La société de credit scoring doit informer les personnes concernées

Même si la société qui procède au credit scoring (examen de solvabilité) n’est pas la société qui décide in fine de l’octroi d’un prêt, elle prend une décision individuelle automatisée et doit ainsi en informer la personne concernée (arrêt de la CJUE du 7 décembre 2023 dans l’affaire C‑634/21, SCHUFA Holding AG).

Suite à un refus d’octroi d’un prêt par une banque, un ressortissant allemand demande diverses informations à SCHUFA, la principale société allemande qui procède à des examens de solvabilité. En effet, le refus du prêt a été justifié en raison d’informations négatives établies par SCHUFA et transmises à la banque. Le requérant aimerait en particulier connaitre les différentes informations prises en compte aux fins du calcul de son score de solvabilité ainsi que leur pondération. SCHUFA refuse en raison du fait que c’est la banque, et non elle, qui prend la décision d’octroi de prêt. Saisi de l’affaire, le Verwaltungsgericht de Wiesbaden pose à la CJUE une question préjudicielle afin de savoir si SCHUFA est soumise au régime juridique de la décision individuelle automatisée (DIA).

La DIA est réglementée par l’art. 22 par. 1 du Règlement général sur la protection des données (RPGD). Trois conditions cumulatives doivent être réunies afin que cette disposition s’applique. Premièrement, il doit exister une « décision ». Deuxièmement cette décision doit être « fondée exclusivement sur un traitement automatisé, y compris le profilage ». Troisièmement, la décision doit produire « des effets juridiques [concernant l’intéressé] » ou l’affecter « de manière significative de façon similaire ».

Concernant la première condition, la CJUE relève que la notion de « décision » doit avoir une portée large. En particulier, le considérant 71 du RGPD mentionne comme « décision », à titre d’exemples, le rejet automatique d’une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention humaine.

Concernant la deuxième condition, l’activité de SCHUFA répond à la définition de « profilage ». En effet, SCHUFA procède à l’établissement automatisé d’une valeur de probabilité d’une personne et sa capacité à honorer un prêt à l’avenir. La deuxième condition est ainsi remplie.

Enfin, la CJUE considère que cette valeur de probabilité affecte la personne concernée d’une manière significative.

Partant, SCHUFA prend bel et bien des décisions individuelles automatisées.

La CJUE rappelle ensuite les conséquences de l’existence d’une DIA. L’art. 22 par. 1 RGPD introduit une interdiction de principe des DIA. Le responsable du traitement doit dès lors prouver qu’il est dans le régime d’exception, prévu par l’art. 22 par. 2 RGPD. Il peut ainsi adopter une DIA lorsqu’elle est nécessaire à la conclusion ou à l’exécution d’un contrat (let. a), lorsqu’elle est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis (let. b), ou lorsqu’elle est fondée sur le consentement explicite de la personne concernée (let. c).

Partant, la Cour conclut que le tribunal allemand devra vérifier si SCHUFA peut effectivement se prévaloir d’une exception afin de prendre des DIA.

Dans son arrêt, la Cour justifie son raisonnement par une argumentation supplémentaire. Selon elle, il existerait un risque de contournement de l’art. 22 RGPD si une interprétation restrictive de cette disposition était retenue, à savoir que l’établissement de la valeur de probabilité, in casu établie par SCHUFA, doit seulement être considéré comme un acte préparatoire et seul l’acte adopté par la tierce partie, in casu la banque, peut être qualifié de « décision ». D’après la CJUE, le choix de la banque, à savoir octroyer un crédit, est guidé de manière déterminante par cette valeur de probabilité. En outre, la banque ne serait pas en mesure de fournir les informations spécifiques dues selon l’art. 22 RGPD, car elle n’en dispose généralement pas.

Ce raisonnement n’est pas convaincant. Selon cette logique, toute société qui effectue un classement automatisé de clients, lequel serait ensuite déterminant pour qu’un partenaire contractuel décide de l’octroi d’une prestation, serait déjà en train de prendre une DIA. La société devrait dès lors directement en informer les personnes concernées, même si c’est le partenaire qui prend in fine la décision à leur égard.

C’est pourtant le partenaire, in casu la banque, qui décide librement d’octroyer un prêt. Si celui-ci ne se fonde que sur le classement du tiers, il prend une DIA. Il ne peut alors pas se libérer de ses obligations d’information en invoquant qu’il se base sur des informations transmises par un tiers, ou qu’il ne dispose pas des informations pertinentes pour répondre aux demandes d’accès des personnes concernées par la décision (art. 15 par. 1 let. h RGPD). Il doit nécessairement prévoir, par la voie contractuelle, un accès aux informations nécessaire afin de respecter ses devoirs légaux.

Qu’en est-il en Suisse ?

Le législateur helvète a repris la même notion de DIA que celle examinée ci-dessus. Cette jurisprudence pourrait ainsi être pertinente pour déterminer s’il existe une DIA selon l’art. 22 LPD. Cela étant, comme souligné par Simon Henseler, le Conseil fédéral considère que « [l]e calcul d’un score de solvabilité par une société de renseignement ne constitue pas une décision individuelle automatisée au sens de la nLPD mais une aide à la décision dans la mesure où la décision effective (refus d’un paiement sur facture, par ex.) appartient au client de la société » (Rapport du Conseil fédéral donnant suite au postulat 16.3682 Schwaab du 21 septembre 2016, p. 25).

En pratique, les sociétés suisses qui effectuent du credit scoring devraient désormais respecter le régime juridique de la DIA prévu à l’art. 22 LPD, dans l’attente d’une clarification jurisprudentielle. En particulier, la violation du devoir d’informer en cas de DIA, intentionnellement ou par dol éventuel, est passible d’une sanction pénale, à charge de la personne physique responsable (art. 60 al. 1 let. b ch. 2 LPD).