Dans un récent arrêt du 7 décembre 2023 (CJUE, 7 déc. 2023, aff. C-634/21, SCHUFA Holding), la CJUE s’est prononcée sur l’interprétation de l’article 22 du RGPD, consacré aux décisions individuelles automatisées, y compris le profilage.
L’arrêt s’intéresse aux pratiques de la société privée de droit allemand SCHUFA. Celle-ci exerce une activité consistant à fournir à des tiers, à partir de certaines caractéristiques personnelles et sur la base de procédures mathématiques et statistiques, des pronostics sur la capacité d’une personne à honorer ses engagements. Ainsi, elle calcule par exemple un score représentant la probabilité qu’une personne rembourse ou non le prêt bancaire contracté ou paie les loyers de son un logement. La Cour devait déterminer si cette pratique relevait de la définition d’une décision individuelle automatisée au sens de l’article 22 du règlement (UE) 2016/679 du Parlement européen et du Conseil 27 avril 2016, dit « RGPD » et, le cas échéant, à en tirer les conclusions qui s’imposent.
Pour rappel, l’article 22 § 1 du RGPD prévoit qu’une personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. L’applicabilité de cette disposition suppose ainsi la réunion de trois conditions cumulatives :
- l’existence d’une décision,
- celle-ci doit être fondée exclusivement sur un traitement automatisé, y compris le profilage, et
- produire des effets juridiques sur la personne concernée ou l’affecter de manière significative de façon similaire.
Ce principe souffre d’exceptions, lesquelles, lorsqu’elles s’appliquent, impliquent la mise en œuvre de garanties (RGPD, art. 22).
Une lecture approfondie du RGPD, notamment son considérant 71, permet aux juges de retenir une interprétation large de la notion de décision et de rejeter l’argument de la société SCHUFA, selon lequel son action consistait simplement à faire un pronostic sans prendre de décision. En effet, pour la Cour, « il existerait un risque de contournement de l’article 22 du RGPD et, par suite, une lacune dans la protection juridique si une interprétation restrictive de cette disposition était retenue, selon laquelle l’établissement de la valeur de probabilité [devrait] seulement être considéré comme un acte préparatoire et seul l’acte adopté par la tierce partie [pourrait], le cas échéant, être qualifié de “décision” , au sens de l’article 22 » (point 61).
S’agissant de la deuxième condition, la CJUE indique sans ambages qu’il est « constant qu’une activité telle que celle de SCHUFA répond à la définition de “profilage” » (point 47), compris comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique » (RGPD, art. 4, 4).
Enfin, au sujet de la troisième condition, la Cour relève que les pronostics fournis par la société SCHUFA guident de manière déterminante la décision prise par la tierce partie (point 48). Un mauvais score conduit presque inévitablement à un refus, ce qui affecte à n’en point douter la personne de manière significative.
En définitive, l’activité de la société SHUFA doit être qualifiée de prise de décisions individuelles automatisées. Pour qu’elle soit légale, la société SCHUFA doit rentrer dans le champ de l’une des exceptions posées au principe de l’interdiction de telles décisions. Cela est notamment possible lorsqu’une loi nationale autorise une telle prise de décision automatisée. A ce titre, la Cour renvoie à la juridiction allemande le soin de vérifier, d’une part, que l’article 31 de la loi fédérale relative à la protection des données peut constituer une base légale aux décisions automatisées prises (point 71) et, d’autre part, que les garanties requises par l’article 22 du RGPD § 2 sous b) et § 4 (droit de la personne concernée d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision ainsi que l’interdiction de traiter des données sensibles sauf cas particuliers) et celles figurant aux articles 5 et 6 du RGPD sont respectées.
