Le 7 décembre 2023, la Cour de justice de l’Union européenne (la « CJUE ») a rendu une décision charnière à l’encontre de l’agence allemande d’évaluation du crédit Schufa AG Holding (« SCHUFA »), relativement à la prise de décision automatisée aux termes de l’article 22 du Règlement général sur la protection des données (le « RGPD[1] »).
L’arrêt SCHUFA[2] renforce non seulement les droits des personnes concernées qui sont prévus dans le RGPD, mais il a aussi le potentiel d’influencer les fournisseurs de services qui utilisent des processus automatisés pour générer des cotes fondées sur le risque ou d’autres extrants, surtout lorsque ces extrants jouent un rôle central dans les décisions qui ont une grande incidence sur les particuliers. Cet arrêt revêt un intérêt particulier pour le Québec, car une obligation semblable est prévue dans le nouvel article 12.1 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, telle que modifiée par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ensemble la « Loi sur le secteur privé du Québec »).
Contexte de l’arrêt
D’un point de vue procédural, la CJUE a été saisie d’une question préjudicielle posée par un tribunal allemand (le tribunal administratif de Wiesbaden), à la suite d’une demande d’une résidente allemande connue sous le nom de « OQ », qui souhaitait obtenir des renseignements au titre de son droit d’accès[3] concernant les processus de prise de décision automatisés dans le cadre desquels ses données à caractère personnel avaient été utilisées.
SCHUFA exerce ses activités à titre d’agence allemande d’évaluation du crédit, et fournit ainsi des renseignements sur le crédit qui prédisent le comportement futur de particuliers à des institutions financières. L’agence a utilisé les données à caractère personnel d’OQ pour obtenir une « cote » de solvabilité, qui a ensuite été communiquée à une banque allemande. En se fondant sur la cote générée par SCHUFA, la banque a rejeté la demande de prêt d’OQ. Lorsque celle-ci a demandé des renseignements supplémentaires, SCHUFA a fourni la cote ainsi qu’une description générale des méthodes de calcul. Toutefois, invoquant le secret d’affaires, la société a refusé de divulguer les éléments précis pris en compte dans le calcul et leur pondération.
Tout au long de la procédure judiciaire, SCHUFA a fait valoir que son rôle se limite à calculer et à fournir la cote de crédit à ses partenaires contractuels. La société a également affirmé qu’elle ne prend pas de décisions automatisées indépendantes en matière d’approbation de crédit; elle laisse plutôt ces décisions entre les mains de partenaires contractuels, comme les banques, et elle a reconnu que la décision ultime pourrait se traduire par le rejet d’un prêt.
Qu’est-ce que la prise de décision automatisée?
En vertu du paragraphe 1 de l’article 22 du RGPD[4], une personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire[5].
En outre, selon l’alinéa (1)(h) de l’article 15 du RGPD[6], une personne faisant l’objet d’une décision automatisée possède un « droit d’accès » lui permettant de demander « des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour [elle] ». Tel est le fondement de la demande initiale d’OQ.
Ce libellé est semblable à celui de l’article 12.1 de la Loi sur le secteur privé du Québec, qui oblige toute organisation à informer les personnes lorsqu’elles utilisent « des renseignements personnels afin que soit rendue une décision fondée exclusivement sur un traitement automatisé de ceux-ci », au moment de cette décision ou avant. L’expression « exclusivement sur un traitement automatisé[7]» laisse entendre qu’elle ne vise pas le traitement impliquant une intervention humaine. À l’instar de l’article susmentionné du RGPD, cet article de la Loi sur le secteur privé du Québec semble exclure les situations où le traitement automatisé sert d’outil pour aider un décideur. Il convient de souligner qu’« une sanction administrative pécuniaire peut être imposée [...] à quiconque [...] n’informe pas la personne concernée par une décision fondée exclusivement sur un traitement automatisé ou ne lui donne pas l’occasion de présenter ses observations, et ce, en contravention à l’article 12.1[8] » de la Loi sur le secteur privé du Québec.
Cela dit, le législateur québécois n’a pas intégré les limites au droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé qui sont prévues dans le RGPD[9]. En effet, dans celui‑ci, ce droit ne s’applique pas lorsque la décision automatisée est : a) nécessaire à la conclusion ou à l’exécution d’un contrat; b) autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou c) est fondée sur le consentement explicite de la personne concernée.
