Note : Les arrêts ne sont pas liés aux affaires noyb
Arrêts de principe de la CJUE sur le "classement des crédits" et le réexamen des accords de partenariat public-privé
La Cour de justice de l'Union européenne (CJUE) a rendu aujourd'hui deux arrêts de principe dans le cadre d'une procédure engagée contre l'agence allemande de référence en matière de crédit (SCHUFA), qui jouissait auparavant d'une grande liberté en Allemagne. La CJUE a confirmé que les juridictions nationales disposent de pouvoirs étendus pour contrôler les autorités chargées de la protection des données, renforçant ainsi les droits des personnes concernées. En outre, la Cour a jugé que l'attribution de scores de crédit calculés automatiquement n'est pas conforme au GDPR.
- Déclaration de l'avocat qui a représenté l'un des plaignants contre la SCHUFA
- Communiqué de presse de la CJUE
Qu'est-ce que le classement de crédit ? Les entreprises telles que la SCHUFA sont des agences de référence en matière de crédit. Elles collectent de grandes quantités de données à caractère personnel afin d'attribuer aux personnes un score de solvabilité présumé. Ce score est utilisé par les banques et les entreprises pour déterminer si une personne devrait obtenir un prêt ou un contrat de téléphonie mobile.
Contexte : Effacement des données et évaluation automatisée de la solvabilité. Le point de départ de la procédure devant la CJUE, qui vient d'être décidée, était deux plaintes déposées contre la SCHUFA auprès de l'autorité de protection des données de la Hesse (HBDI). Dans un cas (affaires jointes C-26/22 et C-64/22), la personne concernée avait demandé la suppression de données relatives à l'insolvabilité de la base de données de la SCHUFA après qu'elles aient déjà été supprimées du registre public des insolvabilités, où elles avaient été prélevées par la SCHUFA et stockées ultérieurement. L'IDHB a non seulement rejeté l'affaire, mais a même soutenu que la juridiction compétente ne pouvait pas réexaminer sa décision sur le fond. La seconde affaire (C-634/21) portait sur la question de savoir si la SCHUFA était autorisée à délivrer automatiquement des scores de crédit ou si cela constituait une "décision automatisée dans des cas individuels", ce qui est largement interdit par le GDPR.
L'arrêt dans les affaires jointes C-26/22 et C-64/22(Lien)
Contrôle judiciaire complet des autorités chargées de la protection des données. L'arrêt de la CJUE a considérablement accru la pression sur les autorités chargées de la protection des données (DPA). Dans certains États membres de l'UE, dont l'Allemagne, elles ont jusqu'à présent considéré qu'une plainte relative au GDPR déposée par les personnes concernées n'était qu'une sorte de "pétition". Dans la pratique, cela signifie que malgré un budget annuel de 100 millions d'euros, les autorités allemandes de protection des données ont rejeté de nombreuses plaintes avec des justifications bizarres et que les violations du GDPR n'ont pas été poursuivies. Dans des pays comme l'Irlande, plus de 99 % des plaintes n'ont pas été traitées et en France, tout droit des personnes concernées à participer à la procédure concernant leurs propres droits a été refusé. Certaines autorités de protection des données, comme l'autorité de la Hesse dans le cas présent, ont également fait valoir qu'il était interdit aux tribunaux d'examiner leurs décisions en détail.
Davantage de droits pour les personnes concernées. La CJUE a mis fin à cette approche. Elle a jugé que l'article 77 du GDPR est conçu comme un mécanisme permettant de sauvegarder efficacement les droits et les intérêts des personnes concernées. En outre, la Cour a statué que l'article 78 du GDPR permet aux juridictions nationales de procéder à un examen complet des décisions des autorités de protection des données. Il s'agit notamment de déterminer si les autorités ont agi dans les limites de leur pouvoir discrétionnaire.
Raphael Rohrmoser, avocat du plaignant dans cette affaire : "La Cour européenne de justice a considérablement renforcé les droits des personnes concernées. Le stockage de données provenant de registres publics n'est plus autorisé que dans le registre lui-même"
L'arrêt dans l'affaire C-634/21(Lien)
Le secteur des classements de crédit en péril. Mais ce n'est pas tout. Avec son arrêt dans l'affaire C-634/21, la CJUE ébranle l'ensemble du modèle commercial de la SCHUFA (et d'autres agences de crédit) : le calcul entièrement automatisé de la solvabilité supposée à l'aide d'algorithmes opaques relève de la protection spéciale de l'article 22 du RGPD. Cette disposition interdit l'utilisation de données à caractère personnel pour des décisions entièrement automatisées qui ont un "effet défavorable significatif" sur les personnes concernées. En d'autres termes, les décisions d'une certaine portée ne devraient pas être prises uniquement par des algorithmes.
Marco Blocher : "Le fait d'attribuer aux citoyens un score de crédit incompréhensible et de leur refuser automatiquement des contrats appartient au passé grâce à l'arrêt de la CJUE"
Interdiction de l'évaluation automatisée du crédit. Le secteur des agences de crédit a jusqu'à présent soutenu que même un score de crédit terrible, qui empêcherait certainement une personne de conclure un grand nombre de contrats (tels que des prêts, des assurances, des contrats de location ou de fourniture d'électricité), n'est pas une "décision négative". Selon eux, la décision finale est prise par l'entreprise qui utilise le score. La CJUE adopte un point de vue différent et vient de décider que l'attribution de la solvabilité peut déjà constituer une décision au sens de l'article 22 du RGPD. Cela signifie que l'évaluation automatisée de la solvabilité sous sa forme actuelle est interdite aux agences de crédit dans l'ensemble de l'UE. Si la SCHUFA souhaite à l'avenir calculer la solvabilité des personnes, elle devra obtenir leur consentement explicite. En outre, les personnes concernées doivent avoir la possibilité de contester un score de crédit.
Raphael Rohrmoser, avocat du plaignant dans cette affaire : "Il ne faut pas sous-estimer le fait que les personnes concernées peuvent désormais régulièrement intenter une action en justice contre des décisions officielles. Cela renforcera certainement l'application des droits conférés par le GDPR"