Language of document :

Demande de décision préjudicielle présentée par le/la Verwaltungsgericht Wien (Autriche) le 16 mars 2022 – CK

(Affaire C-203/22)

Langue de procédure : l’allemand

Juridiction de renvoi

Verwaltungsgericht Wien

Parties dans la procédure au principal

Partie requérante : CK

Autres parties à la procédure : Dun & Bradstreet Austria GmbH, Magistrat der Stadt Wien (municipalité de Vienne, Autriche)

Questions préjudicielles

1)    Quelles sont les exigences matérielles auxquelles doivent répondre les informations communiquées dans le cadre d’un droit d’accès pour être considérées comme suffisamment « utiles » au sens de l’article 15, paragraphe 1, sous h), du règlement de base sur la protection des données (ci-après le « RGPD ») 1  ?

Dans le cas d’un profilage, et sous l’éventuelle réserve de la préservation d’un secret d’affaires existant, le responsable du traitement est-il en principe tenu, en donnant accès aux informations concernant la « logique sous-jacente », de fournir également les informations essentielles destinées à rendre intelligibles le résultat de la décision individuelle automatisée, et ce, notamment, en communiquant : 1) les données traitées de la personne concernée ; 2) les parties de l’algorithme à la base du profilage qui sont nécessaires à son intelligibilité ; et 3) les informations pertinentes pour établir le lien entre les informations traitées et la valorisation effectuée ?

Dans les cas ayant pour objet un profilage, le titulaire du droit d’accès, au sens de l’article 15, paragraphe 1, sous h), du RGPD, est-il en droit, même en cas d’exception tirée de l’existence d’un secret d’affaires, d’obtenir l’accès aux informations suivantes, relatives au traitement concret qui le concerne, afin de pouvoir faire valoir ses droits en vertu de l’article 22, paragraphe 3 du RGPD :

a)    communication de toutes les informations, éventuellement pseudonymisées, portant notamment sur la façon dont les données de la personne concernée sont traitées, qui permettent de vérifier le respect du RGPD,

b)    mise à disposition des données d’entrée utilisées pour le profilage,

c)    les paramètres et les variables d’entrée utilisés pour la détermination de l’évaluation,

d)    l’incidence de ces paramètres et variables d’entrée sur l’évaluation calculée,

e)    des informations sur l’obtention des paramètres ou des variables d’entrée,

f)     explication de la raison pour laquelle le titulaire du droit d’accès au sens de l’article 15, paragraphe 1, sous h), du RGPD a été associé à un résultat d’évaluation spécifique, et présentation de la déclaration associée à cette évaluation,

g)    énumération des catégories de profil et explication de la déclaration associée à chacune d’entre elles ?

2)    Le droit d’accès que prévoit l’article 15, paragraphe 1, sous h), du RGPD, d’une part, et les droits d’exprimer son point de vue et de contester une décision automatisée au sens de l’article 22 du RGPD, que garantit l’article 22, paragraphe 3, du RGPD, d’autre part, sont-ils liés par un rapport tel que les informations à fournir à la suite d’une demande d’accès, au sens de l’article 15, paragraphe 1, sous h), du RGPD, ne sont suffisamment « utiles » que si la personne sollicitant l’accès, et concernée au sens de l’article 15, paragraphe 1, sous h), du RGPD, est mise en mesure d’exercer de manière effective, approfondie et prometteuse les droits que lui garantit l’article 22, paragraphe 3, du RGPD, à savoir d’exprimer son point de vue et de contester la décision automatisée qui la concerne au sens de l’article 22 du RGPD ?

3    a) L’article 15, paragraphe 1, sous h), du RGPD doit-il être interprété en ce sens que les informations ne peuvent être qualifiées d’« informations utiles » au sens de cette disposition que si elles sont suffisamment circonstanciées pour permettre au titulaire du droit d’accès, au sens de l’article 15, paragraphe 1, sous h), du RGPD, de constater si ces informations fournies correspondent bien aux faits, et donc si la décision automatisée concrètement demandée est effectivement fondée sur les informations communiquées ?

3    b) Dans l’affirmative : comment faut-il procéder lorsque l’exactitude des informations fournies par un responsable ne peut être vérifiée que si le titulaire du droit d’accès au sens de l’article 15, paragraphe 1, sous h), du RGPD doit également se voir communiquer des données de tiers protégées par le RGPD (boîte noire) ?

Ce conflit entre le droit d’accès au sens de l’article 15, paragraphe 1, du RGPD et le droit des tiers à la protection de leurs données peut-il être résolu en ne communiquant qu’à l’autorité ou à la juridiction les données de tiers qui sont nécessaires à la vérification de l’exactitude, et qui ont également été soumises au même profilage, de telle sorte que l’autorité ou la juridiction vérifiera de manière autonome si les données de ces tiers qui sont communiquées correspondent aux faits ?

