Quelques éléments tirés d’un arrêt du Bundesverwaltungsgericht (BVwG, Cour administrative fédérale autrichienne) du 28 mai 2025, n° W108 2230691-1/53e (https://www.ris.bka.gv.at/Dokumente/Bvwg/BVWGT_20250528_W108_2230691_1_00/BVWGT_20250528_W108_2230691_1_00.pdf) rendu après l’arrêt CJUE C-203/22, Dun & Bradstreet Austria du 27 février 2025) :

L’affaire oppose un particulier à une société d’information commerciale (credit scoring), absorbée en cours de procédure par une autre entité du même secteur. La décision statue sur une plainte en matière de protection des données, avec pour cœur du litige l’étendue du droit d’accès de l’article 15 § 1 let. h  RGPD et, en particulier, l’obligation de fournir des « informations utiles sur la logique sous-jacente » à la décision individuelle automatisée au sens de l’art. 22.

La BVwG admet partiellement la plainte, constate une violation du droit d’accès pour défaut d’information tant sur les finalités (art. 15, §1, let. a) que sur la logique et les effets du scoring (art. 15, §1, let. h), enjoint la société de compléter l’accès dans un délai de quatre semaines et rejette le surplus.

Le point de départ réside dans une demande d’accès du 26 octobre 2018, par laquelle le plaignant sollicite, sur le fondement de l’article 15 RGPD, la communication des données personnelles le concernant. La société répond le 5 novembre 2018 par une note de trois pages listant nom, adresses, sexe, date de naissance, nationalité, éléments professionnels et de revenus estimés, modalités de paiement et des mentions relatives à des consultations passées par des clients, avec, en fin de document, des informations générales sur les finalités, catégories de données, destinataires, durée de conservation, droits de la personne concernée et sources.

La réponse affirme par ailleurs qu’il n’existerait pas, chez la société, de décision automatisée au sens des articles 15, §1, let. h et 22 RGPD. Estimant la réponse incomplète et trop générique, le plaignant saisit l’autorité autrichienne de protection des données (Datenschutzbehörde) le 19 décembre 2018.

L’instruction administrative s’éternise. Le 13 janvier 2020, le plaignant forme un recours pour déni de statuer (Säumnisbeschwerde) contre l’autorité de contrôle. Celle-ci admet que le délai légal est dépassé et transmet le dossier au BVwG, de sorte que la compétence juridictionnelle de celui-ci se trouve activée. La cour reprend alors l’instruction, sollicite des prises de position et attire l’attention des parties sur le caractère insatisfaisant, à ses yeux, des informations initialement délivrées. S’ajoute, au fil de la procédure, un changement structurel : l’entité visée par la plainte est absorbée par une autre société d’information commerciale, de sorte que la défenderesse devient, après fusion, la société absorbante. Celle-ci maintient que la communication de 2018 était complète et qu’aucune décision automatisée n’est prise chez elle, la fourniture de scores n’étant selon elle ni un « profiling » au sens de l’article 22 RGPD ni une base unique de décision chez ses clients.

En 2022, à la demande du BVwG, la société précise que, si des scores ont pu être transmis à des partenaires en 2016 et 2018, ces valeurs n’auraient pas été conservées dans son système, bien que les enregistrements d’accès et les résultats de requête soient journalisés pendant sept ans. Elle reconnaît qu’un « rating » de 2,02 et un « Ampelscore » de 2 avaient été communiqués, traduisant une solvabilité « très bonne ». Elle soutient qu’elle n’intervient jamais dans la décision commerciale de ses clients ni dans la fixation de seuils, et qu’elle ne fait que répondre à des interrogations, notamment dans le contexte du commerce électronique, où l’objectif n’est pas l’octroi d’un crédit mais la détermination d’une modalité de paiement appropriée.

À la fin de 2023, la société réaffirme que la fourniture d’un score à un marchand en ligne, destinée à vérifier l’exactitude de l’adresse ou à calibrer une « steering » des moyens de paiement, ne constituerait pas une « décision » au sens de l’article 22 RGPD ni ne produirait des effets « significatifs » sur la personne concernée. Selon elle, au pire, une personne pourrait être amenée à prépayer sa commande ou à se voir refuser une facilité de paiement, ce qui ne correspondrait pas à l’impact d’un refus de crédit. En outre, elle décrit de façon générale les catégories d’informations entrant dans le calcul, mentionnant, entre autres, le contexte de solvabilité, l’environnement relationnel et des données sociodémographiques, avec une pondération plus importante attribuée à des facteurs comme le revenu, la modalité de paiement ou la branche d’activité ; une description plus fine de la logique serait, selon elle, couverte par le secret d’affaires.

