Le Règlement européen sur la protection des données («  RGPD  »), qui encadre le traitement de données personnelles au sein de l’Union européenne, pose le cadre juridique du profilage et des décisions entièrement automatisées.

L’article 4 du RGPD définit ainsi le profilage comme tout traitement automatisé de données à caractère personnel en vue d’analyser et de prédire le comportement d’une personne à titre individuel, comme par exemple déterminer ses performances au travail, sa situation financière, sa santé, ses préférences, ses habitudes de vie et bien d’autres éléments encore.  Avant de prendre une décision au sujet d’un individu, un organisme peut se baser sur le profilage et, grâce aux progrès de l’intelligence artificielle, ces décisions peuvent être entièrement automatisées.

Introduction

Une décision entièrement automatisée, quant à elle, n’est pas définie par le RGPD. Toutefois, l’autorité de protection des données française, la Commission Nationale de l’Informatique et des Libertés («  CNIL  »), la décrit comme une décision prise à l’égard d’une personne, par le biais d’algorithmes appliqués à ses données à caractère personnel, sans qu’aucun être humain n’intervienne dans le processus. Présent dans de nombreux secteurs d’activité, le traitement de données, dont des données à caractère personnel, sans intervention humaine est devenu possible grâce à l’intelligence artificielle. Néanmoins, outre le fait que celle-ci ne bénéficie pas d’une règlementation propre et les débats que cela alimente sur la scène internationale, les effets juridiques d’une décision automatisée peuvent au surplus entraîner des conséquences importantes sur le quotidien des personnes concernées, comme lorsqu’une la décision automatisée entrave l’accès à un service (par exemple, le rejet automatique d’un crédit) ou ferme l’accès à un emploi à l’égard des personnes concernées. Pour éviter le risque que les personnes concernées subissent les décisions prises par les machines seules, compromettant leurs droits et libertés, l’article 22 du RGPD prévoit des règles strictes concernant la prise de décision entièrement automatisée qu’il convient de mettre en lumière.

Le lien indéniable existant entre ces deux notions a été mise au gout du jour par un litige survenu en Allemagne, qui a porté à l’attention de l’avocat général de la Cour de justice de l’UE («  CJUE  ») la question relative à la place qu’accorde le RGPD au « credit scoring », méthode de scoring qui consiste en un établissement automatisé d’une valeur de probabilité à partir de données, y compris à caractère personnel, d’un individu concernant sa capacité à honorer un crédit.

I. Qu’est-ce que le "credit scoring" ?

Le « credit scoring » est un outil qui permet à un établissement de crédit de garantir la solvabilité du demandeur de prêt. Comme toute méthode de scoring client, il permet d’établir un classement au sein d’une clientèle en fonction de critères et d’objectifs variables selon le secteur d’activité de l’entreprise.
Dans la mesure où un établissement de crédit cherchera toujours à limiter les risques de non-remboursement des crédits qu’il octroie, le « credit scoring » lui permet de limiter ces risques en se basant sur un certain nombre de critères, dont la fiabilité et la solvabilité de l’emprunteur. Ainsi, il sera demandé au candidat au crédit la fourniture de données telles que l’âge, l’état civil, le type d’habitat, la situation du logement, la profession, son revenu, son ancienneté et sa catégorie professionnelle, et le nombre d’enfants qu’il a à charge afin que l’établissement de crédit ait un aperçu global de sa situation, de son comportement et du respect de ses engagements. Cette évaluation sous forme de note est appelée score.

Pour qu’il soit opérationnel, le scoring doit nécessairement être accompagné par une méthode de segmentation, qui consiste à diviser une base clientèle en plusieurs catégories présentant des caractéristiques homogènes. De cette manière, une entreprise verra sa connaissance client améliorée et sera plus à même d’identifier les besoins et les attentes de chaque cible marketing.
La CNIL indique que les personnes concernées peuvent demander à connaitre leur score, ainsi que les notes maximales et minimales pour obtenir le crédit. Néanmoins, elles ne pourront pas nécessairement obtenir les motifs de refus de leur demande de crédit, dans la mesure où aucun texte impose aux établissements de crédit de communiquer la raison d’un tel refus, sous réserve qu’il ne soit pas basé sur une discrimination interdite par la loi.

