Données Personnelles et décisions automatisées : Jusqu’où s’étend l’obligation d’information des personnes?

publié le 6.3.2025 - Durée de lecture : 3 minutes

La réglementation applicable à la protection des données personnelles (le RGPD avant tout) voit d’un œil très méfiant l’idée que des individus, sur la base de leurs informations personnelles, puissent faire l’objet de décisions automatisées (c’est-à-dire fondées sur des algorithmes et sans arbitrage humain) qui auraient un impact sur leur vie privée ou professionnelle (ex : le refus d’une promotion d’un salarié ; la personnalisation du marketing client ; l’octroi d’un prêt ; la surveillance…). Ce type de traitement est donc interdit par défaut, sauf à remplir des conditions bien plus rigoureuses qu’un traitement classique, et notamment (i) le choix d’une base légale précise (consentement, contrat ou loi), (ii) l’obligation d’informer clairement et de manière transparente les personnes concernées et (iii) le droit de ces personnes de s’opposer, en retour, à ce profilage ou de retirer leur consentement.

Dans un monde où profilage et décisions automatisées, impactant les personnes concernées, s'imposent peu à peu au cœur de nombreux secteurs essentiels, tels la banque, le marketing, l’éducation ou les services publics, le recours à ces pratiques soulève des préoccupations concernant la protection de la vie privée et les libertés fondamentales des citoyens ainsi « profilés ». En France, les algorithmes utilisés par la Caisse Nationale des Allocations Familiales (CNAF) pour détecter les fraudes ont récemment suscité des critiques, mettant en lumière des risques de discrimination à l’égard de groupes vulnérables. De même, la plateforme Affelnet, déployée dans le système éducatif, a alimenté des débats sur la transparence des critères utilisés par ses algorithmes et les conséquences de biais potentiels dans les décisions d'orientation.

L’enjeu est donc de déterminer ces algorithmes ne sont bien qu’une « aide » à la décision humaine – ce qui reste très encadré mais n’est plus interdit par défaut, ou s’ils sont déjà des outils de décision automatisée en soi.

Dans ce contexte, les questions (i) de la transparence des algorithmes et des méthodes de calcul pour la personne concernée, et (ii) de la responsabilité des acteurs impliqués dans le profilage automatisé, prennent une importance croissante. L’évolution rapide des outils utilisant l’IA exacerbe encore ces enjeux à la fois éthiques et juridiques.

A cet égard, une décision très récente de la Cour de justice de l'Union européenne[1] (CJUE) du 27 février 2025 a permis de dessiner les contours du niveau de transparence dans l'information due aux personnes concernées sujettes à des décisions automatisées. La Cour apporte un éclairage bienvenu sur la conciliation délicate entre deux droits protecteurs et réglementés, mais parfois contradictoires : d'une part, le droit des individus (RGPD) à être informés de manière claire et complète sur les modalités de toute décision automatisée dont ils feraient l'objet et, d'autre part, le secret des affaires (issu d'une Directive européenne de 2016) qui protège les secrets commerciaux et donc, en principe, ces méthodes de calcul confidentielles. La Cour met en lumière l'équilibre difficile entre la protection de la confidentialité de ces secrets et la protection des libertés individuelles, et invite à une réflexion sur les pratiques actuelles et futures en matière de décisions automatisées.

Dans cette affaire, transposable à la France, un citoyen autrichien s'est vu refuser un abonnement de téléphonie mobile sur la base d'une évaluation automatisée de sa solvabilité. Contestant ce refus, il a exercé son « droit d'accès », au titre du RGPD, auprès de l'autorité autrichienne de protection des données, laquelle a ordonné à l'entreprise de lui fournir des explications sur sa méthode d'évaluation. L'entreprise a refusé partiellement, invoquant la protection de ses secrets d'affaires. Aux termes d'un certain nombre de recours administratifs, le Tribunal administratif de Vienne a saisi la CJUE d'une question préjudicielle[1], afin de clarifier l'étendue du droit d'accès d'un individu aux informations sur les décisions automatisées prises à son encontre, notamment face au secret des affaires.

La Cour a d'abord précisé la portée du droit prévu à l'article 15 du RGPD, d'obtenir des « informations utiles concernant la logique sous-jacente » au profilage :

Chaque personne a le droit d'exiger du responsable du traitement des explications concises, transparentes et accessibles, sur la manière dont ses données personnelles sont exploitées par des systèmes automatisés.
Il ne suffit pas de fournir une formule mathématique complexe, tel un algorithme, ou une description détaillée de chaque étape de la méthode.
Cette transparence imposée aux responsables de traitements pratiquant le profilage, est d'autant plus essentielle qu'elle vise à permettre aux personnes, in fine, d'exprimer leur point de vue sur la décision automatisée rendue et de contester celle-ci.

La Cour a ensuite examiné les éventuelles limites de ce droit d'accès au regard de la protection de ces méthodes ou algorithmes par le secret des affaires. Tout en précisant que les droits des personnes à obtenir des informations transparentes sur les traitements les concernant, ne sont pas des droits absolus, mais aussi que le secret ne pouvait restreindre le droit d'accès des individus au point de le priver de son efficacité voulue, elle a déterminé d'une part la responsabilité du responsable de traitement et d'autre part le rôle des autorités de contrôle :

Lorsqu'un responsable de traitement estime que les informations à communiquer contiennent des secrets d'affaires ou des données de tiers protégées, il ne peut pas, de son seul chef, refuser leur divulgation ;
A défaut de le communiquer directement aux personnes concernées, il doit les transmettre a minima à l'Autorité de contrôle ou à la juridiction compétente, laquelle sera alors chargée d'évaluer les droits et intérêts en présence, afin de déterminer l'étendue du droit d'accès de la personne concernée dans l'affaire en cause.

