La personne ayant fait l'objet d'une évaluation de crédit automatisée doit avoir accès aux informations concernant la logique sous-jacente au profilage lui permettant de comprendre et de contester la décision automatisée.Une consommatrice autrichienne s'est vu refuser par un opérateur de téléphonie la conclusion d’un contrat, qui aurait impliqué le paiement mensuel de 10 €, au motif qu’elle n’était pas suffisamment solvable.
L’opérateur se fondait à cet égard sur une évaluation du crédit de la cliente, à laquelle avait procédé par voie automatisée une société spécialisée dans la fourniture de telles évaluations.
Dans le cadre du litige qui s’en est suivi, une juridiction autrichienne a jugé que cette société avait violé le RGPD (règlement général sur la protection des données - Règlement (UE) 2016/679 du 27 avril 2016). En effet, elle n’aurait pas fourni à la cliente "des informations utiles sur la logique sous-jacente" à la prise de décision automatisée en question ni suffisamment motivé pourquoi elle n’aurait pas pu fournir ces informations.
La juridiction saisie par la cliente aux fins de l’exécution forcée de cette décision a demandé à la Cour de justice de l'Union européenne (CJUE) d’interpréter le RGPD et la directive (UE) 2016/943 du 8 juin 2016 sur la protection des secrets d’affaires.
Dans un arrêt du 27 février 2025 (affaire C-203/22), la CJUE considère que le responsable du traitement doit décrire la procédure et les principes concrètement appliqués de telle manière que la personne concernée puisse comprendre lesquelles de ses données à caractère personnel ont été utilisées de quelle manière lors de la prise de décision automatisée.A cet égard, la simple communication d’un algorithme ne constitue pas une explication suffisamment concise et compréhensible.
Pour le cas où le responsable du traitement considère que les informations à fournir comportent des données de tiers protégées ou des secrets d’affaires, il doit communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes. Il incombe à celles-ci de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès auxdites informations de la personne concernée.
