Par un arrêt rendu dans l’affaire C-634/21, la Cour de justice de l’Union européenne retient que l’établissement automatisé d’une valeur de probabilité relative à la capacité de remboursement d’un crédit fondé sur les données personnelles constitue une décision individuelle automatisée selon l’article 22 du règlement général sur la protection des données.
L’affaire C-634/21 oppose un citoyen au Land de Hesse (Etat fédéré d’Allemagne) représenté dans le litige par son délégué à la protection des données et à la liberté d’information (aussi appelé HBDI).
La société Schufa Holding e.a opère dans le milieu bancaire et fournit aux banques des informations concernant la solvabilité des personnes tierces. Schufa avait établi un « score » correspondant à la solvabilité du requérant qui s’était ensuite vu refuser un crédit par sa banque, refus fondé sur l’étude du score émis par Schufa. Le requérant a par la suite demandé à Schufa d’effacer l’enregistrement des données liées à son dossier et de lui donner accès auxdites données.
La société n’a communiqué que le score et la méthode de calcul sans donner d’informations sur les données spécifiques prises en compte dans ce calcul ni sur leur analyse. La société a opposé le secret des affaires afin de ne pas communiquer les informations demandées.
Le client a ensuite introduit une réclamation devant le HBDI, autorité de contrôle en la matière. Cette dernière a rejeté la réclamation au motif que l’activité de la société Schufa est conforme à la législation allemande régissant les modalités d’utilisation d’une valeur de probabilité relative à la solvabilité. Le requérant a introduit un recours contre la décision du HBDI devant le tribunal administratif de Wiesbaden qui a ensuite interrogé la Cour de justice de l’Union européenne sur la l’interprétation des dispositions du règlement général sur la protection des données (règlement UE 2016/679) dans cette affaire.
Le paragraphe 1 de l’article 22 du règlement dispose que « la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ». La question est donc de savoir si l’établissement automatisé par une société fournissant des informations commerciales sur la solvabilité d’une personne, constitue bien une décision individuelle automatisée relevant du RGPD.
La Cour a constaté que les conditions cumulatives à l’application du RPGD sont bien réunies au cas précis : la procédure en cause constitue bien un profilage, la décision produit des effets juridiques à l’égard de la personne concernée et la décision peut être considérée comme fondée exclusivement sur un traitement automatisé.
Ainsi, la qualification retenue de « décision individuelle automatisée » renforce la protection de la personne concernée en lui conférant un droit d’opposition.
Le responsable du traitement peut toutefois y opposer les exceptions définies par l’article 22 paragraphe 2 du RGPD. La décision :
i) est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement ;
ii) est autorisée par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ; ou
iii) est fondée sur le consentement explicite de la personne concernée.