L’établissement automatisé d’une valeur de probabilité relative à la capacité de remboursement d’un crédit fondé sur des données personnelles constitue une décision individuelle automatisée au sens de l’article 22, paragraphe 1 du RGPD, selon la Cour de justice de l’Union européenne (CJUE, Aff. C-634/21, 07 décembre 2023).
Cet arrêt fait suite aux conclusions de l’avocat général du 16 mars 2023 qui allaient dans le même sens et qui avaient fait l’objet d’une analyse.
Quels sont les faits ?
En l’espèce, une société dont l’activité consiste entre autres à fournir à ses clients des informations concernant la solvabilité de personnes tierces, a fourni à un établissement de crédit un score concernant un individu, qui a servi de base au refus du crédit demandé par ce dernier.
L’individu a ensuite demandé à la société ayant calculé le score d’effacer l’enregistrement de ces données et de lui donner accès à ces dernières. Cette société a communiqué au demandeur son score ainsi que le mode de fonctionnement de son calcul, sans préciser la pondération des différentes données dans le calcul. La société considérait en effet que ses méthodes de calcul relevaient du secret des affaires.
Le contrôleur allemand à la protection des données a rejeté la réclamation du demandeur en estimant qu’il n’y avait pas lieu d’agir. Une juridiction fut saisie par le demandeur.
Cette juridiction a décidé de surseoir à statuer, et a saisi la Cour de justice de questions préjudicielles.
La CJUE a eu à se prononcer sur la question préjudicielle suivante :
L’établissement automatisé d’une valeur de probabilité concernant la capacité d’une personne à honorer un prêt à l’avenir est-il constitutif d’une décision individuelle automatisée, soumise à l’article 22 du RGPD ?
Que retenir de l’arrêt de la CJUE ?
Trois conditions cumulatives sont à remplir pour déterminer si l’article 22, paragraphe 1 du RGPD est applicable.
- Première condition : il convient d’identifier une « décision ». Pour la CJUE, cette condition est satisfaite compte tenu du caractère large de cette notion.
En substance, une décision est caractérisée par toute mesure ou acte qui produit des effets juridiques concernant la personne concernée ou qui l’affecte de manière significative.
Cela permet de qualifier comme constitutif d’une décision le rejet automatique d’une demande de crédit en ligne ou encore des pratiques de recrutement en ligne sans aucune intervention humaine.
De même, le résultat du calcul de la solvabilité d’une personne concernée sous forme d’une valeur de probabilité concernant sa capacité de remboursement est une décision au sens du RGPD.
- Deuxième condition : la décision doit être fondée exclusivement sur un traitement de données personnelles automatisé, y compris un profilage. Pour la CJUE, cette condition est également remplie.
A l’instar des conclusions de l’avocat général, la CJUE considère que l’activité de scoring est constitutive de profilage au sens de l’article 4 du RGPD. En s’appuyant sur le libellé de la question préjudicielle qui lui a été posée, la CJUE retient que le traitement est bien « automatisé ».
- Troisième condition : la décision fondée exclusivement sur un traitement automatisé doit produire des « effets juridiques » à l’égard de la personne concernée ou l’affecter « de manière significative de façon similaire ». Tel est le cas en l’espèce pour la CJUE puisque sur la base du score produit par la société allemande, lorsque la valeur est dite insuffisante, le rejet de la demande de crédit est presque systématique.
Dans ce contexte, la CJUE prend le soin de souligner que le responsable du traitement demeure soumis au respect des principes de protection des données et de licéité du traitement (RGPD, articles 5 et 6).
Elle rappelle également que le responsable du traitement doit justifier le traitement qu’il met en œuvre par l’une des exceptions prévus par l’article 22, paragraphe 2 du RGPD. A cet égard, il est intéressant de souligner que si le droit national autorise la prise de décision individuelle automatisée, ce dernier doit prévoir des mesures appropriées de nature à protéger les droits et intérêts des personnes concernées telles que l’obligation pour le responsable du traitement d’utiliser des procédures mathématiques ou statistiques adéquates, d’appliquer des mesures techniques et organisationnelles appropriées pour veiller à ce que le risque d’erreur soit réduit au minimum et que les erreurs soient corrigées, de sécuriser les données personnelles en fonction des risques pour les droits et intérêts des personnes concernées, et encore de de prévenir les effets discriminatoires. De plus, les personnes concernées doivent disposer du droit d’obtenir une intervention humaine, d’exprimer leur point de vue et de contester la décision prise à son égard.
Pour autant, il appartiendra à la juridiction allemande ayant interrogé la CJUE de déterminer si le droit allemand est suffisamment précis pour satisfaire aux exigences de l’article 22, paragraphe 2, b) du RGPD pour juger si la société qui produit le score est en conformité et si les mesures appropriées sont suffisantes. A cette occasion, cette même juridiction devra déterminer si les principes de protection des données sont respectés et si cette société respecte ses obligations (obligation d’information, etc.).
Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises !