que l’exigence de transparence des informations communiquées, prévue à l’article 12, paragraphe 1, du RGPD, s’applique à toutes les données et informations visées audit article 15, y compris à celles qui sont liées à la prise de décision automatisée.
49 En vue de garantir que la personne concernée soit mise en mesure de pleinement comprendre les informations qui lui sont fournies par le responsable du traitement, ledit article 12, paragraphe 1, oblige ce dernier à prendre des mesures appropriées notamment pour fournir à la personne concernée ces données et informations d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples (voir, en ce sens, arrêt du 4 mai 2023, Österreichische
Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 38).
50 L’examen du contexte dans lequel s’insère l’article 15, paragraphe 1, sous h), du RGPD corrobore ainsi l’interprétation qui se dégage de l’analyse des termes de cette disposition, selon laquelle les « informations utiles concernant la logique sous-jacente » à une prise de décision automatisée, au sens de cette disposition, visent toute information pertinente concernant la procédure et les principes d’exploitation de données à caractère personnel aux fins d’en obtenir, par la voie automatisée, un
résultat déterminé, l’obligation de transparence exigeant par ailleurs que ces informations soient fournies d’une façon concise, transparente, compréhensible et aisément accessible.
51 Pour ce qui est, enfin, des finalités du RGPD, il y a lieu de rappeler que l’objectif de ce règlement consiste, notamment, à garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, en particulier de leur droit à la protection des données personnelles, consacré à l’article 16 TFUE et garanti en tant que droit fondamental à l’article 8 de la Charte, qui complète le droit à la vie privée garanti à l’article 7 de celle-ci [voir, en ce sens, arrêt du
4 octobre 2024, Schrems (Communication de données au grand public), C‑446/21, EU:C:2024:834, point 45 et jurisprudence citée].
52 Ainsi, comme le précise par ailleurs son considérant 11, le RGPD a pour finalité de renforcer et de préciser les droits des personnes concernées (arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 33 ainsi que jurisprudence citée).
53 S’agissant, plus particulièrement, du droit d’accès prévu à l’article 15 du RGPD, il ressort de la jurisprudence de la Cour que ce droit doit permettre à la personne concernée de s’assurer que les données à caractère personnel la concernant sont exactes et qu’elles sont traitées de manière licite [arrêts du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 34, ainsi que du 26 octobre 2023, FT (Copies du dossier médical), C‑307/22, EU:C:2023:811, point 73].
54 Ce droit d’accès est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli ») et son droit à la limitation du traitement, qui lui sont reconnus, respectivement, par les articles 16, 17 et 18 du RGPD, son droit d’opposition au traitement de ses données à caractère personnel, prévu à l’article 21 du RGPD, ainsi que son droit de recours et son droit à réparation, prévus respectivement aux articles 79
et 82 du RGPD (voir, en ce sens, arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 35).
55 En particulier, dans le contexte spécifique de l’adoption d’une décision fondée exclusivement sur un traitement automatisé, la finalité principale du droit de la personne concernée à obtenir les informations prévues à l’article 15, paragraphe 1, sous h), du RGPD consiste à lui permettre d’exercer de manière efficace les droits qui lui sont reconnus par l’article 22, paragraphe 3, de ce règlement, à savoir celui d’exprimer son point de vue sur cette décision et celui de contester celle–ci.
56 En effet, si les personnes affectées par une décision automatisée, y compris un profilage, n’étaient pas en mesure de comprendre les raisons ayant conduit à cette décision avant d’exprimer leur point de vue ou de contester celle-ci, ces droits ne sauraient, partant, pleinement remplir leur finalité de protéger ces personnes contre les risques particuliers pour leurs droits et libertés que présente le traitement automatisé de leurs données à caractère personnel [voir, en ce sens, arrêt du
7 décembre 2023, SCHUFA Holding e.a. (Scoring), C‑634/21, EU:C:2023:957, point 57].
57 À cet égard, il ressort du considérant 71 du RGPD que, lorsque la personne concernée fait l’objet d’une décision qui est prise sur le seul fondement d’un traitement automatisé et qui l’affecte de manière significative, cette personne doit avoir le droit d’obtenir une explication quant à cette décision. Comme l’a relevé M. l’avocat général au point 67 de ses conclusions, il y a donc lieu de considérer que l’article 15, paragraphe 1, sous h), du RGPD offre à la personne concernée un véritable droit
à l’explication sur le fonctionnement du mécanisme qui sous-tend une prise de décision automatisée dont cette personne a fait l’objet et sur le résultat auquel cette décision a abouti.
