You are currently viewing Credit Scoring et RGPD : les enjeux d’une qualification complexe

Cinq ans après l’entrée en vigueur de l’ambitieux règlement général sur la protection des données (RGPD), des questions persistent, notamment en raison de la perpétuelle évolution des technologies. Les pratiques, toujours plus innovantes, sont parfois difficiles à qualifier au regard du RGPD, comme celle du credit scoring

 

Qu’est-ce que le credit scoring?

 

Le terme crédit tire son origine du latin credere, qui signifie croire. Ainsi, étymologiquement, la notion renvoie à la croyance : le créancier a confiance en son débiteur et en sa capacité à honorer sa dette. En France, il n’existe pas de droit au crédit, en vertu de la liberté contractuelle prévue à l’article 1101 du Code civil. Le créancier est tenu de vérifier la solvabilité de l’emprunteur, et peut, de fait, refuser d’accorder le crédit. 

 

Né aux Etats-Unis, le credit scoring consiste à analyser et évaluer le niveau de risque du demandeur de crédit, en lui attribuant une note – un score. En d’autres termes, ce score établit un lien entre les caractéristiques des personnes et leur niveau de risque. Chaque établissement financier a ses propres critères, bien que certains éléments soient généralement pris en compte tels que l’âge du demandeur, son état civil, sa situation de logement, son revenu et sa situation professionnelle. Il convient de noter que les critères peuvent également varier d’un pays à l’autre.

 

Le credit scoring encadré par la Commission nationale de l’informatique et des libertés (CNIL) 

 

En France, tout crédit à la consommation est évalué par un score. Certains établissements de crédit utilisent un score numérique, qui analyse le comportement du client : moins il rembourse un crédit, moins le score est élevé. Cette note a pour objectif d’évaluer le niveau de risque associé ; son but n’est pas de prédire le remboursement du crédit par le client. 

 

Dans une délibération de 2008, la CNIL a tout d’abord défini le scoring comme étant un traitement automatisé de données personnelles établi sur la base de techniques statistiques « à partir des données relatives aux contrats de crédit qu’ils ont précédemment conclus, des caractéristiques personnelles des emprunteurs et des défauts de remboursement constatés ». D’une part, le score évalue le « risque statistique de défaillance » du demandeur de crédit. D’autre part, il qualifie ce risque comme étant acceptable ou non. En conséquence, cet outil décisionnel est « susceptible d’exclure, au moins de façon temporaire, une personne du bénéfice d’un contrat de crédit là où aucun texte législatif ou réglementaire ne prévoit une telle exclusion ».

Ensuite, elle a encadré la pratique du scoring en prévoyant notamment :

  • L’interdiction de prendre en compte le sexe du demandeur de crédit pour établir le score, afin de lutter contre la discrimination ;
  • La possibilité pour le client de demander un entretien, qui permettrait l’analyse de son dossier de manière non automatisée en cas de rejet de demande ;
  • L’information donnée au client, dès la demande de crédit, qu’il dispose du droit d’examen de son dossier, de manière non automatisée ;
  • L’interdiction de partage des scores entre les établissements financiers.

La CNIL permet aux établissements financiers d’avoir recours au scoring dès lors qu’ils respectent l’autorisation unique qu’elle a émise. Cette autorisation porte notamment sur la construction du score, la pertinence des critères et les traitements de mise en œuvre de l’outil. Si l’établissement respecte ces conditions, il doit soumettre une déclaration de conformité sur le site internet de la CNIL.  

 

L’affaire SCHUFA 

 

En octobre 2021, un tribunal allemand a soumis une question préjudicielle à la Cour de Justice de l’Union européenne (CJUE) concernant le scoring et les préoccupations qu’il soulève en matière de protection des données personnelles des clients.

Dans cette affaire, à la demande d’établissements financiers, la société SCHUFA a fournit des scores sur les clients. Suite à l’obtention d’un score négatif qui lui a empêché d’obtenir un crédit, une cliente a demandé à SCHUFA d’accéder aux données personnelles utilisées par la société pour établir son score, ainsi que les critères appliqués. La société a cependant refusé de « communiquer les données spécifiques prises en compte dans ce calcul et la pertinence qui leur est attribuée dans ce contexte, en faisant valoir que la méthode de calcul relève du secret des affaires ». La CJUE est saisie pour qu’elle se prononce sur les restrictions imposées par le RGPD à la pratique du scoring.

 

Dans ses conclusions de mars 2023, l’avocat général constate que l’article 22 du RGPD accorde aux individus le droit de ne pas faire l’objet d’une décision basée uniquement sur un traitement automatisé, y compris le profilage. Selon lui, le scoring est un profilage au sens du RGPD. La décision produit des effets juridiques sur la personne et le refus d’accorder le crédit peut être considéré comme étant fondé exclusivement sur un traitement automatisé. Ainsi, la requérante a le droit d’obtenir de la société « la confirmation que des données personnelles la concernant sont ou ne sont pas traitées, d’autres informations comme l’existence d’une prise de décision automatisée, des renseignements utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences pour la personne concernée ». Elle doit être en mesure de comprendre la méthode de calcul utilisée grâce à des informations détaillées sur le processus décisionnel. Cela lui permettra de contester la décision conformément au RGPD.

 

Hannah Siegrist

M2 Cyberjustice – Promotion 2022/2023

 

Sources :

 

A propos de Hannah Siegrist