Pourtant hautement consommatrice d’informations personnelles, la pratique de scoring – particulièrement utilisée par les établissements bancaires – n’a historiquement pas donné lieu en France à une remise en cause au titre de la loi du 6 janvier 1978, dite « Informatique & Libertés ». Il faut dire que la Cnil, autorité compétente en la matière, avait successivement mis en place des garanties dans le cadre de formalités préalables allégées. Il suffisait de s’y tenir pour être en conformité. Dès lors qu’il reposait sur des principes essentiels identiques à ceux des dispositions antérieures, le Règlement général sur la protection des données (RGPD) ne semblait pas annoncer de modifications majeures dans ce domaine. C’était sans compter sur l’arrêt rendu le 7 décembre 2023 (C-634/21) par la Cour de justice de l’Union européenne, confirmant que l’établissement d’un scoring bancaire à partir de données personnelles constituait une décision individuelle automatisée. Si la solution n’est pas véritablement nouvelle, ce sont surtout ses conséquences sur le secteur qui importent ici.
L’influence prépondérante
des prestataires de score
dans la décision finale
En l’espèce, la société SCHUFA fournissait à ses clients – majoritairement des établissements bancaires – des informations sur la solvabilité de tiers sous la forme d’un score de probabilité sur l’aptitude d’un demandeur à rembourser un prêt. Rien d’original en soi, ce prestataire permettant en effet aux établissements concernés d’évaluer leur risque crédit au moyen d’une prédiction de comportement réalisée sur la base de comparaisons au sein de groupes de personnes présentant des caractéristiques similaires. S’affinant au fil du temps, cette pratique a cependant fini par jouer un rôle majeur, pour ne pas dire décisif, dans la prise de décision sur l’octroi de crédits, y compris parfois au détriment des candidats à l’emprunt. Ce qui fut d’ailleurs à l’origine du contentieux porté devant la CJUE, puisque le demandeur – dont le crédit avait été rejeté – se décida à saisir la justice à l’issue du refus de SCHUFA de lui communiquer les informations le concernant qui avaient été utilisées et d’effacer certaines d’entre elles.
Face à de telles conséquences, le juge européen en a déduit que l’établissement d’un score de solvabilité d’un individu présentait tous les effets d’une décision automatisée, en ce qu’elle produisait des effets juridiques le concernant ou, à tout le moins, l’affectait de manière significative. Au-delà des conditions textuellement requises, la Cour y a surtout vu le rôle déterminant du score, au point d’avoir désormais une influence prépondérante dans la décision finale d’octroi de crédits.
Admise lorsque le score est établi par la banque elle-même, la pratique l’est donc beaucoup moins lorsque le calcul de solvabilité est réalisé par un tiers prestataire de services qui n’a en lui-même, en principe, pas de rôle décisionnaire sur le prêt à accorder. C’est là que l’arrêt de la Cour de justice pose sans doute le plus de difficultés. Il vient bousculer sérieusement l’équilibre du secteur qui s’est progressivement habitué à externaliser ce type de service. En pratique, il impose aux prestataires qui le fournissent de justifier non seulement d’une base juridique (intérêt légitime de la banque, nécessité pour la conclusion du contrat de prêt ou consentement du candidat à l’emprunt par exemple) pour procéder au traitement des données personnelles des candidats à l’emprunt, mais aussi – de manière plus incertaine – de disposer d’une justification pour prendre part à une décision dont les effets s’appliquent mécaniquement à tout candidat dans l’impossibilité d’atteindre un seuil minimal de solvabilité. Sans remettre en cause la légitimité de la pratique pour les banques, l’arrêt de la CJUE met en revanche à mal l’influence qu’elle semble considérer comme trop prépondérante des prestataires de score à l’égard de décisions qui s’appuient sur les résultats obtenus à partir d’un traitement automatisé de données personnelles. Il invite donc en creux à réintroduire une dose d’intervention humaine qui ne saurait plus se limiter à la simple validation d’une note attribuée par un outil informatique sans autre forme d’examen. Ce faisant, il redonne toute sa place à une telle intervention – même a posteriori – qu’il érige en rempart contre des décisions jugées trop lourdes de conséquences pour les individus devant toujours pouvoir exprimer leur point de vue et, au-delà, contester la décision prise à leur encontre.
La nécessité de garantir l’effectivité des droits
Aussi déstabilisante puisse-t-elle être pour l’écosystème du scoring bancaire, la solution ne doit toutefois pas, selon nous, être perçue comme une fatalité. Elle n’exclut pas les aménagements, tout particulièrement dans l’attribution des rôles (responsables de traitement indépendants ou conjoints) et obligations qui s’y attachent entre les établissements bancaires et leurs prestataires. En effet, au final, ce qui prime sans doute le plus en la matière est l’effectivité des droits dont sont titulaires les candidats à l’emprunt, c’est-à-dire que les décisions – aussi automatisées soient-elles – prises à leur encontre soient suffisamment intelligibles pour leur permettre de faire valoir leur voix, y compris si un second examen conduisait l’établissement bancaire à confirmer la décision automatisée initialement suggérée par le score pour cause de risque d’insolvabilité.
