Toute personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques à l'égard de l'intéressé ou l'affectant de manière significative (RGPD art. 22, 1).
La Cour de justice de l’Union européenne vient de juger que constitue une décision individuelle automatisée au sens de ces dispositions l’établissement automatisé par une agence de crédit allemande d’un score, correspondant à un pronostic au sujet du comportement futur d’un acteur économique, et spécialement de sa capacité de rembourser un prêt, ce pronostic étant porté à la connaissance de partenaires contractuels, notamment des banques, dès lors que l’octroi ou le refus d'un crédit dépend de manière déterminante de cette valeur de probabilité.
En effet, estime la CJUE, l’élaboration d’un score repose généralement sur l’utilisation d’algorithmes appliquant certains critères déterminés aux propres données de la personne concernée, et intervient donc sans intervention humaine. En outre, la personne subit les effets juridiques de ce score puisqu’un score défavorable à l’emprunteur peut conduire la banque à rejeter sa demande de prêt, comme c'était le cas en l'espèce.
A noter :
L’application de l’article 22 du RGPD suppose la réunion de trois conditions cumulatives :
l’existence d’une décision ;
fondée exclusivement sur un traitement automatisé, y compris le profilage ; et
produisant des effets juridiques sur la personne concernée ou l’affectant de manière significative de façon similaire.
En l’espèce, l’agence de crédit allemande faisait valoir qu’elle se limitait à fournir un pronostic à ses partenaires et que l’octroi ou le refus du crédit était décidé par un tiers, de sorte que, selon elle, le score fourni ne pouvait pas être assimilé à une décision et ne produisait pas les effets juridiques requis par l’article 22.
La CJUE écarte cet argument. Elle relève en effet qu’une interprétation restrictive de cette disposition, selon laquelle l’établissement du score devrait être considéré comme un acte préparatoire, seul l’acte adopté par le tiers pouvant être qualifié de décision, conduirait à un risque de contournement de l’article 22 et à une lacune dans la protection juridique des personnes concernées.
Elle relève également, s’agissant de la deuxième condition, que l’activité de l’agence de crédit répond à la définition du « profilage » (point 47), qui, selon l’article 4 du RGPD, est un traitement de données personnelles permettant d’évaluer certains « aspects » d’une personnalité et d’établir un pronostic sur divers « éléments » : par exemple, sa situation économique ou ses préférences. La notion ne se confond pas avec celle de décision automatisée. Mais il est fréquent que l’élaboration de ce type de décision soit un instrument de profilage et de scoring.
Enfin, au sujet de la troisième condition, la Cour retient que les pronostics fournis par la société allemande guident de manière déterminante la décision prise par le tiers (point 48), un mauvais score conduisant presque inévitablement à un refus, ce qui affecte la personne de manière significative.
Retrouvez toute l'actualité en matière de droit des sociétés, droit commercial et de la concurrence dans Navis Droit des Affaires !
Vous êtes abonné ? Accédez à votre Navis Droit des affaires à distance
Pas encore abonné ? Nous vous offrons un accès au fonds documentaire Navis Droit des Affaires pendant 10 jours.