Selon la CJUE, le droit à l’information des personnes concernées l’emporte sur les secrets commerciaux

Lorsqu’il existe un conflit entre les droits d’une personne et les secrets commerciaux revendiqués par un responsable du traitement des données, les autorités de protection des données (APD) ou le tribunal peuvent être autorisés à accéder aux informations pertinentes pour évaluer ce que le responsable du traitement doit divulguer, a jugé aujourd’hui la Cour de justice de l’Union européenne (CJUE).

Après qu’un tribunal fédéral autrichien a statué que l’agence de crédit américaine Dun & Broadstreet (D&B) devait expliquer pourquoi son rapport de solvabilité avait refusé à un citoyen autrichien un contrat de téléphonie, le conflit s’est retrouvé devant la CJUE via le tribunal administratif de Vienne lorsque D&B a affirmé que fournir des informations exactes l’obligerait à partager des secrets commerciaux protégés.

Le règlement sur la protection des données (RGPD) accorde aux personnes concernées le droit de savoir comment, pourquoi et quand leurs données personnelles sont traitées, et interdit les décisions automatisées qui affectent considérablement les individus.

La CJUE a statué aujourd’hui qu’une personne concernée peut exiger d’un responsable du traitement qu’il fournisse « la procédure et des principes concrètement appliqués », et a fourni une solution pour concilier cela avec la protection des secrets commerciaux.

Un responsable du traitement qui revendique des secrets commerciaux est « tenu de communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes », peut-on lire dans l’arrêt de la CJUE.

Le tribunal peut alors rechercher un équilibre entre le droit de la personne concernée et la protection du secret commercial pour décider quelles informations la personne concernée peut recevoir.

Les agences de crédit sous surveillance

Malgré la relation complexe qui existe entre cette pratique et le RGPD, la notation de crédit est très répandue en Europe, et la décision établit une norme de transparence élevée pour les agences de crédit.

Selon EuGD, une société allemande qui aide les personnes concernées à obtenir réparation en cas de violation de la vie privée, la décision renforce son argumentation contre le géant allemand de la notation de crédit SCHUFA.

« Nous supposons que des millions de rapports SCHUFA des sept dernières années étaient incomplets », explique Thomas Bindl, fondateur d’EuGD.

« Nous allons faire valoir ce préjudice », souligne Thomas Bindl dans le communiqué de presse d’EuGD, qui indique également que des milliers de personnes se sont inscrites auprès d’eux pour obtenir une indemnisation contre SCHUFA.

Le fondateur d’EuGD a récemment remporté une victoire historique de 400 euros contre la Commission devant la Cour de justice de l’Union européenne.

La décision d’aujourd’hui pourrait également s’avérer importante pour l’utilisation des systèmes d’intelligence artificielle (IA), qui sont souvent difficiles à expliquer et développés par des entreprises peu transparentes.

La décision pourrait être mise en pratique sous peu, car l’ONG Noyb a déposé aujourd’hui une plainte auprès de l’autorité suédoise de protection des données suite au rejet par Swedbank de la demande d’accès d’un citoyen suédois, au motif que le calcul était un secret commercial.

(AM)