Les entreprises doivent tenir compte des conséquences de l’arrêt de la CJUE
La CJUE a décidé, par un arrêt du 7 décembre 2023, que le score de la Schufa ne doit pas être le seul critère déterminant pour la solvabilité (affaire C-634/21). Cet arrêt a des répercussions non seulement satisfaisantes pour les consommateurs, mais aussi une importance considérable pour les entreprises, qui doivent vérifier si leurs décisions concernant la conclusion de contrats sont prises en conformité avec la législation sur la protection des données ou si leur pratique actuelle viole les dispositions du Règlement général sur la protection des données (RGPD).
En principe, tout le monde a déjà eu, souvent à leur insu, des interactions avec la société de crédit Schufa. Avant qu’une banque n’octroie un prêt, qu’un contrat de téléphonie mobile soit conclu, qu’un fournisseur d’électricité soit changé, etc., des informations sur la solvabilité sont souvent demandées auprès d’agences de notation de crédit comme Schufa. Un mauvais score peut entraîner le refus d’un contrat ou d’un crédit. La Cour de justice de l’UE a maintenant décidé que cette pratique courante jusqu’à présent n’est pas admissible et constitue également une violation du RGPD. Cela a également des répercussions sur les entreprises qui ont pris certaines décisions sur la base d’un tel score, selon le cabinet d’avocats MTR Legal Rechtsanwälte, qui conseille entre autres en droit de l’informatique.
Le score représente la solvabilité
Dans le cadre du scoring, la solvabilité d’un consommateur est vérifiée par une méthode mathématique et statistique. Plus le score calculé est mauvais, plus il sera difficile pour la personne concernée d’obtenir un crédit ou de conclure le contrat souhaité. Le tribunal administratif de Wiesbaden a voulu savoir de la CJUE si cette approche est admissible et a soumis aux juges de Luxembourg des questions pour une décision préalable. La CJUE devait notamment clarifier si le scoring constitue une violation de l’article 22 paragraphe 1 du RGPD. Cette disposition stipule que les décisions ayant une incidence juridique sur la personne concernée ne doivent pas reposer uniquement sur un traitement automatisé.
Dans l’affaire concernée, une femme n’avait pas obtenu de crédit en raison de son mauvais score. Elle a alors exigé de la Schufa la suppression de son inscription et l’accès aux données enregistrées. L’agence ne lui a communiqué que le score déterminé et les principes généraux de calcul. Aucune information plus détaillée sur les données intégrées dans le calcul n’a été fournie.
Décision automatisée inadmissible
La CJUE a décidé que le scoring était, selon le RGPD, généralement considéré comme une décision automatisée inadmissible dans des cas particuliers, si les banques ou d’autres entreprises font dépendre de manière prépondérante leur décision d’octroyer un crédit ou de conclure un contrat du score. De telles décisions ne doivent pas être prises principalement en fonction d’un algorithme général et anonyme. Les circonstances individuelles doivent également être prises en compte.
Cette décision est tout d’abord satisfaisante pour les consommateurs. Les banques et autres entreprises, qui ont principalement fondé leurs décisions sur un score, doivent maintenant examiner comment prendre leurs décisions en conformité avec le RGPD.
MTR Legal Rechtsanwälte conseille en droit de l’informatique et sur le RGPD.
N’hésitez pas à nous contacter !