Portée de l’arrêt de la CJUE
Le jugement portait expressément sur la question de savoir si la cote attribuée par SCHUFA constitue une prise de décision automatisée au sens de l’article 22 du RGPD[10].
L’arrêt de la CJUE a établi que le calcul d’une cote constitue une « décision individuelle automatisée[11] », surtout s’il influence la décision d’un tiers d’établir ou de mettre fin à une relation contractuelle avec la personne.
Selon la CJEU, le calcul d’une cote constitue une prise de décision automatisée lorsque les clients de SCHUFA, comme les banques, fondent leurs décisions (p. ex. approbation de crédit) exclusivement sur la valeur de la cote. Malgré l’argument de SCHUFA selon lequel elle n’était pas visée par l’article 22 du RGPD, puisqu’elle aidait les clients à prendre des décisions sans les prendre elle-même, la CJUE a adopté un point de vue différent. Elle a affirmé que les exigences du paragraphe 1 de l’article 22 du RGPD étaient respectées, puisque le calcul de la cote équivalait à une prise de décision automatisée ayant des effets juridiques sur la personne concernée ou l’affectant de manière significative[12]. La Cour a estimé qu’une cote insuffisante dans une demande de crédit d’un particulier amènerait presque invariablement la banque à rejeter la demande, ce qui affecterait de manière significative la personne concernée[13].
Essentiellement, la Cour a appliqué une interprétation large du terme « décision » de l’article 22 du RGPD pour déterminer si SCHUFA avait procédé par une prise de décision automatisée. Elle a conclu que même si SCHUFA n’avait pas pris elle-même la décision de rejeter la demande de prêt, en fournissant la cote de crédit, elle avait joué un « rôle déterminant » dans le résultat final, ce qui était suffisant pour constituer la prise d’une décision[14].
Qu’est-ce que l’arrêt SCHUFA signifie pour les entreprises visées par le RGPD?
L’interprétation large de la « prise de décision automatisée » par la CJUE dans le contexte de l’article 22 du RGPD a des répercussions importantes. Elle donne à penser qu’un plus grand nombre de processus automatisés pourraient être visés par cette disposition. En effet, ces processus n’ont pas nécessairement à constituer le seul fondement d’une prise de décision directe; ils peuvent plutôt provenir de diverses entités dans la chaîne d’approvisionnement, pourvu qu’ils aient une influence déterminante sur la décision finale, peu importe le décideur.
En outre, nous estimons que cette décision aura des répercussions au-delà du secteur bancaire et touche diverses industries connexes comme l’assurance, l’emploi et les soins de santé. Essentiellement, nous sommes d’avis que l’arrêt de la CJUE s’applique à toute utilisation d’algorithmes comme fondement de décisions affectant de manière significative les particuliers, comme le prévoit le paragraphe 1 de l’article 22 du RGPD. L’importance de cet arrêt réside également dans l’impératif de transparence, qui met l’accent sur la nécessité pour les entreprises qui utilisent des systèmes décisionnels automatisés de fournir des renseignements clairs et compréhensibles sur leurs méthodes de traitement des données.
De plus, nous devrions tenir compte de cet arrêt dans le contexte de l’approbation récente de la Loi sur l’intelligence artificielle de l’UE[15], qui classe les systèmes d’intelligence artificielle évaluant la cote de crédit ou la solvabilité des personnes comme présentant un risque élevé[16]. Cette classification impose des exigences rigoureuses en matière de gestion des risques, y compris la mise en œuvre obligatoire d’évaluations d’impact sur les droits fondamentaux. Par conséquent, la confluence de l’arrêt SCHUFA et des dispositions pertinentes de la Loi sur l’intelligence artificielle met en évidence une approche prudente à l’égard de la prise de décision automatisée.
Enfin, les entreprises doivent être conscientes de l’incidence extraterritoriale du RGPD de l’Union européenne, qui englobe de nombreuses entreprises canadiennes y exerçant leurs activités. Par conséquent, ces entités seront directement touchées par l’arrêt de la CJUE.
Qu’en est-il du cadre de la législation en matière de protection des renseignements personnels du Québec?
