1. Faits et question préjudicielle. Dans le cadre d’une demande préjudicielle soulevée par une juridiction allemande relative à l’interprétation de l’article 22, paragraphe 1 du règlement (UE) 2026/679 du 27 avril 2026 (RGPD), la CJUE a eu à se prononcer sur la qualification de l’établissement, par une société (la société Schufa), d’une valeur de probabilité fondée sur des données d’une personne physique et relative à sa capacité de remboursement d’un prêt (credit scoring2) par une banque qui s’est, ensuite, appuyée sur ce credit scoring, au cas d’espèce négatif, pour refuser au final l’octroi d’un prêt. Cette demande avait pour origine un litige opposant la société Schufa à une personne de nationalité allemande qui, suite au refus de prêt, avait lui demandé d’une part, à accéder au détail des données qui avait servi à l’établissement du score, d’autre part, l’effacement ces données. Or, la société Schufa n’avait accepté la communication que du score à l’exclusion des données qui avaient servi de base de calcul au score en faisant valoir que ces dernières étaient couvertes par le secret des affaires. La société Schufa avait également indiqué, à l’appui de son refus, qu’elle n’avait vocation à fournir, les informations sous-jacentes au score, qu’à ses clientes, les banques, dès lors ce sont ces dernières qui devaient prendre les décisions d’octroi des prêts sur la base de ces scores. La personne physique avait, ensuite, introduit une réclamation auprès du contrôleur à la protection des données du Land de Hesse qui l’a rejetée au motif que la société Schufa avait respecté les exigences de la loi fédérale allemande sur la protection des données. Ce rejet a fait l’objet d’un recours devant une juridiction allemande qui a saisi la CJUE de la question préjudicielle de savoir si le credit scoring établi par la société Schufa constitue une décision individuelle automatisée au sens de l’article 22 du RGPD alors même que la décision de refus du prêt avait été prise par la banque3.
2. Réponse de la CJUE. La CJUE, après avoir rappelé les termes de l’article 22, paragraphe 1 du RGPD4, constate que les trois conditions cumulatives d’application de cet article sont bien réunies pour qualifier le credit scoring de décision individuelle automatisée : (i) l’existence d’une « décision », (ii) la décision doit être « fondée exclusivement sur un traitement automatisé, y compris le profilage », et, (iii) la décision doit produire « des effets juridiques [concernant l’intéressé] » ou l’affecter « de manière significative de façon similaire ». En ce qui concerne la première condition, la CJUE a retenu une interprétation large de la notion de « décision » à la lumière du considérant 71 du RGPD qui précise que le terme de « décision » couvre, par exemple, le rejet automatique d’une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention humaine5. S’agissant de la deuxième condition, la CJUE précise que l’activité de la société Schufa répond à la définition de la notion de « profilage »6 d’autant plus que, selon la CJUE, la juridiction de renvoi mentionne explicitement qu’est en cause l’établissement automatisé d’une valeur de probabilité fondée sur des données à caractère personnel relatives à une personne et concernant la capacité de celle-ci à honorer un prêt à l’avenir. Quant à la troisième condition sur les conséquences induites par la décision, la CJUE considère que la valeur de probabilité telle que celle en cause affecte à tout le moins la personne concernée de manière significative puisque l’action de la banque « à laquelle la valeur de probabilité est transmise est guidée “de manière déterminante” par cette valeur »7. Pour appuyer son interprétation, la CJUE relève qu’« en cas de demande de prêt adressée par un consommateur à une banque, une valeur de probabilité insuffisante entraîne, dans presque tous les cas, le refus de cette dernière d’accorder le prêt sollicité »8. Partant, la CJUE conclut que « l’établissement automatisé, par une société fournissant des informations commerciales, d’une valeur de probabilité fondée sur des données à caractère personnel relatives à une personne et concernant la capacité de celle-ci à honorer des engagements de paiement à l’avenir constitue une “décision individuelle automatisée”, au sens de cette disposition, lorsque dépend de manière déterminante de cette valeur de probabilité le fait qu’une tierce partie, à laquelle ladite valeur de probabilité est communiquée, établisse, exécute ou mette fin à une relation contractuelle avec cette personne »9.
3. Conséquences de la qualification et portée de l’arrêt. La qualification du credit scoring en « décision individuelle automatisée » au sens de l’article 22 du RGPD emporte l’application des règles prévues par cet article conférant une forte protection de la personne physique concernée. En effet, conformément au paragraphe 1 de l’article 22 du RGPD, la personne concernée a le « droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage ». La CJUE précise que cette disposition « édicte une interdiction de principe dont la méconnaissance ne nécessite pas d’être invoquée de manière individuelle par une telle personne »10. Toutefois, le paragraphe 2 de l’article 22 prévoit des exceptions à cette interdiction et prévoit l’autorisation des décisions fondées exclusivement sur un traitement automatisé dans trois cas alternatifs que le responsable de traitement peut invoquer lorsque la décision individuelle automatisée : (i) soit, est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable de traitement ; (ii) soit, est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable de traitement est soumis ; (iii) soit, est fondée sur le consentement explicite de la personne concernée. La CJUE a renvoyé à la juridiction allemande le soin de vérifier si l’une des exceptions est satisfaite, notamment celle relative l’autorisation par le droit allemand. Le raisonnement suivi par la CJUE, en interprétant de manière large la portée de la notion de « décision individuelle automatisée », induit une certaine confusion quant aux obligations de conformité au RGPD des responsables de traitement de données personnelles en présence d’une chaîne d’intervenants différents comme c’était le cas en l’espèce (un credit-scoring établi par une société pour le compte d’une banque à laquelle incombait la décision finale d’octroi ou non d’un prêt). Plus précisément, c’est pour éviter, selon la CJUE, un risque de contournement de l’article 22 du RGPD à laquelle une interprétation restrictive de la notion de « décision individuelle automatisée » aurait conduit au sujet de l’établissement du score par la société Schufa en le considérant comme un simple acte préparatoire en vue de la décision effective d’octroi de prêt incombant à la banque et donc non comme une décision individuelle automatisée. Au fond, la décision de la CJUE revient à considérer le credit scoring comme un élément emportant la décision et non comme une simple aide à la décision. Si cet arrêt aura clairement une incidence sur les credit scoring établis par des prestataires pour le compte de banques, l’arrêt reste ambigu sur la question de savoir si la décision elle-même par les banques d’octroi des prêts, en se fondant uniquement sur le credit scoring établi par des prestataires, peut également être qualifié de décision individuelle automatisée. n