RGPD : le « credit scoring » constitue une décision individuelle automatisée
Le litige que nous allons détailler, suite à l’arrêt de la CJUE du 7 décembre 2023, concerne ici une société de droit allemand, SCHUFA. Son activité consiste à fournir à ses clients des informations sur la solvabilité de leurs interlocuteurs. Elle établit notamment à cette fin un score statistique, représentant par exemple la probabilité de remboursement d’un crédit par une personne donnée.
Suite à un score négatif, un consommateur s’était vu refuser l’octroi d’un crédit. Il avait exercé auprès de la société les droits d’accès et d’effacement conférés par le RGPD. SCHUFA n’a cependant répondu que partiellement à cette demande, estimant notamment que ses méthodes de calcul étaient couvertes par le secret des affaires.
Saisie par le consommateur, l’autorité allemande de protection des données a rejeté sa demande, jugeant qu’il n’était pas établi que la société ne respectait pas ses obligations. Le demandeur a alors saisi les juges du fond.
Le juge administratif allemand s’est alors interrogé sur la question suivante : l’établissement d’une valeur de probabilité ou score, telle que celle en cause en l’espèce, constitue-elle une décision individuelle automatisée, au sens de l’article 22 du RGPD ? Dans ce cas, la personne concernée a le droit de ne pas y être soumise, sauf à ce que le traitement entre dans le cadre des exceptions prévues par l’article – notamment, à la condition que cette décision soit autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis.
La juridiction a saisi la Cour de Justice de l’Union Européenne (CJUE) de cette problématique par le biais d’une question préjudicielle.
Dans son arrêt C-634/21 du 7 décembre 2023, la Cour délivre une grille d’analyse quant à l’applicabilité de l’article 22 du RGPD à un traitement donné.
3 conditions sont identifiées :
- La prise d’une « décision » : la Cour note que le terme n’est pas défini par le RGPD, mais l’interprète comme tous actes « qui produisent des effets juridiques concernant la personne en cause mais également des actes qui affectent celle-ci de manière significative de façon similaire. »
- Le recours exclusif, pour prendre cette décision, à un traitement automatisé de données personnelles, y compris le profilage : la Cour considère cette condition comme remplie en l’espèce, l’activité de SCHUFA correspondant à la définition du profilage telle que donnée à l’article 4 du RGPD.
- La production, par la décision, d’effets juridiques ou significatifs pour la personne concernée : En l’espèce, la Cour note qu’un score insuffisant attribué par SCHUFA résulte quasi-systématiquement en un refus de la banque d’accorder le prêt sollicité.
En ces conditions, la Cour juge que la pratique du « credit scoring », telle qu’elle est réalisée, par SCHUFA en l’espèce, doit être considérée comme une prise de décision entièrement automatisée au sens de l’article 22 du RGPD. Elle définit ce traitement comme le calcul de « la valeur de probabilité établie par une société fournissant des informations commerciales et communiquée à une banque joue un rôle déterminant dans l’octroi d’un crédit ».
Les juges insistent par ailleurs sur le régime qui accompagne cette qualification.
Tout d’abord, en application de l’article 22 du RGPD, le traitement mis en œuvre doit entrer dans le cadre des exceptions prévues – à défaut, la personne concernée a le droit de ne pas être soumise à cette décision automatisée.
Par ailleurs, le responsable de traitement demeure soumis aux grands principes de protection des données et de licéité du traitement prévus par les articles 5 et 6 du RGPD.
Le département Contrats informatiques, données & conformité peut vous accompagne dans la gestion des données personnelles recueillies dans le cadre de votre activité.
Pour toute question, n’hésitez pas à nous contacter.