58 Il ressort de l’examen des finalités du RGPD et, en particulier, de celles de l’article 15, paragraphe 1, sous h), de celui-ci que le droit d’obtenir des « informations utiles concernant la logique sous-jacente » à une prise de décision automatisée, au sens de cette disposition, doit être compris comme un droit à l’explication de la procédure et des principes concrètement appliqués pour exploiter, par la voie automatisée, les données à caractère personnel de la personne concernée aux fins d’en
obtenir un résultat déterminé, tel un profil de solvabilité. En vue de permettre à la personne concernée d’exercer de manière efficace les droits que lui reconnaît le RGPD et, en particulier, l’article 22, paragraphe 3, de celui-ci, cette explication doit être fournie, au moyen d’informations pertinentes et d’une façon concise, transparente, compréhensible et aisément accessible.
59 Ne saurait satisfaire à ces exigences ni la simple communication d’une formule mathématique complexe, telle qu’un algorithme, ni la description détaillée de toutes les étapes d’une prise de décision automatisée, dans la mesure où aucune de ces modalités ne constituerait une explication suffisamment concise et compréhensible.
60 En effet, ainsi qu’il ressort de la page 28 des lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679, mentionnées au point 45 du présent arrêt, d’une part, le responsable du traitement devrait trouver des moyens simples d’informer la personne concernée de la raison d’être de la décision automatisée ou des critères sur lesquels elle est fondée. D’autre part, le RGPD exige que ledit responsable fournisse des informations
utiles sur la logique sous-jacente à cette décision, « mais pas nécessairement une explication complexe des algorithmes utilisés ou la divulgation de l’algorithme complet ».
61 Ainsi, les « informations utiles concernant la logique sous-jacente » à une prise de décision automatisée, au sens de l’article 15, paragraphe 1, sous h), du RGPD, doivent décrire la procédure et les principes concrètement appliqués de telle manière que la personne concernée puisse comprendre lesquelles de ses données à caractère personnel ont été utilisées de quelle manière lors de la prise de décision automatisée en cause, sans que la complexité des opérations à réaliser dans le cadre d’une
prise de décision automatisée puisse libérer le responsable de traitement de son devoir d’explication.
62 Concernant spécifiquement un profilage tel que celui en cause au principal, la juridiction de renvoi pourrait, notamment, considérer comme étant suffisamment transparent et intelligible le fait d’informer la personne concernée de la mesure dans laquelle une variation au niveau des données à caractère personnel prises en compte aurait conduit à un résultat différent.
63 Cela étant, il convient encore de préciser que, s’agissant du point de savoir si les informations fournies doivent permettre à la personne concernée de vérifier l’exactitude des données à caractère personnel la concernant sur lesquelles est fondée la prise de décision automatisée, le droit d’accès auxdites données relève non pas du point h) du paragraphe 1 de l’article 15 du RGPD, mais de la phrase introductive du même paragraphe qui garantit à la personne concernée de pouvoir s’assurer de
l’exactitude de ces données, ainsi qu’il ressort de la jurisprudence citée au point 53 du présent arrêt.
64 Enfin, quant à l’affirmation de la juridiction de renvoi selon laquelle les informations fournies par D & B à CK, au titre de l’article 15, paragraphe 1, sous h), du RGPD, sont contraires aux faits, dès lors que le profilage « réel » aurait conduit à considérer qu’elle n’était pas solvable alors que lesdites informations suggéraient le contraire, il y a lieu de relever que, si, selon cette juridiction, la non-conformité ainsi constatée résulte de l’absence de communication par D & B à CK du
profilage réalisé à son égard pour le compte de l’entreprise de téléphonie mobile ayant, sur cette base, refusé de conclure ou de renouveler un contrat avec elle, il devrait y être remédié au moyen du droit d’accès au profil de solvabilité qui aurait ainsi été établi. À cet égard, il ressort de la jurisprudence de la Cour que les données à caractère personnel générées par le responsable du traitement lui-même relèvent de l’article 14 du RGPD (voir, en ce sens, arrêt du 28 novembre 2024, Másdi,
C‑169/23, EU:C:2024:988, point 48).
