CONTACT

Le « credit scoring » est une « décision individuelle automatisée », selon la CJUE

12 janvier 2024 | Derriennic Associés|

Par un arrêt du 7 décembre 2023, la Cour de Justice de l’Union Européenne (CJUE) s’est prononcée sur la définition de « décision individuelle automatisée » au sens de l’article 22 du RGPD et a qualifié le « credit scoring » comme tel.

SCHUFA est une société privée de droit allemand qui fournit à ses partenaires contractuels, principalement des banques, des informations sur la solvabilité de tiers, notamment des consommateurs.

À cette fin, elle établit, à partir de plusieurs caractéristiques relatives à la personne concernée et de modèles mathématiques et statistiques, un pronostic (« score » ou « scoring ») sur la probabilité d’un défaut de remboursement d’un prêt (« credit scoring »).

Un consommateur allemand s’est vu refuser l’octroi d’un prêt par une banque compte tenu du « score » que SCHUFA lui avait attribué.

Le consommateur a effectué directement auprès de SCHUFA une demande d’informations sur ses données et une demande d’effacement. SCHUFA a transmis au consommateur son « score » et a exposé dans les grandes lignes, les modalités de calcul, mais a refusé de divulguer plus d’informations quant à la manière dont le score avait été établi.

SCHUFA justifiait ce refus (i) en indiquant que la demande devait être effectuée auprès de la banque, puisque c’est cette dernière qui a pris la décision de refuser l’octroi du prêt et (ii) en invoquant le secret des affaires.

Le consommateur a déposé une plainte auprès de l’autorité de contrôle allemande, qui a été rejetée, puis a saisi le Tribunal administratif allemand aux fins d’accueillir sa demande d’informations et d’effacement.

Selon le Tribunal administratif, la possibilité d’accueillir favorablement la demande du consommateur dépend directement de la qualification du « credit scoring » comme étant une « décision individuelle automatisée ».

Conformément à l’article 22 du RGPD : « la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».

Plus encore, face à une « décision individuelle automatisée », une obligation de fournir des informations complémentaires repose sur le responsable du traitement.

S’il ne faisait pas de doute, pour le Tribunal administratif, que la décision de la banque de refuser l’octroi d’un prêt s’apparentait à une « décision individuelle automatisée », un doute subsistait sur l’attribution d’un « score » par SCHUFA : faut-il considérer le « score » comme une « décision individuelle automatisée » à part entière ou un simple « acte préparatoire » à la décision de la banque ?

Le tribunal administratif a donc posé, en substance, à la CJUE la question préjudicielle suivante :

Le « credit scoring » constitue-t-il une « décision individuelle automatisée » au sens de l’article 22 du RGPD ?

I. La qualification du « credit scoring » en une « décision individuelle automatisée »

Selon la CJUE, la définition de « décision individuelle automatisée » repose sur trois conditions cumulatives qui sont remplies, en l’espèce.

En premier lieu, la CJUE considère, selon une interprétation volontairement large, que le « scoring » est une « décision ». Cette interprétation large permet d’éviter, selon la CJUE, tout « risque de contournement de l’article 22 du RGPD » en ne faisant peser aucune obligation sur les sociétés établissant les scores.

En deuxième lieu, la CJUE considère que le « credit scoring » correspond parfaitement à la définition du « profilage » posée à l’article 4 du RGPD.

En troisième lieu, la CJUE considère que le « credit scoring » est une décision de profilage qui emporte des « effets juridiques ou affecte l‘intéressé de manière significative de façon similaire», puisque l’action de la banque est guidée de manière déterminante par ce dernier : un score faible « entraîne, dans presque tous les cas, le refus [de la banque] d’accorder le prêt sollicité ».

II. Les conséquences de la qualification de « credit scoring » en « décision individuelle automatisée »

La qualification du « credit scoring » comme étant une « décision individuelle automatisée » entraîne l’application du régime de l’article 22 du RGPD. Ainsi, toutes les sociétés réalisant du « credit scoring » devraient :

  • faire reposer leurs traitements sur l’une des 3 bases légales suivantes (i) la conclusion ou l’exécution d’un contrat, (ii) le consentement de la personne ou (iii) l’autorisation en vertu d’une réglementation ;
  • donner la possibilité aux personnes concernées d’obtenir une intervention humaine, d’exprimer leur point de vue et de contester la décision, et ;
  • fournir aux personnes concernées des « informations complémentaires », c’est-à-dire « des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ».
Personnalisation des cookies

Cookies de mesures d'audience

Ce site utilise Matomo à des fins statistiques (cookies de mesure d’audience). Ils permettent de savoir combien de fois une page déterminée a été consultée. Nous utilisons ces informations uniquement pour améliorer le contenu de notre site Internet.

Il s’agit des cookies suivants :

_ga : Ce cookie permet d’identifier les visiteurs du site via l’adresse IP de l’utilisateur. Elle est ensuite anonymisée par Matomo Analytics.

_gat_gtag_UA_162039697_1 : Ce cookie permet de limiter le nombre de requêtes simultanées au site et d’éviter les bugs

_gid : Ce cookie permet d’identifier les visiteurs du site via leur adresse IP (conservation de 24h). Elle est ensuite anonymisée par Matomo Analytics.

Vous pouvez consulter la page dédié à la protection des données de Matomo