Arrêt de la Cour de justice de l’Union euro­péenne du 7 décembre 2023, Affaires jointes C‑26/​22 et C‑64/​22 — SCHUFA Holding (Libération de reli­quat de dette)

Arrêt de la Cour de justice de l’Union euro­péenne du 7 décembre 2023, Affaire C‑634/​21 — SCHUFA Holding (Scoring)

Introduction  

SCHUFA Holding AG, une société privée alle­mande, est active dans l’évaluation de la solva­bi­lité. Elle four­nit à ses clients des infor­ma­tions sur la fiabi­lité finan­cière des indi­vi­dus et des entre­prises. SCHUFA utilise des méthodes mathé­ma­tiques et statis­tiques avan­cées pour géné­rer un « score » qui prédit la proba­bi­lité d’un compor­te­ment futur d’une personne, comme le rembour­se­ment d’un prêt. Ce proces­sus, connu sous le nom de « scoring », repose sur la théo­rie selon laquelle on peut anti­ci­per les actions d’un indi­vidu en l’associant à un groupe ayant des carac­té­ris­tiques simi­laires et un histo­rique de compor­te­ment compa­rable. Cette méthode vise à évaluer les risques de manière plus précise et à aider les clients de SCHUFA à prendre des déci­sions éclai­rées en matière de crédit.  

Dans la première affaire, deux indi­vi­dus béné­fi­cient de déci­sions judi­ciaires de libé­ra­tion anti­ci­pée de reli­quat de dette. Selon le droit alle­mand, la publi­ca­tion offi­cielle sur Internet de ces déci­sions est suppri­mée six mois après leur prononcé. Mais ces rensei­gne­ments restent dispo­nibles auprès de SCHUFA. En appli­ca­tion du code de conduite élaboré par l’association des socié­tés alle­mandes de four­ni­ture de rensei­gne­ments commer­ciaux, SCHUFA conserve ces données et les commu­nique à ses clients pendant trois ans. Les deux indi­vi­dus saisissent le Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Commissaire à la protec­tion des données et à la liberté de l’information pour le Land de Hesse) (ci-après le « HBDI ») d’une plainte au sens de l’art. 77 RGPD afin qu’il ordonne à SCHUFA de suppri­mer ces données. Le HBDI refuse, affir­mant que cette pratique est licite.  

Dans la deuxième affaire, un parti­cu­lier se plaint de s’être vu refu­ser un prêt après avoir fait l’objet d’un score néga­tif établi par SCHUFA. Le parti­cu­lier demande à SCHUFA de lui commu­ni­quer des infor­ma­tions sur les données le concer­nant et d’effacer celles qui seraient erro­nées. Dans sa réponse, SCHUFA l’informe du niveau de son score et lui expose, dans les grandes lignes, les moda­li­tés de son calcul. Invoquant le secret des affaires, elle refuse néan­moins de divul­guer les diffé­rentes infor­ma­tions prises en compte ainsi que leur pondé­ra­tion. De plus, SCHUFA décline toute respon­sa­bi­lité par rapport à la déci­sion de refus de crédit. Son acti­vité se limite à four­nir des rensei­gne­ments commer­ciaux à ses clients, mais ce sont ces derniers qui prennent les déci­sions contrac­tuelles propre­ment dites. À son tour, le parti­cu­lier saisit le HBDI pour qu’il ordonne à SCHUFA de lui trans­mettre les infor­ma­tions deman­dées et d’effacer les données erro­nées le concer­nant. Mais, à nouveau, le HBDI refuse au motif qu’il ne serait pas établi que SCHUFA ne respec­te­rait pas le RGPD.  

Droit à un contrôle judi­ciaire complet vis-à-vis des déci­sions des auto­ri­tés de protec­tion des données  

Avant d’examiner les acti­vi­tés de SCHUFA sur le fond, la CJUE est amenée à trai­ter en lien avec la première affaire un problème de forme. Insatisfaits de la réponse du HBDI qu’ils jugent incom­plète, les deux indi­vi­dus décident de recou­rir auprès du Tribunal admi­nis­tra­tif de Wiesbaden. 