65 En revanche, une explication des différences existant entre le résultat d’un tel profilage « réel », à le supposer établi, et le résultat communiqué par D & B à CK et obtenu, selon cette société, au moyen d’une « agrégation équivalente » des données relatives à CK relèverait bien des « informations utiles concernant la logique sous-jacente » au profilage ainsi réalisé. Conformément à ce qui a été relevé au point 58 du présent arrêt, D & B serait donc tenue d’expliquer de manière concise,
transparente, compréhensible et aisément accessible la procédure et les principes en application desquels le résultat du profilage « réel » a été obtenu.
66 Il résulte de tout ce qui précède qu’il convient de répondre aux première et deuxième questions ainsi qu’à la troisième question, sous a), que l’article 15, paragraphe 1, sous h), du RGPD doit être interprété en ce sens que, en cas de prise de décision automatisée, y compris un profilage, au sens de l’article 22, paragraphe 1, de ce règlement, la personne concernée peut exiger du responsable du traitement, au titre des « informations utiles concernant la logique sous-jacente », que celui-ci lui
explique, au moyen d’informations pertinentes et d’une façon concise, transparente, compréhensible et aisément accessible, la procédure et les principes concrètement appliqués pour exploiter, par la voie automatisée, les données à caractère personnel relatives à cette personne aux fins d’en obtenir un résultat déterminé, tel un profil de solvabilité.
Sur la troisième question, sous b) et c), la quatrième question, sous a) et b), ainsi que sur les cinquième et sixième questions
67 Par la troisième question, sous b) et c), la quatrième question, sous a) et b), ainsi que par les cinquième et sixième questions, qu’il convient d’examiner conjointement, la juridiction de renvoi demande, en substance, si l’article 15, paragraphe 1, sous h), du RGPD doit être interprété en ce sens que, dans l’hypothèse où le responsable du traitement considère que les informations à fournir à la personne concernée conformément à cette disposition comportent des données de tiers protégées par ce
règlement ou des secrets d’affaires, au sens de l’article 2, point 1, de la directive 2016/943, ce responsable est tenu de communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès de la personne concernée prévu à l’article 15 du RGPD.
68 À cet égard, il convient de rappeler que, en vertu du considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. Ainsi, le RGPD respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, lesquels sont consacrés par les traités [arrêt du 26 octobre 2023, FT (Copies du dossier médical), C‑307/22,
EU:C:2023:811, point 59 et jurisprudence citée].
69 En outre, le considérant 63 de ce règlement énonce que le droit de toute personne concernée d’accéder aux données à caractère personnel qui ont été collectées à son sujet ne devrait pas porter atteinte aux droits ou aux libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel.
70 Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. Ainsi, l’article 23, paragraphe 1, sous i), de ce règlement prévoit, en substance, qu’une limitation de la portée des obligations et des droits prévus notamment à l’article 15 de celui-ci n’est possible que si une telle limitation respecte l’essence des libertés et des droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société
démocratique pour garantir la protection des droits et des libertés d’autrui.
71 Au regard du droit voisin d’obtenir une copie, consacré à l’article 15, paragraphe 4, du RGPD, la Cour a déjà relevé que son application ne devrait pas porter atteinte aux droits et aux libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel (voir, en ce sens, arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 43).
72 Dans ce contexte, la Cour a relevé que, en cas de conflit entre, d’une part, l’exercice d’un droit d’accès plein et complet aux données à caractère personnel et, d’autre part, les droits ou les libertés d’autrui, il y a lieu de mettre en balance les droits et les libertés en question. Dans la mesure du possible, il convient de choisir des modalités de communication des données à caractère personnel qui ne portent pas atteinte aux droits ou libertés d’autrui, en tenant compte du fait que ces
considérations ne doivent pas « aboutir à refuser toute communication d’informations à la personne concernée », ainsi qu’il ressort du considérant 63 du RGPD (arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 44).