Entre-temps, la cour suspend la procédure dans l’attente d’un arrêt préjudiciel sur l’article 15, §1, let. h RGPD. Par ordonnance du 1er juillet 2024, elle sursoit à statuer jusqu’à l’arrêt de la Cour de justice de l’Union européenne (CJUE) dans l’affaire C-203/22. Cet arrêt est rendu le 27 février 2025.  [Il s’agir de CJUE C-203/22, Dun & Bradstreet Austria du 27 février 2025 : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:62022CJ0203). La CJUE y affirme que la personne concernée peut exiger, en cas de décision automatisée (y compris le profilage au sens de l’art. 22, §1), une explication précise, transparente, compréhensible et aisément accessible des procédures et des principes effectivement appliqués lors du traitement automatisé ayant conduit au résultat, par exemple un profil de solvabilité. La Cour précise aussi que, si des données de tiers protégées par le RGPD ou des secrets d’affaires au sens de la directive 2016/943 sont en jeu, le responsable doit transmettre ces éléments à l’autorité ou au juge compétent, afin qu’une mise en balance des droits et intérêts opposés soit opérée pour délimiter l’étendue de l’accès.

Dans ses motifs, la CJUE insiste sur plusieurs points qui irriguent ensuite le raisonnement du BVwG. D’abord, l’exigence de clarté et de pédagogie issue de l’article 12 RGPD : l’information doit être fournie en termes précis, transparents, compréhensibles et accessibles, dans un langage simple. Ensuite, la finalité de l’article 15 : permettre à la personne concernée de vérifier l’exactitude de ses données et la licéité du traitement, conditionnant l’exercice effectif de ses autres droits, dont la contestation d’une décision automatisée et la présentation de son point de vue au sens de l’article 22, §3. S’agissant du contenu de l’information à délivrer au titre de l’article 15, §1, let. h, la Cour écarte à la fois la simple transmission d’une formule mathématique complexe et la description pas à pas de chaque étape algorithmique ; elle exige au contraire une explication opérationnelle des procédures et principes appliqués, permettant à la personne de comprendre quelles données personnelles ont été utilisées et comment, et, le cas échéant, dans quelle mesure une variation de ces données aurait conduit à un autre résultat. Enfin, la Cour précise la méthode de protection des secrets d’affaires : leur existence ne justifie pas un refus global de l’accès, mais un mécanisme de « boîte noire » où l’autorité de contrôle ou le juge reçoit les éléments sensibles et pèse les intérêts pour définir ce qui peut être communiqué à la personne concernée.

À la reprise de la procédure, la BVwG invite la société à produire l’ensemble des informations et données encore disponibles, avec une explication intelligible de la logique du traitement automatisé et du résultat dans le cas du plaignant, ainsi que toute information permettant de vérifier l’exactitude et la licéité de la décision automatisée, y compris les critères appliqués, leur pondération, la manière dont les catégories de données ont été utilisées et une explication du rattachement du plaignant au score qui lui a été attribué, le tout avec indication spécifique des éléments éventuellement protégés par le secret d’affaires. La cour souligne que cette demande répond directement aux critères posés par la CJUE et fixe un délai bref, jugeant celui-ci adéquat au regard des échanges antérieurs.

La société ne saisit pas cette opportunité. Elle adresse une simple « demande de précisions » en soutenant avoir déjà tout transmis et en s’enquérant de ce que la cour jugerait encore insuffisant, sans produire les éléments requis ni caractériser concrètement l’existence de secrets d’affaires ni, a minima, transmettre ces éléments sensibles à la juridiction pour la pesée d’intérêts. La BVwG constate cette carence, relève que sa requête du 22 avril 2025 était détaillée et sans ambiguïté, et note que l’obligation – dégagée par la CJUE – de transmettre les informations « sensibles » à l’autorité ou au juge pour arbitrage ne souffre pas d’exception générale. Dans ces conditions, l’argument du secret d’affaires demeure non étayé.

Au fond, la cour procède alors à une double analyse, portant d’abord sur l’information relative aux finalités du traitement, ensuite sur l’information « significative » quant à la logique, la portée et les effets visés de la décision automatisée. Sur le premier point, elle retient que la société n’a pas fourni, de manière concrète et intelligible pour la personne concernée, des indications suffisamment déterminées sur les finalités poursuivies par chaque traitement. Les déclarations générales selon lesquelles la société « fournit des informations de crédit » et « des informations marketing », assorties d’énumérations génériques de catégories de données susceptibles d’être traitées, ne satisfont pas l’article 15, §1, let. a, qui requiert une explication ciblée et compréhensible des finalités effectivement mises en œuvre pour la personne et les données en cause. Cette lacune fonde, à elle seule, un constat de violation du droit d’accès.

