La personne concernée a déposé une plainte contre le responsable du traitement – une agence de classement de crédit.

Dans la procédure initiale devant l’autorité autrichienne de protection des données, la personne concernée a fait valoir que ses droits découlant de l’article 15, paragraphe 1, point h), du RGPD avaient été violés car le responsable du traitement ne l’avait pas suffisamment informée de la logique et de l’algorithme utilisés pour le traitement de ses données à caractère personnel dans le cadre d’une décision automatisée concernant la solvabilité de la personne concernée.

Le responsable du traitement a répondu que le traitement en question n’était pas une « décision automatisée » au sens de l’article 22 du RGPD, mais seulement un « profilage léger » au sens de l’article 4, paragraphe 4, du RGPD. Par conséquent, le responsable du traitement a affirmé que l’article 15, paragraphe 1, point h), du GDPR ne s’appliquait pas en premier lieu. En outre, le responsable du traitement a fait valoir que l’algorithme régissant le profilage ne pouvait être divulgué, car il faisait partie des secrets d’affaires de l’entreprise.

L’autorité autrichienne de protection des données a fait droit à la plainte et a pris une décision à l’encontre du responsable du traitement, lui ordonnant de donner accès aux informations demandées par la personne concernée.

Le responsable du traitement a fait appel de la décision auprès de la Cour administrative fédérale autrichienne (Bundesverwaltungsgericht – BVwG), déclarant qu’il avait fourni des informations suffisantes à la personne concernée.

Le BVwG, dans un arrêt W252 2246581-1/6^E du 29.06.2023 résumé et présenté sur gdprhub.eu (https://gdprhub.eu/index.php?title=BVwG_-_W252_2246581-1/6E&mtc=today) considère que :

Conformément à l’article 15, paragraphe 1, point h), du RGPD, en cas de prise de décision automatisée, le responsable du traitement doit fournir à la personne concernée une explication sur la logique qui sous-tend le traitement. Toutefois, cette « logique » ne doit pas être comprise comme l’algorithme ou la formule mathématique qui sous-tend la décision automatisée.

Le responsable du traitement doit plutôt fournir les informations suivantes : a) les catégories de données à caractère personnel et la raison pour laquelle elles sont pertinentes pour la création du profil ; b) la manière dont le profil est créé par des moyens automatisés, en particulier la méthode statistique utilisée ; c) la raison pour laquelle le profil est pertinent pour la décision ; d) la manière dont le profil est effectivement utilisé dans le cadre de la décision.

En l’espèce, les informations fournies par le responsable du traitement étaient suffisantes, ce dernier ayant divulgué tous les éléments énumérés ci-dessus de manière exhaustive. Les données utilisées et leur fonction dans la pondération ont été clairement indiquées par le responsable du traitement, de même que la signification des résultats (le profil) et la nature statistique du traitement. La personne concernée pouvait ainsi comprendre le traitement de ses données à caractère personnel. La Cour a souligné qu’une description plus précise de la manière dont la pondération concrète des paramètres a eu lieu aurait équivalu à la divulgation de la formule mathématique (c’est-à-dire l’algorithme) régissant le profilage, ce qui n’est pas couvert par le RGPD.

* * *

Sur le même sujet : https://droitdutravailensuisse.com/2023/06/08/decision-individuelle-automatisee-a-quelles-informations-a-t-on-droit/

En savoir plus sur la décision individuelle automatisée en droit suisse : https://droitdutravailensuisse.com/2022/07/11/la-decision-individuelle-automatisee/

La décision individuelle automatisée dans le cadre du recrutement (https://droitdutravailensuisse.com/2022/09/12/le-recrutement-par-lintelligence-artificielle-ia/) et de la fin des rapports de travail (https://droitdutravailensuisse.com/2022/08/23/licencie-par-un-algorithme/)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)