Le jeudi 16 mars dernier, l’avocat général Pikamäe de la Cour de justice de l’Union européenne (CJUE) a rendu ses conclusions dans l’affaire C‑634/21. L’arrêt qui devrait être rendu dans les prochains mois est très attendu car il donnera à la Cour l’occasion de se prononcer, pour la première fois, sur le célèbre article 22 du Règlement général sur la protection des données (RGPD) interdisant les décisions fondées « exclusivement sur un traitement automatisé ». Si les conclusions des avocats généraux ne sont pas contraignantes, elles exercent cependant une influence certaine sur la teneur des arrêts de la plus haute juridiction de l’Union.
Sur quoi donc porte cette affaire vers laquelle tant de regards se tournent ? Sur le plan procédural, la CJUE est saisie d’une question préjudicielle posée par une juridiction allemande (le tribunal administratif de Wiesbaden, ou Verwaltungsgericht Wiesbaden) dans le cadre d’un litige qui fait intervenir trois acteurs : un ou une consommatrice allemande dont on sait peu de choses (la requérante), une société privée allemande – la SCHUFA – spécialisée dans l’information de crédit (sur laquelle nous revenons dans un instant), et le Commissaire à la protection des données du Land de Hesse dont la décision rendue en première instance avait été contestée par la requérante1.
Sur le fond, le litige trouve sa source dans un score de crédit produit par la SCHUFA en conséquence duquel la requérante n’a pas obtenu le prêt qu’elle avait sollicité auprès d’un établissement de crédit. Après avoir essuyé un refus, la requérante avait demandé à la SCHUFA de lui communiquer le score qu’elle lui avait attribué, et qu’elle lui précise les informations détenues à son sujet ainsi que la manière dont celles-ci avaient été interprétées. En réponse, la SCHUFA l’informa que son score était de 85,96 % et livra quelques informations générales sur la manière dont les scores de crédit sont produits. refusa cependant d’en dire davantage, se prévalant du secret des affaires. C’est dans ce contexte que la requérante attaqua la SCHUFA en se fondant sur diverses dispositions du RGPD.
Avant d’examiner les arguments juridiques avancés et la position de l’avocat général Pikamäe, revenons brièvement sur deux éléments qui se trouvent au cœur de l’affaire : les agences et les scores de crédit.
Brève histoire des scores de crédit
Le crédit constitue un cas typique de relation affectée d’une asymétrie d’information, selon la terminologie des économistes : les prêteurs ne peuvent avoir la certitude que l’emprunteur a la volonté et la capacité de rembourser le prêt qui lui serait accordé, et l’emprunteur a intérêt à ne pas transmettre au prêteur toutes les informations qui permettraient d’apprécier pleinement ce risque. L’histoire montre que les prêteurs ont toujours cherché à collecter des informations sur les emprunteurs afin de jauger leur fiabilité.
Dans le courant du 19e siècle, des sociétés se spécialisent dans la collecte et la distribution d’informations sur les emprunteurs. A la manière des agences de notation qui commencent à la même époque à évaluer la qualité de titres financiers, des compagnies privées établissent de vastes registres qui contiennent une multitude d’informations relatives à la crédibilité – dans les deux sens du terme – des consommateurs. Le principe commercial est simple : tout établissement qui entend bénéficier des précieuses informations détenues par une agence de crédit doit s’engager à transmettre en retour toutes les informations qu’il possède sur ses propres clients (en particulier la manière dont ils remboursent leur crédit). Ces acteurs prennent une importance prépondérante aux états-Unis qui voient progressivement émerger, au gré de rachats et de fusions, trois grandes sociétés devenus aujourd’hui d’immenses multinationales : Experian, TransUnion et Equifax. Mais le reste du monde n’est pas en reste, et certainement pas l’Allemagne. En effet, en 1927, une agence privée d’évaluation du crédit, la SCHUFA, est créée alors que le marché de la consommation à crédit se nationalise. Dans les années 1970, celle-ci peut se targuer de détenir près de 22 millions de dossiers, soit environ 80 % de la population active.
