Scoring : la société qui fournit, à partir de données personnelles, un score à des tiers, prend une décision automatisée à l’égard de la personne concernée

Par deux arrêts du 7 décembre 2023, la CJUE a précisé les obligations des sociétés de scoring de solvabilité en matière de protection des données à caractère personnel. 

Une société (la « Société ») ayant pour activité la fourniture d’informations concernant la solvabilité des personnes physiques réalisait des calculs permettant de prédire le comportement futur de demandeurs de crédit. Elle communiquait ensuite les scores obtenus aux banques qui, sur la base de ces derniers, accordaient ou non les crédits demandés par les personnes concernées.

Trois personnes physiques ont assigné la Société, considérant que cette dernière traitait illicitement leurs données à caractère personnel. 

La Cour de justice de l’Union européenne (« CJUE ») a été saisie de plusieurs questions préjudicielles afin d’obtenir des précisions quant aux traitements des données personnelles permettant d’établir un scoring de solvabilité. 

Les durées de conservation prévues par la législation nationale prévalent sur les durées prévues par les codes de conduite

La Société utilisait, pour calculer le score qu’elle fournissait aux banques, des informations relatives aux libérations de reliquat de dettes. Ces informations provenaient d’un registre public d’insolvabilité, dont les données étaient conservées 6 mois par la personne tenant le registre, conformément à un délai légal. 

La Société se fondait sur un code de conduite et conservait ces mêmes données au-delà du délai légal, pendant 3 ans. Cette durée allongée était justifiée en raison des potentielles demandes d’information formulées par les partenaires commerciaux aux sociétés adhérentes du code de conduite.

La Cour a cependant jugé que le délai légal de conservation devait prévaloir sur le délai prévu par le code de conduite. Elle a rappelé que si le RGPD prévoit la création de codes de conduites destinés à contribuer à la bonne application du Règlement[1], ceux-ci ne doivent pas aboutir à une appréciation différente de celle obtenue en application du RGPD. 

Elle a relevé qu’en l’espèce, l’objectif d’une mesure de libération de reliquat de dettes est de permettre à la personne concernée de participer de nouveau à la vie économique. Partant, la collecte et le stockage de ces données personnelles au-delà du délai légalement prévu seraient contraires aux intérêts des personnes concernées.  

La Cour a en outre rappelé que les droits et les intérêts de la personne concernée prévalent sur ceux du public à disposer de ces informations. Par conséquent, la Cour a jugé que la conservation de ces données personnelles au-delà du délai légal n’est pas justifiée. 

Quant à la collecte effectuée par la Société dans le respect du délai légal de 6 mois, la Cour a jugé qu’il revient à la juridiction de renvoi d’apprécier si ce traitement pouvait être considéré comme limité au strict nécessaire et donc licite.  

L’opération de scoring constitue une décision individuelle automatisée dès lors que le score est fourni à une entité prenant une décision

Le profilage est une méthode établissant, à partir des informations relatives à une personne concernée et sur la base de statistiques, des probabilités du comportement futur de cette personne[2] ; par exemple sa santé, ses préférences, ou sa situation financière. 

Lorsque le profilage est utilisé pour prendre une décision à l’égard d’une personne, le RGPD le qualifie de décision entièrement automatisée. Ce type de traitement est interdit par principe, mais peut être autorisé par exception dans les cas suivants :

  • La décision est fondée sur le consentement explicite de la personne concernée ;
  • La décision est nécessaire à la conclusion ou à l’exécution d’un contrat ; 
  • La décision est encadrée par des dispositions légales spécifiques.

Au cas d’espèce, la CJUE devait déterminer si l’opération de scoring réalisée par la Société devait, en elle-même, être considérée comme une décision individuelle automatisée et si cette dernière bénéficiait de l’une des exceptions prévues par le RGPD. 

La Cour a rappelé que pour être considérée comme telle, l’opération devait impliquer une décision exclusivement fondée sur un traitement automatisé et produisant des effets juridiques ou susceptible d’affecter la personne concernée de manière significative[3].  

La Cour a à ce titre relevé que : 

  • L’activité de la Société répond à la définition de profilage ;
  • La décision de la tierce personne (banque) à qui est communiqué le score est guidée « de manière déterminante » par ce score, de sorte que le score affecte la personne concernée de manière significative ; 
  • C’est auprès de la société qui établit le score que la personne concernée doit pouvoir faire valoir son droit d’accès, la tierce personne ne disposant généralement pas des informations spécifiques. 

De ce fait, la Cour a considéré que l’activité de la Société impliquait un traitement qui peut s’apparenter à une décision individuelle automatisée. Elle a jugé qu’il revenait à la juridiction nationale d’évaluer si la loi nationale encadrant ce profilage constituait la base légale autorisant cette décision automatisée. Dans l’affirmative, la juridiction devra par ailleurs déterminer si les conditions de cette exception sont conformes au RGPD. 

Lire les arrêts de la CJUE du 7 décembre 2023, affaires jointes C-26/22 et C-64/22 et affaire C-634/21


[1] Article 40 du RGPD

[2] Article 4 du RGPD

[3] Article 22 1) du RGPD

Ne manquez pas nos prochaines publications

Votre adresse email est traitée par FÉRAL afin de vous transmettre les publications et actualités du Cabinet. Vous pouvez vous désabonner à tout moment. Pour en savoir plus sur la manière dont sont traitées vos données et sur l’exercice de vos droits, veuillez consulter notre politique de protection des données personnelles.

Rechercher
Fermer ce champ de recherche.