Décisions automatisées et RGPD: le "credit scoring" n’est autorisé que sous certaines conditions

Actualités juridiques

La Chambre de Commerce souhaite attirer l’attention de ses ressortissants à l’arrêt C‑634/21, SCHUFA Holding (Scoring) de la Cour de justice de l’Union européenne (CJUE), rendu le jeudi 7 décembre 2023, concernant la conformité de la prise de décision individuelle automatisée avec le règlement général sur la protection des données (RGPD).

Les faits du litige en question peuvent être résumés comme suit[1] : une société privée établissait, sur demande de ses partenaires contractuels, dont notamment des banques, des valeurs de probabilité sur la capacité des personnes de rembourser des prêts (« credit scoring »). Pour ce faire, cette société recourait à une méthode statistique mathématique permettant d’établir une prévision. Une personne s’est vu refuser l’octroi d’un prêt par un des partenaires de cette société, après avoir reçu un score négatif et a saisi un tribunal allemand.

La CJUE devait répondre notamment à la question de savoir quand la détermination automatisée d’une probabilité sur la capacité d’une personne à honorer un prêt constitue une décision fondée « exclusivement » sur un traitement automatisé, en principe interdite par l’article 22, paragraphe 1, du RGPD.

Pour répondre à cette question la CJUE a rappelé que l’application du droit de ne pas faire l’objet d’une décision automatisée, prévu à l’article 22 du RGPD, est soumise « à trois conditions cumulatives, à savoir, premièrement, qu’il doit exister une « décision», deuxièmement, que cette décision doit être « fondée exclusivement sur un traitement automatisé, y compris le profilage », et, troisièmement, qu’elle doit produire « des effets juridiques [concernant l’intéressé] » ou l’affecter « de manière significative de façon similaire » [2].

S’agissant de la troisième condition, la CJUE a jugé que le « credit scoring » est une décision individuelle automatisée produisant à l’égard d’une personne concernée « des effets juridiques la concernant ou l’affectant de manière significative de façon similaire », en principe interdite par le RGPD, pour autant que les clients auxquels la société en question communiquait la prévision, telles que des banques, lui « accordent un rôle déterminant dans l’octroi de crédit »[3].

Pour un exposé sommaire de l’arrêt en question, veuillez consulter le communiqué de presse

 


[1] Pour un exposé plus détaillé de ces faits, voir points 14 à 19 de l’arrêt C‑634/21, SCHUFA Holding (Scoring).

[2] Voir point 43 de l’arrêt C‑634/21, SCHUFA Holding (Scoring).

[3] Voir point 50 de l’arrêt C‑634/21, SCHUFA Holding (Scoring), ainsi que son dispositif.