Un service de profilage consistant à évaluer la solvabilité d’un individu au moyen d’un calcul fondé sur des profils similaires combiné à différentes informations est-il contraire au RGPD ?
CJUE., 7 décembre 2023, aff. n° C-634-/21
Une personne physique s’était vue refuser l’octroi d’un prêt par un tiers, qui s’était fondé sur un avis rendu par une société spécialisée dans l’établissement de « scores » consistant à évaluer la probabilité d’un individu de rembourser une somme d’argent en utilisant certaines méthodes mathématiques et statistiques recourant aux informations concernant la personne par rapport à un groupe d’autres personnes possédant des caractéristiques comparables.
La juridiction allemande qui était saisie de la contestation de la personne physique d’une telle décision a sollicité l’avis de la Cour de justice de l’Union européenne sur l’interprétation de l’article 22 du RGPD qui prévoit expressément que, au rang des droits d’une personne concernée par un traitement de données personnelles, celle-ci « a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire ». Parmi les exemples fournis par les considérants du texte, une telle décision consiste notamment dans le refus d’accorder un prêt d’argent.
Le problème posé à la Cour différait de l’interprétation littérale du texte puisque, dans cette affaire, c’est un tiers qui fournissait un avis sur la situation de la personne concernée pour le compte de la personne prenant une décision la concernant.
La CJUE considère que les trois conditions posées par le texte sont ici réunies :
Dès lors, parce que cette mesure de profilage rentrait dans le périmètre de l’article 22, sa licéité était subordonnée aux conditions fixées par le texte : soit l’existence d’un contrat conclu entre le responsable de traitement et la personne concernée, soit une disposition nationale ou européenne l’autorisant ou encore le consentement explicite de la personne concernée. De plus, la CJUE rappelle que, dans un tel cas, la personne concernée doit disposer de la garantie d’obtenir une intervention humaine quant à la décision automatisée dont elle fait l’objet, d’exprimer son point de vue et de contester le sens de cette décision.
Une personne physique s’était vue refuser l’octroi d’un prêt par un tiers, qui s’était fondé sur un avis rendu par une société spécialisée dans l’établissement de « scores » consistant à évaluer la probabilité d’un individu de rembourser une somme d’argent en utilisant certaines méthodes mathématiques et statistiques recourant aux informations concernant la personne par rapport à un groupe d’autres personnes possédant des caractéristiques comparables.
La juridiction allemande qui était saisie de la contestation de la personne physique d’une telle décision a sollicité l’avis de la Cour de justice de l’Union européenne sur l’interprétation de l’article 22 du RGPD qui prévoit expressément que, au rang des droits d’une personne concernée par un traitement de données personnelles, celle-ci « a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire ». Parmi les exemples fournis par les considérants du texte, une telle décision consiste notamment dans le refus d’accorder un prêt d’argent.
Le problème posé à la Cour différait de l’interprétation littérale du texte puisque, dans cette affaire, c’est un tiers qui fournissait un avis sur la situation de la personne concernée pour le compte de la personne prenant une décision la concernant.
La CJUE considère que les trois conditions posées par le texte sont ici réunies :
- d’une part, la notion de « décision » affectant la personne concernée constitue une notion large englobant toute une série d’actes qui peuvent soit produire des effets juridiques, soit l’affecter de « manière significative » ;
- d’autre part, la décision affectant la personne concernée doit être fondée « exclusivement sur un traitement automatisé », ce qui est le cas en l’espèce puis les informations collectées par la société sont traitées au moyen d’opérations mathématiques et statistiques automatiques ;
- enfin, la dernière condition étant l’effet de la décision (soit des effets juridiques, soit un impact significatif), il ressort des faits de l’espèce que le refus de prêt a été directement motivé par le rapport remis par la société, de même que toute valeur de probabilité insuffisante entraîne le refus d’octroi d’un prêt dans les autres hypothèses.
Dès lors, parce que cette mesure de profilage rentrait dans le périmètre de l’article 22, sa licéité était subordonnée aux conditions fixées par le texte : soit l’existence d’un contrat conclu entre le responsable de traitement et la personne concernée, soit une disposition nationale ou européenne l’autorisant ou encore le consentement explicite de la personne concernée. De plus, la CJUE rappelle que, dans un tel cas, la personne concernée doit disposer de la garantie d’obtenir une intervention humaine quant à la décision automatisée dont elle fait l’objet, d’exprimer son point de vue et de contester le sens de cette décision.