3    c) Dans l’affirmative : quels droits le titulaire du droit d’accès au sens de l’article 15, paragraphe 1, sous h), du RGPD doit-il en tout état de cause se voir reconnaître lorsque la nécessité d’assurer la protection des droits des tiers au sens de l’article 15, paragraphe 4, du RGPD impose la création de la boîte noire évoquée au point 3b) ?

Dans cette hypothèse, les données d’autres personnes que le responsable, au sens de l’article 15, paragraphe 1, du RGPD, est tenu de communiquer pour permettre la vérification de l’exactitude de la prise de décision doivent-elles être en tout état de cause communiquées sous forme pseudonymisée au titulaire du droit d’accès au sens de l’article 15, paragraphe 1, sous h), du RGPD ?

4    a)Comment faut-il procéder lorsque les informations à fournir, au sens de l’article 15, paragraphe 1, sous h), du RGPD, répondent également aux conditions d’un secret d’affaires au sens de l’article 2, point 1, de la directive (UE) 2016/943 1  ?

Le conflit entre le droit d’accès garanti par l’article 15, paragraphe 1, sous h), du RGPD et le droit à la non-divulgation d’un secret d’affaires protégé par la directive 2016/943 peut-il être résolu en ne communiquant qu’à l’autorité ou à la juridiction les informations considérées comme des secrets d’affaires au sens de l’article 2, point 1, de la directive 2016/94315, de telle sorte que l’autorité ou la juridiction vérifiera de manière autonome s’il convient d’admettre l’existence d’un secret d’affaires, au sens de l’article 2, point 1, de la directive 2016/943, et si les informations fournies par le responsable, au sens de l’article 15, paragraphe 1, du RGPD, correspondent aux faits ?

b) Dans l’affirmative : quels droits le titulaire du droit d’accès au sens de l’article 15, paragraphe 1, sous h), du RGPD doit-il en tout état de cause se voir reconnaître lorsque la nécessité d’assurer la protection des droits des tiers au sens de l’article 15, paragraphe 4, du RGPD impose la création de la boîte noire évoquée au point 4a) ?

Dans cette hypothèse d’un démembrement entre les informations à communiquer à l’autorité ou à la juridiction, d’une part, et celles qui sont à communiquer au titulaire du droit d’accès, au sens de l’article 15, paragraphe 1, sous h), du RGPD, d’autre part, le titulaire du droit d’accès, au sens de l’article 15, paragraphe 1, sous h), du RGPD, doit-il en tout état de cause, dans les cas ayant pour objet un profilage, se voir (également) communiquer les informations suivantes relatives au traitement concret le concernant, afin de lui permettre de préserver pleinement les droits que lui confère l’article 22, paragraphe 3 du RGPD :

a)    communication de toutes les informations, éventuellement pseudonymisées, portant notamment sur la façon dont les données de la personne concernée sont traitées, qui permettent de vérifier le respect du RGPD,

b)    mise à disposition des données d’entrée utilisées pour le profilage,

c)    les paramètres et les variables d’entrée utilisés pour la détermination de l’évaluation,

d)    l’incidence de ces paramètres et variables d’entrée sur l’évaluation calculée,

e)    des informations sur l’obtention des paramètres ou des variables d’entrée,

f)     explication de la raison pour laquelle le titulaire du droit d’accès au sens de l’article 15, paragraphe 1, sous h), du RGPD a été associé à un résultat d’évaluation spécifique, et présentation de la déclaration associée à cette évaluation,

g)    énumération des catégories de profil et explication de la déclaration associée à chacune d’entre elles ?

5)    La disposition prévue à l’article 15, paragraphe 4, du RGPD limite-t-elle de quelque façon que ce soit la portée des informations à fournir conformément à l’article 15, paragraphe 1, sous h), du RGPD ?

Dans l’affirmative, de quelle manière ce droit d’accès est-il limité par l’article 15, paragraphe 4, du RGPD, et comment cette portée de la limitation doit-elle être déterminée dans chaque cas ?

6)    La disposition prévue à l’article 4, paragraphe 6, du Datenschutzgesetz (loi sur la protection des données), aux termes de laquelle « le droit d’accès dont bénéficie la personne concernée en vertu de l’article 15 du RGPD n’est en principe pas constitué à l’égard d’un responsable lorsque cet accès compromettrait un secret d’affaires ou d’entreprise du responsable ou d’un tiers », est-elle conforme aux dispositions combinées de l’article 15, paragraphe 1, et de l’article 22, paragraphe 3, du RGPD ? Dans l’affirmative, sous quelles conditions une telle compatibilité est-elle constituée ?

____________

1     Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO 2016, L 119, p. 1).

1     Directive du Parlement européen et du Conseil, du 8 juin 2016, sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites (JO 2016, L 157, p. 1).