Actualité
La Cnil modifie l’autorisation unique 005 encadrant le « credit scoring » |
Un établissement de crédit qui met en œuvre un traitement de données à caractère personnel doit effectuer des formalités préalables auprès de la Cnil au titre de l’article 22 de la loi n°78-17 du 6 janvier 1978 modifiée. En matière d’octroi de crédit, les établissements de crédit évaluent le risque de défaillance des emprunteurs à l’aide de modèles statistiques établis par catégories d’emprunteur et de crédit. Il s’agit de la technique dite du « credit scoring ». Cette technique implique le traitement automatisé de données à caractère personnel relatives à l’emprunteur, aux membres de son foyer et à ses garants. Le crédit sera ainsi octroyé à un demandeur lorsque le risque statistique de défaillance qui lui est attaché sera jugé satisfaisant.
Dans la mesure où le « credit scoring » est un traitement qui est susceptible « d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire », l’établissement de crédit ayant recours à cette technique devra, conformément à l’article 25 de la loi Informatique et libertés, déposer une demande d’autorisation auprès de la Cnil. Le 2 février 2006, la Cnil a publié une autorisation unique AU 005 relative aux traitements mis en œuvre par les établissements de crédit pour aider à l’évaluation et à la sélection des risques en matière d’octroi de crédit. Si un établissement de crédit remplit toutes les conditions posées par l’AU 005, il n’aura pas à déposer de demande d’autorisation, il suffira qu’il procède à un engagement de conformité à l’autorisation unique. S’il ne répond pas à toutes les conditions, il devra déposer une demande d’autorisation qui pourra exposer les seules caractéristiques non conformes à l’AU 005 de son traitement.
L’autorisation unique AU 2005 a été modifiée le 9 juillet 2008 afin notamment d’interdire la prise en en compte du sexe du demandeur de crédit, et ce afin de lutter contre la discrimination. Le modèle de score utilisé ne devra pas avoir pour conséquence d’exclure ou de disqualifier une demande sur le fondement d’une variable ne se rapportant pas à la situation économique et financière des personnes physiques. L’établissement de crédit devra également permettre au demandeur qui s’est vu refuser l’octroi d’un crédit d’avoir un entretien visant à réexaminer sa demande de manière non automatisée. Les personnes concernées par le traitement (demandeurs du crédit, garants, etc.) devront être informées des traitements qui seraient mis en œuvre à des fins autres que l’instruction et la gestion de la demande de crédit. Enfin, lorsqu’un contrat conclu avec un commerçant est conditionné à l’acceptation d’une demande de crédit, ce commerçant apporteur d’affaires ne pourra utiliser les données du demandeur de crédit que pour la finalisation du contrat et ne pourra pas conserver ces données après la mise en place effective du financement. Si le dossier de demande de crédit est accessible en ligne, l’établissement de crédit devra créer un compte informatique provisoire et sécurisé permettant le traitement de la demande de crédit.
Les établissements de crédit mettant en place de nouvelles méthodes de scoring devront donc veiller au respect de l’autorisation unique AU 005 pour pouvoir procéder à un engagement de conformité plutôt qu’à une demande d’autorisation.
Autorisation unique n°AU-005 modifiée
(Mise en ligne Octobre 2008)
Chloé Torres
Avocate, directeur du département Informatique et libertés
chloe-torres@lexing.law@lexing.law