Mais sous quelle forme l’information de crédit est-elle enregistrée ? A l’origine, il s’agit de commentaires épars qui sont rassemblés dans des fiches sans répondre à un formalisme uniforme. Peu à peu, les renseignements sont recueillis par le biais de formulaires standardisés et de véritables bases de données sont constituées. C’est dans ce contexte qu’apparaissent, à partir des années 1950, les premiers scores de crédit : des credit managers rassemblent les données des clients d’un établissement de crédit et les divisent en deux groupes, les bons et les mauvais payeurs. Ils mobilisent ensuite des méthodes statistiques qui visent à identifier les caractéristiques qui permettent de différencier ces deux groupes. On constatera par exemple que la variable « posséder un téléphone » revêt un bon pouvoir discriminant puisque peu de mauvais clients disposent d’un téléphone, contrairement aux bons clients. On peut alors pondérer ces variables et obtenir un formulaire qui s’apparente à une sorte de questionnaire à choix multiple (comme le montre l’image ci-dessous). En fonction des informations fournies par un ou une candidate à un crédit, un score est produit par addition de l’ensemble des points qui se rapportent à ses caractéristiques. L’établissement de prêt établit alors un seuil (on parle de cut-off score) en-dessous duquel la personne sera considérée comme risquée. Si automatisation rime souvent avec numérisation, il faut bien voir qu’elles ne vont pas nécessairement de pair : le score est ici produit automatiquement dans le sens où l’enregistrement des caractéristiques permet de connaître mécaniquement la cotation sans laisser place au jugement humain.
Exemple de score de crédit daté de 1966
Peu à peu, les agences de crédit se sont donc mises à commercialiser, non plus seulement des rapports de crédit, mais également des scores supposés résumer en un chiffre la réputation et les capacités financières de tout individu. La SCHUFA propose pour sa part des services de scoring depuis 1995. Les scores qu’elle produit jouent aujourd’hui un rôle central dans l’économie allemande puisqu’ils sont non seulement pris en compte par les banques, mais également par d’autres acteurs comme les opérateurs télécom ou les fournisseurs d’énergie. L’échelle de notation adoptée va de 0 à 100, les personnes dont la qualité de crédit est jugé excellente recevant une note supérieure à 97,21. Les catégories de données et la logique qui sous-tend l’interprétation de ces données ne sont pas publiques, mais le site internet de l’agence indique que ces catégories comprennent notamment les types de crédits engagés, le nombre d’achats réalisés en ligne, les défauts de paiement ou encore la fréquence de déménagements. Des informations telles que la nationalité, le revenu, le lieu de résidence, l’âge ou le sexe ne sont par contre pas pris en compte. On perçoit l’importance qu’est susceptible de revêtir un tel score puisqu’une mauvaise évaluation est de nature à empêcher un·e citoyen·e d’accéder à plusieurs services essentiels. Aux États-Unis, le score de crédit – en particulier le fameux score FICO – joue un rôle absolument central puisqu’outre les banques, les bailleurs et employeurs le prennent presque systématiquement en compte lors de la conclusion de nouveaux contrats.
Les scores de crédit et l’article 22 du RGPD
Dans l’affaire actuellement pendante devant la Cour, la requérante fonde ses arguments sur différentes dispositions du RGPD. Nous nous contenterons d’analyser l’article 22 dont elle allègue qu’il a été violé. Cet article – qui a déjà fait couler beaucoup d’encre parmi les spécialistes – dispose en son paragraphe 1er que :
« la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire »2.
S’il semble être d’une actualité brûlante à l’heure où l’intelligence artificielle fait presque quotidiennement la une de la presse, l’article 22 a en fait une histoire ancienne puisqu’il trouve son origine dans l’article 2, alinéa 2 de la loi française du 6 janvier 1978 (dit « informatique et libertés ») qui prévoyait qu’« [a]ucune décision administrative ou privée impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement automatisé d’informations donnant une définition du profil ou de la personnalité de l’intéressé ». à l’époque déjà, des vastes systèmes informatisés (en particulier publics) suscitent des craintes au sein de l’opinion publique et conduisent le législateur français à instaurer une telle interdiction de principe des décisions automatisées. La directive européenne 95/46/CE, adoptée en 1995 et aujourd’hui remplacé par le RGPD contenait elle-même, en son article 15, semblable interdiction. Toutefois, c’est la première fois que la Cour reçoit l’opportunité d’en préciser le contenu.