II. Le cadre posé par l’article 22 du RGPD.

L’article 22 du RGPD attribue à un individu le droit de s’opposer à une décision fondée sur un traitement automatisé entraine «  des effets juridiques  » à son égard ou «  l’affectant de manière significative  » de façon similaire, et a le droit d’être informée de toute décision entièrement automatisée prise à son encontre, de connaître la logique et les critères employés pour prendre cette décision, de la contester, et de demander l’intervention d’un être humain pour qu’il puisse la réexaminer.
Ainsi, les personnes concernées peuvent s’opposer à toute décision issue d’un traitement automatisé, y compris le profilage, lorsqu’elle impacte ses droits et libertés ou lorsqu’elle a pour conséquence d’influencer son environnement, son comportement, ses choix ou d’aboutir à une forme de discrimination.

L’article 22 du RGPD souligne le lien existant entre les notions de profilage et de décision entièrement automatisée et permet de dire qu’il appartient au juge de considérer le profilage comme une décision entièrement automatisée tombant sous le régime de cet article, ou d’y être soumis s’il est le résultat d’une décision entièrement automatisé ou qu’il affecte significativement la personne concernée.

Il est à noter que, dans des Guidelines du 3 octobre 2017, le G29 pose une interdiction de principe des prises de décisions entièrement automatisées.
Néanmoins le régime d’interdiction de l’article 22 pourra être levé dans certains cas, étant repris par le G29. En effet, l’article 22 ne pourra pas être invoqué dans le cas où la décision entièrement automatisée est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable de traitement, autorisée par le droit de l’Union ou par le droit de l’Etat membre auquel le responsable de traitement est soumis, ou fondée sur le consentement explicite de la personne concernée, mais pas pour la poursuite d’un intérêt légitime. Le profilage, quant à lui, lorsqu’il n’est pas considéré comme une décision entièrement automatisée, est un traitement soumis au régime général, notamment en ce qui concerne les bases de licéité, dont l’intérêt légitime.

L’exception de l’article 22 du RGPD est de ce fait soumise à la libre appréciation des faits par le juge.

III. Le cas "SCHUFA".

A. Faits du litige.

SCHUFA Holding AG (« SCHUFA ») est une société dont le rôle est de fournir à ses clients des informations concernant la solvabilité de tiers. Dans le cadre de son activité, la société a fourni à un établissement de crédit un score concernant une personne physique, qui a servi de base au refus du crédit demandé par cette dernière. La personne concernée a demandé à SCHUFA d’effacer l’enregistrement le concernant et de lui donner l’accès aux données correspondantes, mais la société ne lui a communiqué « que le score pertinent et, de manière générale, les principes qui sous-tendent la méthode de calcul du score, sans l’informer des données spécifiques prises en compte dans ce calcul et de la pertinence qui leur est attribuée dans ce contexte, en faisant valoir que la méthode de calcul relève du secret des affaires ». La personne concernée a estimé que le refus opposé par SCHUFA à sa demande était contraire au droit en vigueur en matière de protection des données.
Saisi de ce litige, le tribunal administratif de Wiesbaden a demandé à la CJUE de se prononcer sur les restrictions que le RGPD impose à l’activité économique des agences de renseignement dans le secteur financier, en particulier dans la gestion des données, ainsi que les effets liés à la reconnaissance du secret des affaires.

B. Les conclusions de l’avocat général.

L’avocat général a estimé que la personne concernée par le « credit scoring » était légitime à faire usage de son droit à ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé, y compris le profilage. En effet, il a considéré que la procédure visée consistait en un profilage, que la décision a généré des effets juridiques ou des effets significatifs sur la personne concernée, et qu’elle peut être considérée comme se fondant uniquement sur un traitement automatisé. Il a ajouté que toute personne concernée dispose du droit d’obtenir des informations relatives au traitement des données la concernant, comme le type de données concernées par le traitement, la concordance entre la raison pour laquelle elles ont été recueillies et la finalité du traitement, l’existence d’une prise de décision entièrement automatisée, y compris le profilage, ainsi que la confirmation que les données concernées ne font pas l’objet d’un tel traitement. Il a soutenu qu’il est de la responsabilité du responsable du traitement d’apporter aux personnes concernées par le traitement de données des informations générales et utiles relatives aux facteurs pris en considération pour le processus décisionnel et sur leur importance respective à un niveau agrégé afin qu’elles soient à même de faire valoir leur droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé, y compris le profilage.

Ainsi, selon les termes de l’avocat général, le « credit scoring » , est une «  décision fondée uniquement sur une décision automatisée, y compris un profilage, de nature à générer des effets juridiques ou des effets similaires concernant cet individu lorsque cette valeur, établie au moyen de données à caractère personnel relatives à ladite personne, est communiquée par le responsable du traitement à un tiers responsable du traitement et que, conformément à une pratique constante, celui-ci fonde sa décision relative à l’établissement, à l’exécution ou à la cessation d’une relation contractuelle avec cette même personne de manière déterminante sur ladite valeur  ».