Sur le second point, au regard de l’article 15, §1, let. h, ls BVwG se réfère aux enseignements de la CJUE dans l’affaire C-203/22 : l’obligation porte sur une véritable explication du mécanisme de décision automatisée, appliqué en l’espèce, et du résultat obtenu. En l’occurrence, les éléments communiqués par la société restent purement généraux et illustratifs ; ils n’indiquent pas, pour la personne du plaignant, quelles données ont été retenues, comment elles ont pesé dans le calcul, ni comment la valeur 2,02 et l’« Ampelscore » 2 ont été obtenus, ni quelle variation des données aurait modifié le résultat. La cour retient que l’information fournie n’est ni suffisamment transparente ni suffisamment traçable et ne permet pas l’exercice effectif des droits prévus à l’article 22, §3. Elle souligne que la société n’a pas davantage démontré l’existence d’un secret d’affaires à protéger ni mis en place le canal de transmission confidentielle au juge pour permettre, le cas échéant, une décision de divulgation partielle. La conséquence est un nouveau constat de violation, cette fois de l’article 15, §1, let. h.

La décision examine aussi les arguments de la société tirés de l’absence d’« effet significatif » sur la personne concernée en cas d’usage du score dans la vente à distance. La cour relève que le débat sur l’applicabilité de l’article 22 RGPD, dans sa dimension « décision produisant des effets juridiques ou affectant de manière significative », n’épuisait pas la question de l’article 15 : même lorsque l’on discute l’ampleur des effets, l’article 15, §1, let. h confère à la personne un véritable droit à l’explication du procédé et du résultat, précisément afin de pouvoir, le cas échéant, contester la décision automatisée et présenter son point de vue. En d’autres termes, l’accès explicatif précède et rend possible la discussion sur l’ampleur des effets. La société, qui se bornait à affirmer la nature e-commerce des traitements et le caractère supposément mineur des conséquences, ne pouvait se dispenser d’expliquer ce qu’elle avait effectivement fait avec les données du plaignant pour produire les scores transmis à ses partenaires.

La BVwG tient également compte d’éléments de fait précis mis au jour pendant l’instruction. Il est établi que la société a, par le passé, calculé et transmis des scores concernant le plaignant, qu’elle dit ne pas avoir stockés mais dont les journaux d’accès et résultats de requête sont conservés pendant sept ans, et qu’elle a qualifié la solvabilité du plaignant de « très bonne ». Elle a aussi décrit, de manière générale, des facteurs entrant dans le calcul, parmi lesquels des éléments issus du contexte de solvabilité (expériences de paiement, procédures d’encaissement, enchères immobilières, faillites), des données d’environnement d’entreprises liées et des données sociodémographiques, avec une pondération notable pour le revenu, la façon de payer et la branche d’activité ; toutefois, aucune déclinaison concrète et intelligible n’a été fournie pour le cas d’espèce, ni aucune explication permettant de comprendre comment ces facteurs se sont combinés pour produire les valeurs communiquées. Cela confirme, selon la cour, le caractère insuffisant de l’accès.

S’agissant du dispositif, la BVwG admet donc la plainte dans la mesure où il constate deux manquements : absence d’informations adéquates sur les finalités au sens de l’article 15, §1, let. a, et absence d’informations « significatives » au sens de l’article 15, §1, let. h sur la logique, la portée et les effets visés de la décision automatisée qu’implique le calcul des scores de solvabilité. Il enjoint à la société de fournir, dans un délai de quatre semaines, sous peine d’exécution, une réponse suffisamment déterminée sur les finalités et une explication répondant aux critères européens sur la logique, la portée et les effets recherchés, en lien concret avec la situation du plaignant.

En résumé, la BVwG s’appuie explicitement sur la « pédagogie » exigée par la CJUE : l’explication ne consiste ni à livrer une formule mathématique ni à détailler chaque micro-étape d’un calcul statistique, mais à décrire les procédures et principes effectivement appliqués, de façon à rendre intelligible l’usage des données personnelles et la formation du résultat, et à indiquer, au besoin, comment des variations des données considérées influeraient sur l’issue. Cette explication doit être assez concrète pour armer la personne concernée en vue de l’exercice de ses droits, notamment la contestation et la présentation de son point de vue. D’autre part, la cour rappelle que l’argument du secret d’affaires déclenche, non un refus général, mais un mécanisme procédural : la transmission à l’autorité de contrôle ou au juge de ce qui est confidentiel, pour une pesée d’intérêts et une éventuelle communication partielle.

Me Philippe Ehrenström, avocat, LLM, CAS en Droit et Intelligence Artificielle