accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Crédit scoring : la délivrance d’un score à une banque peut constituer une décision individuelle automatisée interdite par le RGPD

Jurisprudence
CJUE, 7 déc. 2023, aff. C-634/21, OQ c. Land Hessen
Marie BISCARRAT Rédactrice en chef Lexis 360 Académique
[12.12.2023]

La CJUE, dans un arrêt important du 7 décembre 2023, juge que le « crédit scoring » s’apparente au profilage défini par le RGPD. Il constitue une « décision individuelle automatisée » au sens de l’article 22 du RGPD, en principe interdite, lorsque les banques lui accordent un rôle déterminant pour l’octroi de crédits. C’est la première fois que la CJUE livre son interprétation sur l’important article 22 du RGPD portant sur le domaine sensible des décisions fondées exclusivement sur un traitement de données automatisé.

C’est également l’occasion pour la Cour de se prononcer sur les restrictions que le RGPD impose à l’activité économique des agences de renseignement dans le secteur financier, en particulier dans la gestion des données ainsi que sur l’incidence à reconnaître sur le secret des affaires. Elle devra également préciser l’étendue des pouvoirs réglementaires que certaines dispositions du RGPD confèrent au législateur national par dérogation à l’objectif général d’harmonisation poursuivi par le règlement.

Une société allemande fournit à ses partenaires contractuels des informations sur la solvabilité des personnes. À cette fin, elle utilise la technique dite du « scoring ». Cette pratique consiste à attribuer à chaque personne concernée un score qu’elle établit à partir de certaines caractéristiques de cette personne, sur la base de procédures mathématiques et statistiques. L’établissement des scores sert à prédire le comportement futur d’une personne, comme le remboursement d’un prêt, sur la base de son assignation à un groupe d’autres personnes possédant des caractéristiques comparables.

Le demandeur s’est vu refuser un prêt avoir fait l’objet d’informations négatives de la société. Il lui a alors demandé l’accès à ses données et d’effacer celles qu’il estimait erronées. La société ne lui a communiqué que son score et les modalités de son calcul. Elle a invoqué, pour le reste, le secret des affaires.

La justice allemande saisit la CJUE d’une question préjudicielle : l’établissement automatisé, par une société fournissant des informations commerciales, d’une valeur de probabilité concernant la solvabilité d’une personne constitue-t-elle une décision individuelle automatisée qui relève du RGPD ?

Applicabilité du RGPD.- La Cour constate que les trois conditions cumulatives d’applicabilité des dispositions de l’article 22 du RGPD qui régissent le droit de la personne de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, sont réunies :

  • sur l’existence d’une décision : la notion de « décision » a une portée large et peut englober le résultat du calcul de la solvabilité d’une personne sous la forme d’une valeur de probabilité concernant sa capacité à honorer des engagements de paiement à l’avenir ;

  • sur l’existence d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage : la CJUE juge que l’activité de la société répond à la définition de « profilage ». La juridiction de renvoi mentionne d’ailleurs explicitement qu’est en cause l’établissement d’une valeur de probabilité fondée sur des données personnelles relatives à une personne et concernant ses capacités à honorer un prêt à l’avenir ;

  • sur l’existence d’une décision qui produit des effets juridiques déterminants pour la personne concernée : la CJUE juge que l’action de l’établissement de crédit auquel la valeur de probabilité est transmise est guidée de manière déterminante par cette valeur. En effet, une valeur de probabilité insuffisante entraîne presque toujours le refus d’accorder un prêt. Cette valeur affecte donc à tout le moins la personne concernée de manière significative.

Ainsi, la Cour en conclut que l’établissement de la valeur de probabilité par une société fournissant des informations commerciales et communiquée à une banque et qui joue un rôle déterminant dans l’octroi de crédit doit être qualifié de décision produisant à l’égard de la personne concernée des effets juridiques la concernant ou l’affectant de manière significative. Elle précise qu’une interprétation restrictive (selon laquelle l’établissement de ce score doit être considéré comme un acte préparatoire et seul le refus de la banque peut être qualifié de « décision ») entraînerait une lacune dans la protection juridique prévue par le RGPD.

Conséquence de la qualification.- L’établissement de ce score est ainsi couvert par les dispositions du RGPD et est donc interdit à moins que l’une des exceptions soit applicable et que les exigences spécifiques prévues par le RGPD soient respectées. La juridiction de renvoi faisait référence à l’exception selon laquelle l’adoption de la décision fondée exclusivement sur un traitement automatisé peut être autorisée lorsque c’est prévu par le droit de l’État membre. À cet égard, la CJUE précise qu’il incombe à la juridiction de vérifier si la législation nationale régissant les modalités d’utilisation d’une valeur de probabilité relative à la solvabilité peut être qualifiée de base légale autorisant l’adoption d’une telle décision. Si c’est le cas, elle doit également vérifier si les conditions entourant cette exception et celles relatives applicables au traitement, prévues par le RGPD, sont remplies.