Par un arrêt du 7 décembre 2023, la Cour de Justice de l’Union Européenne (CJUE) s’est prononcée sur la définition de « décision individuelle automatisée » au sens de l’article 22 du RGPD et a qualifié le « credit scoring » comme tel.
SCHUFA est une société privée de droit allemand qui fournit à ses partenaires contractuels, principalement des banques, des informations sur la solvabilité de tiers, notamment des consommateurs.
À cette fin, elle établit, à partir de plusieurs caractéristiques relatives à la personne concernée et de modèles mathématiques et statistiques, un pronostic (« score » ou « scoring ») sur la probabilité d’un défaut de remboursement d’un prêt (« credit scoring »).
Un consommateur allemand s’est vu refuser l’octroi d’un prêt par une banque compte tenu du « score » que SCHUFA lui avait attribué.
Le consommateur a effectué directement auprès de SCHUFA une demande d’informations sur ses données et une demande d’effacement. SCHUFA a transmis au consommateur son « score » et a exposé dans les grandes lignes, les modalités de calcul, mais a refusé de divulguer plus d’informations quant à la manière dont le score avait été établi.
SCHUFA justifiait ce refus (i) en indiquant que la demande devait être effectuée auprès de la banque, puisque c’est cette dernière qui a pris la décision de refuser l’octroi du prêt et (ii) en invoquant le secret des affaires.
Le consommateur a déposé une plainte auprès de l’autorité de contrôle allemande, qui a été rejetée, puis a saisi le Tribunal administratif allemand aux fins d’accueillir sa demande d’informations et d’effacement.
Selon le Tribunal administratif, la possibilité d’accueillir favorablement la demande du consommateur dépend directement de la qualification du « credit scoring » comme étant une « décision individuelle automatisée ».
Conformément à l’article 22 du RGPD : « la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».
Plus encore, face à une « décision individuelle automatisée », une obligation de fournir des informations complémentaires repose sur le responsable du traitement.
S’il ne faisait pas de doute, pour le Tribunal administratif, que la décision de la banque de refuser l’octroi d’un prêt s’apparentait à une « décision individuelle automatisée », un doute subsistait sur l’attribution d’un « score » par SCHUFA : faut-il considérer le « score » comme une « décision individuelle automatisée » à part entière ou un simple « acte préparatoire » à la décision de la banque ?
Le tribunal administratif a donc posé, en substance, à la CJUE la question préjudicielle suivante :
Le « credit scoring » constitue-t-il une « décision individuelle automatisée » au sens de l’article 22 du RGPD ?
I. La qualification du « credit scoring » en une « décision individuelle automatisée »
Selon la CJUE, la définition de « décision individuelle automatisée » repose sur trois conditions cumulatives qui sont remplies, en l’espèce.
En premier lieu, la CJUE considère, selon une interprétation volontairement large, que le « scoring » est une « décision ». Cette interprétation large permet d’éviter, selon la CJUE, tout « risque de contournement de l’article 22 du RGPD » en ne faisant peser aucune obligation sur les sociétés établissant les scores.
En deuxième lieu, la CJUE considère que le « credit scoring » correspond parfaitement à la définition du « profilage » posée à l’article 4 du RGPD.
En troisième lieu, la CJUE considère que le « credit scoring » est une décision de profilage qui emporte des « effets juridiques ou affecte l‘intéressé de manière significative de façon similaire», puisque l’action de la banque est guidée de manière déterminante par ce dernier : un score faible « entraîne, dans presque tous les cas, le refus [de la banque] d’accorder le prêt sollicité ».
II. Les conséquences de la qualification de « credit scoring » en « décision individuelle automatisée »
La qualification du « credit scoring » comme étant une « décision individuelle automatisée » entraîne l’application du régime de l’article 22 du RGPD. Ainsi, toutes les sociétés réalisant du « credit scoring » devraient :
- faire reposer leurs traitements sur l’une des 3 bases légales suivantes (i) la conclusion ou l’exécution d’un contrat, (ii) le consentement de la personne ou (iii) l’autorisation en vertu d’une réglementation ;
- donner la possibilité aux personnes concernées d’obtenir une intervention humaine, d’exprimer leur point de vue et de contester la décision, et ;
- fournir aux personnes concernées des « informations complémentaires », c’est-à-dire « des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ».
