Les récents arrêts de la Cour de Justice de l’Union Européenne (CJUE) dans les affaires concernant SCHUFA Holding soulèvent la question notamment de l’interprétation de la notion de décision fondée exclusivement sur un traitement automatisé dont l’interdiction est prévue par l’article 22 du RGPD. En effet SCHUFA, une société allemande spécialisée dans la fourniture d’information sur la solvabilité des personnes, a été au centre de deux pratiques contestées : le « scoring » et la conservation prolongée d’informations.
🟠 Pratique du « Scoring » et RGPD
Le « scoring » est une méthode statistique qui sert à prédire le comportement futur d’une personne, tel que le remboursement d’un prêt, sur la base de son attribution à un groupe d’autres personnes possédant des caractéristiques comparables.
Dans le cas d’espèce le requérant avait fait l’objet d’informations négatives établies par SCHUFA et transmises à un établissement de crédit. Cet établissement avait refusé le crédit en se fondant sur la valeur du score que le requérant avait obtenu. Ce dernier a donc demandé à l’entreprise SCHUFA de lui donner accès aux données et d’effacer ces données qu’elle estimait être erronées. L’entreprise refusa de lui communiquer ces éléments en se contentant de lui transmettre uniquement les modalités de calcul du score et en invoquant le secret d’affaires.
C’est le tribunal administratif allemand qui fut saisi. Les juges administratifs ont interrogé la CJUE sur l’interprétation de l’article 22 du RGPD qui prévoit l’interdiction de toutes décisions fondées exclusivement sur un traitement de données automatisé.
🟠 L’interdiction des décisions fondées sur un traitement de données automatisé
La Cour de justice a constaté que les trois conditions cumulatives d’applicabilité des dispositions du RGPD qui régissent le droit de la personne de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé sont réunies. Elle rappelle à ce titre les conditions applicables au régime de protection.
- Il faut tout d’abord une décision (1). Sur la notion de décision la Cour précise qu’elle a une portée large et qu’elle est donc susceptible d’englober le résultat du calcul de la solvabilité d’une personne sous la forme d’une valeur de probabilité. Cette valeur de probabilité (qualifiée de décision) joue un rôle déterminant dans l’octroi d’un crédit. L’établissement de cette valeur doit recevoir la qualification de décision produisant à l’égard d’une personne concernée « des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».
- Cette décision doit être fondée exclusivement sur un traitement automatisé, y compris le profilage (au sens de l’article 4.4 du RGPD) (2). Il est constant selon la cour que l’activité de la société en question réponde à la définition de profilage prévue à l’article 4.4 du RGPD. En effet le scoring pour l’octroi d’un prêt bancaire est une « forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire (…) la situation économique (…) de cette personne physique » (article 4.4 du RGPD).
- Et produisant des effets juridiques (3). Alors même que le refus a été émis par l’établissement bancaire (et non par la société qui a établi le score) la Cour de justice considère de façon étonnante que l’élément sur lequel s’est fondé la banque est constitutif d’une décision, et ce même s’il a été produit par un tiers non décisionnaire. Afin de motiver sa décision elle se retranche notamment derrière l’argument selon lequel cette interprétation de la notion de décision est nécessaire afin de garantir une protection suffisante en matière de sécurité juridique.
🟠 Conservation des données et droit à l’effacement
Concernant la conservation d’informations, il s’agissait pour la Cour de déterminer si le délai de conservation des données de six mois applicables en principe aux registres publics s’appliquait à la société privée requérante. En effet cette société privée enregistre et conserve, dans ses propres bases de données, des informations provenant de registres publics, notamment celles relatives à des libérations de reliquat de dette, qu’elle fournit à ses partenaires contractuels.
Afin de répondre à cette problématique, la Cour procède à un contrôle des trois conditions de licéité relatives au traitement de données à caractère personnel :
- Le traitement doit poursuivre un intérêt légitime. A ce titre, la Cour considère qu’en l’espèce le traitement des données sert les intérêts économiques d’une société privée, et sert également à poursuivre les intérêts légitimes des partenaires contractuels qui sont tenues d’évaluer la solvabilité des personnes à qui elles entendent octroyer un crédit. La Cour va même plus loin en considérant que le traitement des informations sert les intérêts du secteur de crédit « sur un plan socio-économique ».
- Le traitement doit être nécessaire pour la réalisation de l’intérêt légitime. En d’autres termes le traitement doit être limité au strict nécessaire afin de réaliser l’intérêt légitime qui est, le cas échéant celui de vérifier la solvabilité des clients avant de signer un éventuel contrat de prêt bancaire.
- Les intérêts ou les libertés et les droits fondamentaux de la personne concernée ne doivent pas prévaloir sur les intérêts légitimes du responsable du traitement ou d’un tiers. La Cour précise que cette condition se confond avec la précédente, et opère une pondération des droits et intérêts opposés, afin d’apprécier si les intérêts légitimes poursuivis ne sont pas raisonnablement atteints par une durée de conservation plus courte des données. A ce titre la Cour considère que le traitement et la conservation des données par la société privée constituent une ingérence grave dans les droits fondamentaux de la personne concernée. En effet, de telles données servent comme un facteur négatif lors de l’évaluation de la solvabilité de cette dernière et constituent donc des informations sensibles sur la vie privée.
Par conséquent la Cour considère que plus la conservation de telles données est longue, plus les conséquences sur les intérêts et sur la vie privée de la personne concernée sont importantes et plus les exigences relatives à la licéité de la conservation de cette information sont élevées.
Par ailleurs, la Cour ajoute que la libération de reliquat de dette est censée permettre à la personne qui en bénéficie de participer de nouveau à la vie économique et revêt, généralement, une importance existentielle pour cette personne. Elle considère donc que la réalisation de cet objectif serait compromise si les informations qui y sont relatives pouvaient être conservées et utilisées après leur effacement du registre public d’insolvabilité.
Le responsable des traitements est donc dans l’obligation d’effacer les données personnelles et ce dernier doit procéder à l’effacement des données ayant fait l’objet d’un traitement illicite, en l’occurrence, le traitement des données effectué par la société conservée au-delà du délai de conservation de six mois dans le registre public en vertu de l’article 21§1 du RGPD.
🟠 Implications pour les juridictions nationales
La Cour de justice rappel le rôle crucial des juridictions nationales qui se doivent de contrôler les décisions des autorités administratives compétentes en matière de données personnelles. En effet les juridictions nationales doivent s’assurer que le délais de conservation des données prévues par la loi soit strictement adapté à la situation et qu’aucune une ingérence dans les droits fondamentaux de la personne concernée ne puisse avoir lieu. Il incombe donc à la juridiction de renvoi d’apprécier si la conservation parallèle de ces données par des sociétés privées peut être considérée comme étant limitée au strict nécessaire. Le délai prévu par la loi nationale n’est donc pas un délai fixe mais correspond uniquement à une durée de conservation maximum à ne pas dépasser.
🟠 Conclusion
Ces arrêts de la CJUE renforcent le cadre légal du RGPD, en mettant l’accent sur la protection des droits individuels et la limitation du traitement des données personnelles. En effet, la pratique du scoring est interdite par la Cour de justice de l’Union européen, ce qui implique qu’aucune décision ne peut être prise sur la base d’un traitement de données automatisé. Il est également rappelé que les données ne peuvent faire l’objet d’une conservation trop longue sous peine de porter atteinte aux intérêts et droits fondamentaux de la personne concernée. Pour finir la Cour de justice responsabilise les juridictions nationales sur la question en leur rappelant qu’il est important de procéder à un contrôle exigeant des décisions administratives qui iraient à l’encontre de cette orientation.
Pour en savoir plus / sources :
- https://www.actualitesdudroit.fr/browse/affaires/immateriel/43137/des-pratiques-de-traitement-des-donnees-de-societes-fournissant-des-informations-commerciales-scoring-interdites-par-le-rgpd-pour-la-cjue
- https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-12/cp230186fr.pdf