En d'autres termes, la CJUE estime que, lorsque deux principes juridiques essentiels s'opposent, une mise en balance des intérêts doit être opéré, afin de trouver l'équilibre – délicat – nécessaire pour garantir l'efficacité de l'un sans vider l'autre de sa substance. En l'espèce, tout en assurant le degré nécessaire de protection des secrets commerciaux, il s'agit de donner plein effet au droit des personnes à être informées clairement sur le détail des traitement opérés sur leurs données, en particulier lorsque le traitement consiste en une décision automatisée et que l'information sous-jacente est très technique.

Refusant le libre arbitre du responsable de traitement à cet égard, elle confie aux autorités de contrôle et aux juridictions nationales le rôle d'intermédiaires chargées d'évaluer, au cas par cas, si la divulgation nécessaire de ces informations techniques porte excessivement atteinte à la protection du secret. Elle leur enjoint également de déterminer alors et de contrôler les mesures appropriées pour concilier ces intérêts, tels qu'un cercle de confidentialité limité, une communication partielle mais suffisante à éclairer la personne, etc.

Au cœur même du RGPD, il est exigé que le traitement de données personnelles par le biais de méthodes ou technologies innovantes, telle l'IA, fasse l'objet d'une prudence et d'un encadrement renforcés par rapport à des traitements plus classiques. Les entreprises oublient d'ailleurs souvent que, dans ce cadre et au-delà de l'information claire dues aux personnes, elles ont généralement l'obligation de réaliser une « Analyse d'Impact », afin de vérifier l'impact de ces traitements sur les droits et libertés des personnes touchées. On rappellera que cette Analyse d'Impact est obligatoire pour les décisions automatisées concernant des salariés. La CNIL (Commission nationale de l'informatique et des libertés) appelle régulièrement à une vigilance accrue pour que l'innovation technologique ne se fasse pas au détriment des libertés individuelles.

Face à la multiplication des solutions IA qui facilitent le travail quotidien et déchargent l'humain d'une partie de son rôle, les entreprises et les administrations françaises doivent être conscientes des normes qui existent et qui déterminent déjà les risques encourus et leur niveau accru d'obligations spécifiques en matière de traitement automatisé des données personnelles.

Avant toute chose, les entreprises doivent se rappeler que la prise de décisions automatisées est interdite par défaut, sauf à justifier qu'elles entrent dans l'une des exceptions strictement prévues, à savoir (i) si l'individu a donné son consentement explicite, (ii) si la décision est nécessaire à l'exécution d'un contrat, ou (iii) si elle est explicitement autorisée par une loi.

Afin que ces exceptions soient licites, les entreprises et organisations doivent donc, en amont :

Choisir la bonne base légale et adopter les mesures d'encadrement spécifiques nécessaires, supérieures aux mesures de sécurité déjà existantes ;
Informer les personnes concernées : fournir des informations concises, claires, aisément accessibles et faciles à comprendre sur les traitements automatisés, y compris le profilage, et sur la logique sous-jacente à ces traitements ;
Respecter les droits des individus - informés - de refuser: permettre ainsi aux personnes de retirer leur consentement (si telle est la base légale) ou de s'opposer à ce traitement automatisé à tout moment ; mais aussi leur permettre d'exercer leur droit d'accès à leurs données, si elles souhaitent vérifier la conformité dudit traitement aux règles strictes imposées.

La décision de la CJUE du 27 février dernier met en évidence la nécessité pour les entreprises d'anticiper l'impact de cette obligation de transparence liée à la prise de décisions automatisées. En effet, elles ne pourront pas se contenter d'invoquer le secret d'affaires lié à leurs algorithmes pour se soustraire à la nécessité d'expliquer la logique et les critères sur lesquels reposent ces décisions automatisées et devront en rendre compte aux autorités, à leur demande.

Il est donc essentiel de mettre en place des processus spécifiques pour encadrer ces traitements et gérer les demandes d'information des personnes concernées, afin de pouvoir justifier de leur licéité et répondre aux contestations éventuelles, et finalement réintégrer une étape d'intervention humaine si la personne s'opposait à ce traitement.

Cela est d'autant plus essentiel que, à mesure que l'intelligence artificielle et les algorithmes prédictifs s'intègrent dans le paysage salarial, digital, commercial et administratif, cette garantie de transparence deviendra de plus en plus forte, mais complexe, notamment en raison de la nature opaque et parfois évolutive des modèles algorithmiques utilisés, que chaque responsable de traitement ne maîtrise d'ailleurs pas toujours…Hélas.

Le cabinet Rödl & Partner est naturellement à votre disposition pour vous aider à anticiper et encadrer vos traitements automatisés et répondre à ces enjeux de responsabilité accrue.

[1] CURIA - Documents

[2] Question visant à obtenir d’une haute autorité judiciaire un éclairage sur l’interprétation d’un droit, d’un texte de loi.

Contact

Contact Person Picture

Frédéric Bourguet

Avocat

Associate Partner

+33 6 49 20 15 64

+33 6 4920 1564

Envoyer la demande

Contact Person Picture

Raphaëlle Donnet

Avocate

+33 6 0950 5105

Envoyer la demande