Crédit scoring : la délivrance d’un score à une banque peut constituer une décision individuelle automatisée interdite par le RGPD
La CJUE, dans un arrêt important du 7 décembre 2023, juge que le « crédit scoring » s’apparente au profilage défini par le
C’est également l’occasion pour la Cour de se prononcer sur les restrictions que le
Une société allemande fournit à ses partenaires contractuels des informations sur la solvabilité des personnes. À cette fin, elle utilise la technique dite du « scoring ». Cette pratique consiste à attribuer à chaque personne concernée un score qu’elle établit à partir de certaines caractéristiques de cette personne, sur la base de procédures mathématiques et statistiques. L’établissement des scores sert à prédire le comportement futur d’une personne, comme le remboursement d’un prêt, sur la base de son assignation à un groupe d’autres personnes possédant des caractéristiques comparables.
Le demandeur s’est vu refuser un prêt avoir fait l’objet d’informations négatives de la société. Il lui a alors demandé l’accès à ses données et d’effacer celles qu’il estimait erronées. La société ne lui a communiqué que son score et les modalités de son calcul. Elle a invoqué, pour le reste, le secret des affaires.
La justice allemande saisit la CJUE d’une question préjudicielle : l’établissement automatisé, par une société fournissant des informations commerciales, d’une valeur de probabilité concernant la solvabilité d’une personne constitue-t-elle une décision individuelle automatisée qui relève du
Applicabilité du RGPD.- La Cour constate que les trois conditions cumulatives d’applicabilité des dispositions de l’
-
sur l’existence d’une décision : la notion de « décision » a une portée large et peut englober le résultat du calcul de la solvabilité d’une personne sous la forme d’une valeur de probabilité concernant sa capacité à honorer des engagements de paiement à l’avenir ;
-
sur l’existence d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage : la CJUE juge que l’activité de la société répond à la définition de « profilage ». La juridiction de renvoi mentionne d’ailleurs explicitement qu’est en cause l’établissement d’une valeur de probabilité fondée sur des données personnelles relatives à une personne et concernant ses capacités à honorer un prêt à l’avenir ;
-
sur l’existence d’une décision qui produit des effets juridiques déterminants pour la personne concernée : la CJUE juge que l’action de l’établissement de crédit auquel la valeur de probabilité est transmise est guidée de manière déterminante par cette valeur. En effet, une valeur de probabilité insuffisante entraîne presque toujours le refus d’accorder un prêt. Cette valeur affecte donc à tout le moins la personne concernée de manière significative.
Ainsi, la Cour en conclut que l’établissement de la valeur de probabilité par une société fournissant des informations commerciales et communiquée à une banque et qui joue un rôle déterminant dans l’octroi de crédit doit être qualifié de décision produisant à l’égard de la personne concernée des effets juridiques la concernant ou l’affectant de manière significative. Elle précise qu’une interprétation restrictive (selon laquelle l’établissement de ce score doit être considéré comme un acte préparatoire et seul le refus de la banque peut être qualifié de « décision ») entraînerait une lacune dans la protection juridique prévue par le
Conséquence de la qualification.- L’établissement de ce score est ainsi couvert par les dispositions du