La question principale que soulève l’espèce a trait à l’applicabilité de la disposition. Qu’un score de crédit constitue un profilage au sens donné par le RGPD (article 4, 4)) ne semble pas poser de difficultés. Qu’un refus de crédit constitue un « effet juridique » ou un effet « affectant de manière significative » le sujet de droit non plus. En revanche, plus délicate est la question de savoir si la simple délivrance d’un score peut se voir qualifier de « décision ». à première vue, on voit mal comment ce qui s’apparente à une simple opinion pourrait recevoir une telle interprétation. On l’aura deviné, c’est précisément la position de la SCHUFA qui souligne à l’envi que les établissements de prêt sont libres d’utiliser les scores de crédit comme bon leur semble. Et pourtant, les juristes avisés ne savent que trop bien que la frontière qui sépare le factuel du normatif est souvent plus fragile qu’on aime à le faire croire. Une évaluation se situe typiquement sur la lisière qui sépare ces deux registres.
Précisément, c’est en raison du constat que les banques allemandes tendent à suivre massivement les évaluations chiffrées de la SCHUFA que la juridiction allemande a jugé opportun d’interroger la Cour de justice. Lors même que c’est aux établissements de prêt que revient la décision finale, quid s’il apparaît que, dans la large majorité des cas, ils suivent docilement l’opinion de l’agence de crédit ? Ne faut-il pas considérer que de fait le score fait office de décision ? Cette thèse – qui est défendue par la tribunal allemand dans sa demande – a convaincu l’avocat général qui la reprend largement à son compte. Il affirme ainsi au paragraphe 42 :
«[L]l’aspect qui me semble jouer un rôle crucial est celui lié à la question de savoir si la procédure de prise de décision est conçue de telle manière que le scoring effectué par la société d’information commerciale prédétermine la décision de l’établissement financier d’accorder ou de refuser le crédit. Si le scoring devait être effectué sans aucune intervention humaine qui puisse, le cas échéant, vérifier son résultat et la justesse de la décision à prendre à l’égard du demandeur de crédit, il paraît logique de considérer qu’il constitue lui-même la « décision » visée à l’article 22, paragraphe 1, du RGPD. »
Il ajoute ensuite que même dans l’hypothèse où il y a intervention humaine, il faudrait considérer que le score constitue une décision si cette participation n’est pas « en mesure d’influencer le lien de causalité entre le traitement automatisé et la décision finale » de telle sorte qu’elle n’exerce « aucune marge de manœuvre quant à l’application du score à une demande de crédit » (point 44, c’est l’avocat général qui souligne). En ce sens, le caractère décisionnel ou non d’un score est, d’après l’avocat général, fonction des circonstances de chaque cas particulier, selon la façon dont le score est mobilisé par l’institution qui se l’est procuré. Faut-il en conclure qu’un même score de la SCHUFA pourrait se voir dans un cas qualifié de décision en raison du fait qu’il est le seul critère utilisé par telle banque, et dans un autre cas considéré comme ne constituant pas une décision au motif qu’il ne constitue qu’un élément parmi d’autres pris en compte par telle autre banque ? Une telle interprétation semble impraticable puisque le contenu des obligations incombant à la SCHUFA serait fonction de l’usage subséquent des scores par les organismes à qui elle les vend. Or, comme le souligne Francesca Palmiotto Ettorre, certaines de ces obligations, en particulier le droit d’information et d’accès, doivent être exécutées avant que la décision automatique ne soit prise.
L’avocat général Pikamäe semble cependant osciller entre deux façons de vérifier l’applicabilité de l’article 22 aux scores de crédit : d’un côté, un examen au cas par cas, c’est-à-dire de la façon dont chaque établissement de crédit utilise les scores d’une agence de crédit ; de l’autre, un examen à un niveau macro, en l’occurrence de la façon dont les établissements de prêt allemands dans leur ensemble utilisent en général les scores de la SCHUFA. En ce sens, s’il estime qu’il appartient à la juridiction de renvoi de statuer sur cette question de fait, il souligne néanmoins qu’au vu des éléments apportés par le tribunal allemand, il apparaît que les scores de l’agence de crédit tendent dans la quasi-totalité des cas à prédéterminer l’octroi ou le refus de crédit.
La juridiction allemande ajoute un second argument – auquel se rallie également l’avocat général – qui consiste à souligner l’absence de protection du droit des personnes concernées qu’engendreraient la non-applicabilité de l’article 22, paragraphe 1. En effet, l’article 15 du RGPD qui concerne le « droit d’accès » dispose, au paragraphe 1, sous h), que les personnes qui font l’objet d’une décision automatique au sens de l’article 22 ont droit à recevoir « des informations utiles concernant la logique sous-jacente [à la décision automatisée], ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ».
