La personne concernée demande la délivrance d’une carte de crédit à une banque (responsable du traitement). Elle remplit donc un formulaire contenant plusieurs données à caractère personnel, lesquelles sont analysées par un algorithme.

La demande est rejetée automatiquement, bien que la personne concernée ait un bon « credit rating » et des revenus élevés.

La personne concernée demande alors au responsable du traitement de lui fournir des détails sur les facteurs qui ont conduit au rejet automatisé de sa demande. Le responsable du traitement refuse de donner accès à ces informations.

La personne concernée dépose alors une plainte auprès de l’autorité de protection des données compétente (APD, soit ici le Berliner Beauftragte für Datenschutz und Informationsfreiheit).

L’APD considère, dans une décision du 31.05.2023 (https://www.datenschutz-berlin.de/pressemitteilung/computer-sagt-nein/; présentée et résumée ici : https://gdprhub.eu/index.php?title=BlnBDI_(Berlin)_-_31.05.2023&mtc=today), fait droit à la plainte de la personne concernée.

L’APD définit la décision individuelle automatisée (art. 23 RGPD ; https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679) comme une décision prise par des modèles algorithmiques sans intervention humaine, ce qui était le cas en l’espèce.

Lorsqu’un responsable de traitement utilise des outils impliquant une prise de décision automatisée, il est soumis à des exigences de transparence spécifiques en vertu de l’art. 22 par. 3 RGPD. En particulier, le responsable du traitement doit donner accès à des informations concrètes sur la base de données utilisée, les facteurs et les critères influençant la décision. En ne respectant pas cette obligation dans le cadre de la demande d’accès de la personne concernée, le responsable du traitement a enfreint l’art. 5 par. 1 point a), 15 par. 1 point h et 22 par. 3 RGPD.

L’autorité allemande de protection des données a donc infligé au responsable du traitement une amende de 300 000 euros.

Selon le préposé :

Lorsque les entreprises prennent des décisions automatisées, elles sont tenues de les justifier de manière pertinente et compréhensible. Les personnes concernées doivent être en mesure de comprendre la décision automatisée. Le fait que la banque n’ait pas fourni d’informations transparentes et compréhensibles sur le refus automatisé, même sur demande, a entraîné une amende. Une banque est tenue d’informer ses clients des raisons principales d’un refus lorsqu’elle prend une décision automatisée concernant une demande de carte de crédit. Cela inclut des informations concrètes sur la base de données et les facteurs de décision ainsi que les critères de refus dans chaque cas.

Sur la décision individuelle automatisée en droit suisse et en droit européen : https://droitdutravailensuisse.com/2022/07/11/la-decision-individuelle-automatisee/

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)