IV. Est-ce que le « crédit scoring » est un profilage ou une décision automatisée ?

A. Liens entre credit scoring et le profilage.

Au vu des conclusions de l’avocat général, il apparaît clairement que le credit scoring constitue une forme de traitement automatisé destinée à évaluer certains aspects personnels d’un individu via l’utilisation de données à caractère personnel, notamment pour analyser ou prédire son comportement, et par conséquent est un processus de profilage.
Le calcul de la probabilité de défaillance effectué dans le cadre du credit scoring est très certainement une déduction sur le comportement probable de l’emprunteur, qui tire son fondement sur des données antérieures à l’éventuelle défaillance.
Il arrive cependant que la situation présente davantage de nuances. À titre d’exemple, lorsqu’un site web présente une annonce ou un contenu personnalisé basé sur la segmentation, il déduit nécessairement (à tort ou à raison) l’intérêt du visiteur pour ce contenu, mais la nature et l’étendue de cette déduction sont différentes de celles du credit scoring. De nombreuses questions relatives à l’identicité du traitement de toutes ces hypothèses par le RGPD restent ouvertes, toujours en quête de réponses claires.
Bien que le credit scoring présente un intérêt certain pour les établissements de crédit qui peuvent y voir une forme d’assurance concernant le remboursement du prêt, la fiabilité de ce mécanisme est à nuancer. En effet, il convient de rappeler que le credit scoring se base sur une analyse des données standard et, de ce fait, ne saurait refléter la situation réelle d’un candidat au crédit ou appréhender nombre de facteurs influents sur le remboursement d’un crédit. Ainsi, par exemple, une demande de prêt pourrait être refusée à un candidat sur la base de ses données standard, alors même qu’il bénéficie de sources de revenus complémentaires et est en mesure de rembourser le prêt demandé. Dans la même logique, une entreprise qui se baserait uniquement sur les analyses standard rendues par le credit scoring pourrait rater des opportunités de ventes et d’obtenir de nouveaux clients.

B. Liens entre credit scoring et les décisions automatisées.

Dans le contexte du credit scoring, si le processus, supposé entièrement automatisé, se borne à appliquer des critères de solvabilité préalablement définis et ne laissant aucune marge d’appréciation, il est possible de s’interroger la prise de décision finale  : s’agit-il de la banque elle-même, lorsqu’elle a établi ses grilles d’évaluation, ou bien de l’automate au moment de l’application de ces grilles  ? En d’autres termes, l’automatisation du processus est-elle suffisante pour parler de «  décision  » au sens de l’article 22 du RGPD  ?

Comme énoncé plus haut, l’exception de l’article 22 est soumise à la libre appréciation du juge, cependant les liens entre profilage, décision entièrement automatisée et scoring restent flous, que ce soit pour les entreprises ou les particuliers. L’affaire récente portée devant la CJUE par les cours allemandes sera peut-être l’occasion pour les institutions de l’UE ou les autorités de protection des données nationales d’apporté plus de clarté sur ce sujet.

A cet égard, la CNIL rappelle que les DEA doivent faire l’objet de la plus grande attention car elles sont susceptibles d’entraîner des risques importants d’atteintes aux droits et libertés des personnes, notamment du fait de l’utilisation d’algorithmes et de systèmes dotés de l’intelligence artificielle pour prendre les décisions à la place de l’humain, qui n’a donc plus la main sur le processus décisionnel. Lorsque l’automatisation se limite à un processus entièrement décidé en amont par un être humain, ce risque se dissipe, mais dans une telle hypothèse, la question de savoir si les conditions de l’article 22 s’appliquent toujours.

Conclusion

Pour conclure, le « credit scoring » s’apparente au profilage, mais les doutes demeurent quant à sa correspondance avec la décision entièrement automatisée. Les situations devront être analysées au cas par cas par les juges, tout en examinant les conditions énoncées par l’article 22 du RGPD.
Les entreprises qui ont recours aux décisions entièrement automatisées devront avoir à l’esprit les conditions de légalité d’un tel traitement, réaliser une analyse d’impact et se conformer au RGPD pour garantir les droits des personnes concernées, à savoir le droit d’être informé, le droit d’accès, le droit de retirer son consentement, et le droit de ne pas faire l’objet d’une décision entièrement automatisée.

Charlotte Gerrish, Avocate et Nathalie Pouderoux, Paralegal Paris - Londres - Stockholm