Il y a lieu de se demander si les tribunaux québécois ou la Commission d’accès à l’information du Québec interpréteraient l’article 12.1 de manière aussi large que la CJUE l’a fait avec le paragraphe 1 de l’article 22 du RGPD. Considéreraient-ils que même si, au final, c’est une personne qui approuve le prêt, le calcul de cotes joue un rôle important, élargissant ainsi la portée du critère de l’« exclusivité »?
À ce stade-ci, ni les débats parlementaires ni les lignes directrices récentes de la Commission d’accès à l’information ne fournissent de réponses concluantes à cette question. De plus, le gouvernement du Québec n’a pas encore adopté cette approche[17].
Néanmoins, il est raisonnable de s’attendre à ce que la boîte de Pandore ait été ouverte, et il est probable que les tribunaux du Québec adoptent cette interprétation large, à l’instar de l’Union européenne.
Comment Fasken peut-il vous aider à respecter le RGPD et la législation canadienne en matière de protection des renseignements personnels?
Notre cabinet est à votre disposition pour répondre à toute question ou vous aider à résoudre toute préoccupation que vous pourriez avoir. N’hésitez pas à communiquer avec les auteurs de ce bulletin pour obtenir de l’aide relativement à toute question concernant la législation canadienne en matière de protection des renseignements personnels ou le RGPD.
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement général sur la protection des données) (Texte présentant de l’intérêt pour l’EEE)
[2] CJUE, le 7 décembre 2023, C-634/21, OQ c. Land Hessen, avec SCHUFA Holding AG.
[3] RGPD, par. 1 de l’article 15.
[4] La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.
[5] Il convient de noter que certaines exceptions existent lorsque la « décision » est : i) « nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement »; ii) autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis dans la mesure où des précautions appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée sont mises en œuvre; ou iii) fondée sur le consentement explicite de la personne concernée.
[6] La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes : h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareil cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
[7] Le terme « exclusivement » est aussi employé au paragraphe 1 de l’article 22 du RGPD.
[8] Par. 5 de l’article 90.1 de la Loi sur le secteur privé du Québec.
[9] RGPD, par. 2 de l’article 22. Voir également les lignes directrices du groupe de travail institué par l’Article 29 : Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 (wp251rev.01) (disponible en anglais seulement).
[10] Par sa première question, la juridiction de renvoi demande, en substance, si l’article 22, paragraphe 1, du RGPD doit être interprété en ce sens que constitue une « décision individuelle automatisée », au sens de cette disposition, l’établissement automatisé, par une société fournissant des informations commerciales, d’une valeur de probabilité fondée sur des données à caractère personnel relatives à une personne et concernant la capacité de celle-ci à honorer des engagements de paiement à l’avenir lorsque dépend de manière déterminante de cette valeur de probabilité le fait qu’une tierce partie, à laquelle ladite valeur de probabilité est communiquée, établisse, exécute ou mette fin à une relation contractuelle avec cette personne.
[11] Par. 73 de la décision C-634/21.
[12] Par. 51 de la décision C-634/21.
[13] Par. 48 de la décision C-634/21.
[14] Dans ses conclusions, l’avocat général a précisé que le champ d’application large d’une décision signifie qu’elle peut inclure « plusieurs actes pouvant affecter la personne concernée de multiples manières » (point 38 des conclusions de l’avocat général à l’audience du 16 mars 2023).
[15] Loi sur l’intelligence artificielle, texte de l’entente provisoire, le 2 février 2024
[16] « Les systèmes d’IA utilisés pour évaluer la cote de crédit ou la solvabilité des personnes physiques doivent être classés parmi les systèmes d’IA à haut risque, car ils déterminent l’accès de ces personnes à des ressources financières ou à des services essentiels comme le logement, l’électricité et les services de télécommunications. »
[17] Page Web du gouvernement sur la Loi 25 : « Une décision fondée exclusivement sur un traitement automatisé est celle qui a été prise sans aucune intervention humaine; par exemple, un algorithme. Cela signifie qu’aucune personne physique n’a exercé un contrôle important dans la décision. Il faut donc comprendre, par exemple, qu’une intervention humaine mineure, c’est-à-dire qui n’a pas de répercussion réelle sur la décision, intégrée au processus n’a pas pour effet de rendre l’article 65.2 de la Loi sur l’accès inapplicable. »