Or, si l’on devait considérer que le score n’est pas une décision en soi, les personnes évaluées ne pourraient pas demander aux agences de crédit de connaître la logique sous-jacente puisque l’article 22 ne trouverait pas à s’appliquer. Si ces personnes se tournaient vers l’établissement de prêt, ce dernier ne serait pas en mesure de leur répondre puisqu’il n’aurait pas lui-même établi le score. En conséquence, pour que le droit conféré par l’article 15 au paragraphe 1, sous h), ait une portée effective, il faut conclure, selon l’avocat général, que le score de crédit constitue par lui-même une décision au sens de l’article 22 prise par l’agence de crédit3.
Quelles seraient les implications d’un arrêt qui conclurait à l’applicabilité de l’article 22 ?
Si la Cour devait conclure qu’un score de crédit peut être qualifié de décision au sens de l’article 22, cela risquerait à n’en pas douter de chambouler sérieusement le modèle économique des agences de crédit. Le deuxième paragraphe de cette disposition comporte certes des exceptions qui permettraient peut-être aux agences de crédit de continuer à commercialiser des scores5. Mais cela impliquerait en tout état de cause que les agences de crédit seraient tenues d’informer les personnes évaluées de l’existence d’une prise de décision automatisée et de fournir des éléments utiles concernant la logique sous-jacente, l’importance et les conséquences prévues de ce traitement pour la personne concernée. Cela impliquerait en outre de veiller à ce que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée soient garanties.
Dans des pays comme la Belgique ou la France, la situation se présente différemment dans la mesure où il n’y a pas d’agence comparable à la SCHUFA. Il existe certes des registres publics où les crédits à la consommation accordés par des établissements de prêt sont répertoriés5, mais les catégories de données collectées sont cependant limitées et aucun score n’est établi. Les banques évaluent donc en interne et sur la base de leurs propres données la solvabilité de leurs clients. Celles-ci verraient d’ailleurs d’un mauvais œil l’arrivée d’une agence de crédit privée en raison de l’avantage concurrentiel que cette absence leur procure : les banques étrangères peuvent difficilement pénétrer un marché national sans posséder de données relatives aux profils des emprunteurs puisque ce sont ces données qui permettent d’évaluer le risque de crédit.
Pour autant, si cette affaire porte sur le domaine spécifique du crédit, sa portée est bien plus large puisqu’elle est susceptible d’affecter l’ensemble des pratiques de profilage et de scoring auxquelles se livrent divers acteurs et dont l’importance, si prégnante aujourd’hui, ne risque pas de décroître. Pour cette raison, la future décision de la Cour de justice est attendue impatiemment et devra être étudiée avec attention.
1 Notons que ce même tribunal a posé deux autres questions préjudicielles dans le cadre des affaires C-26/22 et C‑64/22 qui ont été elles aussi été posées dans le cadre d’un litige auquel la SCHUFA, notamment sur la licéité de la conservation de certaines catégories de données à caractère personnel.
2 Nous laissons de côté la question de savoir s’il s’agit d’une interdiction de principe ou d’un droit qui doit être activé par le sujet de droit.
3 Sur ce point, l’avocat général ajoute que la notion de « logique sous-jacente » (qui a été beaucoup discutée en doctrine) doit être interprété dans le sens « qu’elle comporte des explications suffisamment détaillées sur la méthode utilisée pour le calcul du score et les raisons qui ont conduit à un résultat déterminé » (point 58).
4 Une de ces exceptions concerne le cas où une autorisation explicite est prévue par le droit de l’Union ou le droit d’un Etat membre (moyennant respect de certaines garanties). Ce point est particulièrement important et fait l’objet de la deuxième question préjudicielle posée par la juridiction allemande puisque la loi fédérale allemande de la protection des données à caractère personnel comporte une disposition qui autorise, sous certaines conditions, « l’utilisation d’une valeur de probabilité concernant un comportement spécifique, à l’avenir, d’une personne physique afin de décider de l’établissement, de l’exécution ou de la cessation d’une relation contractuelle avec cette personne (“scoring”) ». Or, la question se pose de la conformité de cette disposition avec le RGPD qui prévoit un régime d’harmonisation maximale. Mais nous ne traitons pas cette question dans ce billet.
5 Les prêteurs sont tenus de consulter ces registres avant d’accorder des crédits et doivent s’assurer que les emprunteurs ne dépassent pas un certain seuil d’endettement.
Crédits : Photo de Towfiqu barbhuiya sur Unsplash