Credit scoring
Le crédit par points ou credit scoring est un processus de rationalisation et de systématisation du traitement des informations qu’a pu recueillir le prêteur pour apprécier la solvabilité de l’emprunteur et le risque de crédit. Il consiste à attribuer à chaque élément d’information un nombre de points dont l’addition comparée à une grille préétabliepermet (ou non) l'octroi du crédit. La grille (et le nombre de points attribués à chaque réponse) est fondée sur l'expérience statistique des prêteurs qui révèle par exemple qu'une personne qui exerce une activité professionnelle auprès du même employeur depuis plusieurs années, présente un risque moins grand de défaillance qu'une autre qui change fréquemment d'emploi. L'octroi des points permet d'atteindre un score qui, s'il atteint le minimum requis, entraînera l'octroi automatique du crédit. Ce système permet de décentraliser la décision d’octroi vers les agences, d’accélérer la demande de crédit, de fournir une analyse statistique sur la demande et de réduire le coût de l’examen du dossier. Le crédit scoring est traditionnellement l’objet de deux types de critiques: il peut comporter des critères discriminatoireset fonderait la décision sur le seul traitement automatisé d’informations.
Le cadre légal Régime antérieur (loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel)L'article 12 bis de la loi du 8 décembre 1992 sur la protection de la vie privée interdisait de soumettre une personne à une décision produisant des effets juridiques à son égard ou l’affectant de manière significative prise sur le seul fondement d’un traitement automatisé de données. L’exposé des motifs précisait que «cette disposition doit éviter que, sans aucune intervention humaine, des décisions soient prises directement sur la base d’un résultat d’un traitement automatisé». Toujours selon l’exposé des motifs, «on respecte donc la disposition lorsque, entre l’obtention du résultat du traitement par ordinateur et la prise de décision, il y a au moins une intervention humaine minimale» (Exposé des motifs, p. 17).
Le régime d'interdiction vaut non seulement lorsqu’il n’y a aucune intervention humaine mais également lorsque la décision est transmise par l’intermédiaire d’une personne sur la seule base du résultat du traitement. L’intervention humaine devait donc avoir pour conséquence la prise en compte d’autres éléments que les résultats du traitement. L’alinéa 2 de l’article 12 bis prévoyait deux exceptions. La première visait les décisions prises dans le cadre d’un contrat. La technique du credit scoring dans le cadre d’un contrat de crédit bénéficie de cette exception sous condition :
L'interdiction prévue à l'alinéa 1er ne s'applique pas lorsque la décision est prise dans le cadre d'un contrat ou est fondée sur une disposition prévue par ou en vertu d'une loi, d'un décret ou d'une ordonnance. Ce contrat ou cette disposition doivent contenir des mesures appropriées, garantissant la sauvegarde des intérêts légitimes de l'intéressé. Il devra au moins être permis à celui-ci de faire valoir utilement son point de vue.
Le régime actuel (RGPD)Le législateur communautaire a adopté le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE usuellement dénommé le règlement général sur la protection des données (ci-après, RGPD), directement applicable dans les droits des Etats membres depuis le 25 mai 2018. La loi du 8 décembre 1992 a été abrogée par la loi du 30 juillet 2008 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.
L'article 12bis de la loi du 8 décembre 1992 est donc remplacé par l'article 22 du RGPD qui reprend l'interdiction de principe (la personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques la concernant) tout en élargissant le champ des exceptions. L'interdiction ne s'applique pas si le traitement automatisé estautorisé par une disposition du droit communautaire ou d'un droit national ou est :
- nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et le responsable du traitement;
- fondée sur le consentement explicite de la personne concernée.
Dans ces deux dernières hypothèses, le responsable du traitement doit mettre en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision (article 22.3, RGPD). .
La base juridique de la collecte des données à caractère personnel pour les crédits réglementés ressort des articles VII.69 et VII.122 du CDE. La licéité du traitement repose donc sur une base légale (article 5.1. c, du RGPD) et non sur le consentement de la personne concernée (5.1, a du RGPD) ou le caractère nécessaire des données pour la conclusion ou l'exécution du contrat (5.1, b du RGPD). Le RGPD ne prévoit pas d'exception à l'interdiction du traitement totalement automatisé.
Les limites imposées par le CDE au credit scoringLa technique du credit scoring constitue, dans les limites du RGPD, une aide à la décision. La méthode permet par exemple de notifier une décision de refus (avec l'information spécifique requise par le CDE). Conformément au RGPD, le consommateur peut, dans ce cas, demander un réexamen du dossier lorsque le traitement n’est basé que sur un traitement informatisé.
En cas d'octroi de crédit, l'obligation de vérifier la cohérence des informations communiquées par le consommateur, le devoir du prêteur de fournir une information adaptée au consommateur et le devoir de conseil imposent une intervention humaine et une analyse de la situation spécifique du consommateur. Il convient par ailleurs de distinguer l'analyse de risque de l'évaluation de la solvabilité qui impose au prêteur de considérer, non pas son propre risque, mais celui du consommateur (voir le commentaire sur l''évaluation de la solvabilité à l'article VII.77).
