Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

L’intérêt légitime peut-il fonder la licéité d’un modèle mathématique ou d’une IA ?

Publié le par 394 vues

Une intéressante décision de la chambre contentieuse de l’autorité belge de protection des données, valide la licéité d’une réutilisation des données commerciales fondée sur « l’intérêt légitime », afin de mettre au point un système de réductions personnalisées. Rendue au sujet d’un « modèle mathématique », la décision semble tout à fait transposable à une IA.

Une finalité nouvelle incompatible n’est pas la fin de l’histoire

En janvier 2020, un client a déposé une plainte contre sa banque auprès de l’Autorité de protection des données, après avoir découvert que ses données personnelles, y compris les détails de ses transactions, avaient été utilisées pour créer des modèles mathématiques dans le cadre d’un service de « réductions personnalisées ».

La chambre contentieuse conclut que cette utilisation des données :

  • constitue une nouvelle finalité, distincte de la finalité initiale (traitement des transactions), et
  • cette nouvelle finalité n’est pas compatible avec l’objectif initial.

La décision présente un premier intérêt car elle souligne un élément trop souvent oublié : ce constat de nouvelle finalité incompatible avec la finalité initiale, ne signifie pas que le traitement doit nécessairement être arrêté.

Ce constat implique toutefois de vérifier que le traitement ultérieur, poursuivant par hypothèse une finalité incompatible, dispose d’une base juridique propre qui le rend licite.

Il s’agit d’une lecture correcte de l’article 6 et du considérant 50 selon lequel, lorsque la nouvelle finalité est jugée compatible, « aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n’est requise ». A contrario, quand la nouvelle finalité est jugée incompatible, il faut une base juridique distincte de celle qui a permis la collecte initiale.

L’intérêt légitime peut constituer la base de licéité d’un modèle mathématique

La chambre contentieuse s’attache alors à analyser l’intérêt légitime, invoqué par la banque comme base de licéité distincte.

Depuis l’arrêt Rigas de la VCJUE, on sait que trois conditions cumulatives doivent être remplies pour qu’un responsable du traitement puisse valablement invoquer ce fondement de licéité, « à savoir, premièrement, la poursuite d’un intérêt légitime par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, deuxièmement, la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi et, troisièmement, la condition que les droits et les libertés fondamentaux de la personne concernée par la protection des données ne prévalent pas ».

Sur la première condition

La Chambre Contentieuse estime que la création de modèles de données afin de proposer des réductions personnalisées aux clients du défendeur pour des produits et des services de tiers doit être considérée comme étant réalisée en vue d’un intérêt légitime. Cela permet au défendeur de proposer à ses clients un service similaire, tout comme d’autres banques qui octroient également des réductions sous la forme de cash-backs. La création du modèle de données pour lequel le défendeur utilise les données de transaction des clients, dont également celles du plaignant, vise à proposer des réductions personnalisées, ce qui fait partie de la démarche de positionnement sur le marché. Le point de départ du défendeur est donc de mieux cerner le service qu’il entend fournir à ses clients en tenant compte des évolutions et tendances sociétales telles que la numérisation et la personnalisation du service et la diversification de l’offre de services, ce qui est dicté par un intérêt commercial.

Elle ajoute, ce qui vaut son pesant d’or quand on sait le débat sur cette question qui agite les autorités des pays de l’UE (Pays-Bas en tête, dont l’autorité persiste dans le sens contraire), qu’un tel intérêt commercial peut constituer un intérêt légitime conformément au considérant 47 du RGPD (voir aussi l’avis 06/2014 du Groupe de travail « Article 29 » sur la protection des données).

Sur la deuxième condition

La deuxième condition implique de démontrer que le traitement est nécessaire pour la réalisation des finalités poursuivies, c’est-à-dire que le même résultat ne peut pas être atteint avec d’autres moyens, sans traitement de données à caractère personnel ou sans traitement substantiel inutile pour les personnes concernées.

La chambre contentieuse admet que le développement d’un modèle est un instrument nécessaire à la réalisation de la finalité ultime qui est visée, à savoir l’offre d’applications numériques pour proposer des réductions personnalisées aux clients : ces modèles de données sont une étape intermédiaire nécessaire entre d’une part les données de transaction en tant que telles et d’autre part l’offre de réductions personnalisées par voie électronique.

Sur la troisième condition

La troisième condition implique une mise en balance entre les intérêts du responsable du traitement d’une part, et les libertés et droits fondamentaux de la personne concernée d’autre part. Concernant la personne concernée, ses attentes raisonnables sont un élément important de l’appréciation : « Sont également pertinentes aux fins de cette pondération les attentes raisonnables de la personne concernée à ce que ses données à caractère personnel ne seront pas traitées lorsque, dans les circonstances de l’espèce, cette personne ne peut raisonnablement s’attendre à un traitement ultérieur de celles-ci. » (CJUE, TK c/ Asociaţia de Proprietari, 11 décembre 2019, C-708/18). 

La Chambre Contentieuse examine la proportionnalité entre l’intérêt du défendeur à utiliser les données pour créer des modèles et l’impact de ce traitement sur les droits des clients. Elle distingue entre la phase de création des modèles, où les données sont anonymisées et utilisées pour entraîner des algorithmes, et la phase opérationnelle où ces modèles sont appliqués pour offrir des réductions personnalisées.

La Chambre note que, dans la phase de création des modèles, les données utilisées sont anonymisées au maximum, sans tentative de réidentifier les personnes concernées. Ces modèles résultants ne contiennent plus de données personnelles, ce qui minimise l’impact sur les droits des clients. De plus, à aucun moment ces données ne sont transmises à des tiers, et les données sensibles ne sont pas traitées.

Pour la phase opérationnelle, où des réductions personnalisées sont offertes à des clients identifiés, la banque invoque le consentement préalable (article 6.1.a du RGPD). Seuls les clients ayant donné leur consentement peuvent bénéficier de ces réductions, garantissant ainsi que le traitement respecte les droits des clients.

La Chambre conclut que, compte tenu de ces éléments, la banque a légitimement invoqué l’intérêt légitime (article 6.1.f du RGPD) pour la création des modèles de données, rendant ainsi ce traitement licite.

Elle ajoute, ce qui mérite d’être souligné, que le plaignant avait certes signalé ne pas vouloir recevoir d’informations sur mesure, mais elle opère une fine distinction entre la création de modèles de données pour des réductions personnalisées d’une part, et l’information sur mesure d’autre part. Elle juge que cette deuxième notion doit être vue comme la publicité sur mesure relative au service dans le secteur bancaire et des assurances (marketing direct pour lequel la banque doit obtenir le consentement préalable), ce qui ne se confond pas avec le modèle mathématique litigieux.

La décision est disponible en annexe.

Droit & Technologies

Annexes

Décision du 15 mars 2024

file_download Télécharger l'annexe

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK