Les entreprises doivent tenir compte des conséquences de l’arrêt de la CJUE
La CJUE a décidé par son arrêt du 7 décembre 2023 que le score Schufa ne doit pas être déterminant à lui seul pour la solvabilité (réf. C-634/21). Ce jugement n’a pas seulement un impact positif pour les consommateurs, mais aussi une signification considérable pour les entreprises, qui doivent vérifier si elles prennent leurs décisions de conclusion de contrat en conformité avec la législation sur la protection des données ou si, avec leurs pratiques actuelles, elles enfreignent peut-être les dispositions du Règlement Général sur la Protection des Données (RGPD).
Tout le monde a pratiquement déjà eu des contacts avec l’agence d’évaluation de crédit Schufa, souvent sans s’en rendre compte. En effet, avant qu’une banque accorde un prêt, que des contrats pour téléphone mobile soient conclus, que le fournisseur d’électricité soit changé, etc., des informations sur la solvabilité sont souvent obtenues auprès d’agences d’évaluation de crédit comme la Schufa. Un mauvais score peut entraîner le refus d’un contrat ou d’un crédit. La Cour de justice de l’Union européenne a maintenant décidé que cette pratique courante n’est pas autorisée et constitue également une violation du RGPD. Cela a aussi des conséquences pour les entreprises qui ont pris certaines décisions sur la base d’un tel score, selon le cabinet d’avocats MTR Legal Rechtsanwälte, qui conseille notamment en droit informatique.
Le score représente la solvabilité
Lors du dit scoring, la solvabilité d’un consommateur est vérifiée par une méthode mathématico-statistique. Plus le score calculé est mauvais, plus il devient difficile pour la personne concernée d’obtenir un crédit ou de conclure le contrat souhaité. Le tribunal administratif de Wiesbaden voulait savoir de la CJUE si cette procédure était autorisée et a soumis aux juges de Luxembourg des questions pour une décision préjudicielle. Il s’agissait notamment de clarifier si le scoring constituait une violation de l’article 22, paragraphe 1 du RGPD. Selon cette disposition, les décisions qui produisent un effet juridique à l’égard de la personne concernée ne doivent pas être basées exclusivement sur un traitement automatisé.
Dans le cas sous-jacent, une femme n’a pas reçu de crédit en raison de son mauvais score. Elle a alors exigé de la Schufa la suppression de son dossier et un accès aux données stockées la concernant. Cependant, l’agence de notation a seulement communiqué à la consommatrice le score obtenu et les principes généraux de calcul. Elle n’a pas fourni de détails sur les informations prises en compte pour le calcul.
Décision automatisée non autorisée
La CJUE a décidé que le scoring doit être considéré comme une décision automatisée non autorisée au sens du RGPD, si les banques ou d’autres entreprises rendent leur décision sur l’octroi d’un crédit ou la conclusion d’un contrat principalement dépendante du score. De telles décisions ne devraient pas être prises principalement sur la base d’un algorithme général et anonyme. Les circonstances individuelles doivent également être prises en compte.
Cette décision est d’abord positive pour les consommateurs. Les banques et autres entreprises qui ont principalement basé leurs décisions sur un score doivent maintenant vérifier comment procéder en conformité avec le RGPD.
MTR Legal Rechtsanwälte conseille en droit informatique et sur le RGPD.
N’hésitez pas à prendre contact avec nous !