73 S’agissant du point de savoir comment le droit d’accès consacré à l’article 15, paragraphe 1, sous h), du RGPD peut être mis en œuvre de manière à respecter les droits et les libertés d’autrui, il convient de rappeler que, selon la jurisprudence, une juridiction nationale peut estimer que des données à caractère personnel des parties ou de tiers doivent lui être communiquées afin de pouvoir pondérer, en toute connaissance de cause et dans le respect du principe de proportionnalité, les intérêts
en présence. Cette appréciation peut, le cas échéant, la conduire à autoriser la divulgation complète ou partielle à la partie adverse des données à caractère personnel qui lui ont ainsi été communiquées, si elle considère qu’une telle divulgation ne va pas au-delà de ce qui est nécessaire aux fins de garantir la jouissance effective des droits que les justiciables tirent de l’article 47 de la Charte (arrêt du 2 mars 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, point 58).
74 Comme l’a relevé M. l’avocat général au point 94 de ses conclusions, cette jurisprudence est pleinement transposable à l’hypothèse dans laquelle les informations à fournir à la personne concernée au titre du droit d’accès garanti par l’article 15, paragraphe 1, sous h), du RGPD sont susceptibles d’entraîner une atteinte aux droits et aux libertés d’autrui, notamment en ce qu’elles contiennent des données à caractère personnel de tiers protégées par ledit règlement ou un secret d’affaires, au sens
de l’article 2, point 1, de la directive 2016/943. Dans cette hypothèse aussi, lesdites informations doivent être communiquées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès de la personne concernée aux données à caractère personnel la concernant.
75 Au regard de la nécessité d’une telle détermination au cas par cas, l’article 15, paragraphe 1, sous h), du RGPD s’oppose notamment à l’application d’une disposition telle que l’article 4, paragraphe 6, du DSG qui exclut, en principe, le droit d’accès de la personne concernée, prévu à l’article 15 du RGPD, lorsque cet accès compromettrait un secret d’affaires ou un secret d’entreprise du responsable du traitement ou d’un tiers. À cet égard, il convient de rappeler qu’un État membre ne saurait
prescrire de manière définitive le résultat d’une pondération au cas par cas des droits et des intérêts en cause imposée par le droit de l’Union [voir, en ce sens, arrêt du 7 décembre 2023, SCHUFA Holding e.a. (Scoring), C‑634/21, EU:C:2023:957, point 70 ainsi que jurisprudence citée].
76 Eu égard à l’ensemble de ce qui précède, il y a lieu de répondre à la troisième question, sous b) et c), à la quatrième question, sous a) et b), ainsi qu’aux cinquième et sixième questions que l’article 15, paragraphe 1, sous h), du RGPD doit être interprété en ce sens que, dans l’hypothèse où le responsable du traitement considère que les informations à fournir à la personne concernée conformément à cette disposition comportent des données de tiers protégées par ce règlement ou des secrets
d’affaires, au sens de l’article 2, point 1, de la directive 2016/943, ce responsable est tenu de communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès de la personne concernée prévu à l’article 15 du RGPD.
Sur les dépens
77 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (première chambre) dit pour droit :
1) L’article 15, paragraphe 1, sous h), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
en cas de prise de décision automatisée, y compris un profilage, au sens de l’article 22, paragraphe 1, de ce règlement, la personne concernée peut exiger du responsable du traitement, au titre des « informations utiles concernant la logique sous-jacente », que celui-ci lui explique, au moyen d’informations pertinentes et d’une façon concise, transparente, compréhensible et aisément accessible, la procédure et les principes concrètement appliqués pour exploiter, par la voie automatisée, les
données à caractère personnel relatives à cette personne aux fins d’en obtenir un résultat déterminé, tel un profil de solvabilité.
2) L’article 15, paragraphe 1, sous h), du règlement 2016/679
doit être interprété en ce sens que :
dans l’hypothèse où le responsable du traitement considère que les informations à fournir à la personne concernée conformément à cette disposition comportent des données de tiers protégées par ce règlement ou des secrets d’affaires, au sens de l’article 2, point 1, de la directive (UE) 2016/943 du Parlement européen et du Conseil, du 8 juin 2016, sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la
divulgation illicites, ce responsable est tenu de communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès de la personne concernée prévu à l’article 15 de ce règlement.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : l’allemand.