Invité à se pronon­cer, le HBDI conclut au rejet du recours. Selon lui, le droit d’introduire une récla­ma­tion, prévu à l’art. 77 par. 1 RGPD, est conçu seule­ment comme « un droit de péti­tion » (sic). Le contrôle juri­dic­tion­nel se limi­te­rait à véri­fier que l’autorité de contrôle a traité la récla­ma­tion et a informé son auteur de son état d’avancement et de son issue. En revanche, il n’appartiendrait pas au juge de contrô­ler l’exactitude sur le fond de la déci­sion de l’autorité de contrôle.  

La CJUE balaie cette argu­men­ta­tion. La procé­dure de récla­ma­tion ne s’apparente pas à une péti­tion. Elle est conçue comme un méca­nisme apte à sauve­gar­der de manière effi­cace les droits et les inté­rêts des indi­vi­dus. Eu égard aux pouvoirs éten­dus dont les auto­ri­tés de contrôle sont inves­ties, la CJUE insiste sur la néces­sité d’une protec­tion juri­dic­tion­nelle complète et effi­cace. Saisi d’un recours contre une déci­sion d’une auto­rité de protec­tion des données, le juge dispose d’un plein pouvoir de cogni­tion en fait et en droit. Si les déci­sions rendues par ces auto­ri­tés étaient unique­ment soumises à un contrôle juri­dic­tion­nel restreint, cela ne répon­drait pas à l’impératif d’une protec­tion effec­tive.  

Pareille inter­pré­ta­tion, pour­suit la CJUE, ne remet pas en cause la garan­tie d’indépendance des auto­ri­tés de protec­tion des données. Le RGPD exige qu’elles traitent toute récla­ma­tion avec dili­gence, mais il leur recon­naît une marge d’appréciation quant aux choix des moyens appro­priés et néces­saires. Même si le juge dispose d’un plein pouvoir de cogni­tion sur les déci­sions des auto­ri­tés de protec­tion des données, il ne peut pas pure­ment et simple­ment substi­tuer sa propre appré­cia­tion à la leur.   

Licéité de la four­ni­ture de rensei­gne­ments commer­ciaux et délai de conser­va­tion   

L’activité de SCHUFA consiste à réunir et à établir des rensei­gne­ments commer­ciaux servant à l’évaluation de la solva­bi­lité de personnes ou d’entreprises, afin de mettre ces infor­ma­tions à dispo­si­tion de ses clients. Pour SCHUFA, cette acti­vité protège les inté­rêts écono­miques des entre­prises qui souhaitent notam­ment conclure des contrats liés à un crédit et faci­lite la procé­dure d’octroi de crédit pour les consom­ma­teurs en leur faisant gagner du temps.  

Selon les termes de l’art. 5 par. 1 let. a RGPD les données à carac­tère person­nel doivent être trai­tées de manière licite, loyale et trans­pa­rente. En vertu de l’art. 6 par. 1 let. f RGPD, un trai­te­ment peut être licite lorsqu’il est néces­saire aux fins des inté­rêts légi­times pour­sui­vis par le respon­sable du trai­te­ment ou par un tiers, à moins que ne prévalent les inté­rêts ou les liber­tés et droits fonda­men­taux de la personne concer­née.  

La CJUE recon­naît que la four­ni­ture de rensei­gne­ments commer­ciaux, en plus de servir les inté­rêts écono­miques de SCHUFA, sert aussi les inté­rêts du secteur du crédit sur un plan socio-écono­mique. L’examen de la solva­bi­lité du consom­ma­teur est, en outre, expres­sé­ment exigé par plusieurs direc­tives euro­péennes (art. 8 direc­tive 2008/​48 concer­nant les contrats de crédits aux consom­ma­teurs ; art. 18 par. 1 direc­tive 2014/​17 sur les contrats de crédit aux consom­ma­teurs rela­tifs aux biens immo­bi­liers à usage rési­den­tiels). Ces textes visent non seule­ment à garan­tir le bon fonc­tion­ne­ment du système de crédit dans son ensemble, mais aussi à proté­ger le deman­deur de crédit.  

Néanmoins, la CJUE relève que la pour­suite de ces inté­rêts entre en contra­dic­tion avec le droit fonda­men­tal à la protec­tion des données des personnes concer­nées. Les trai­te­ments de données néces­saires à la four­ni­ture de rensei­gne­ments commer­ciaux doivent dès lors faire l’objet d’une pondé­ra­tion avec les inté­rêts des personnes concer­nées et ne pas excé­der ce qui est stric­te­ment néces­saire en vue d’atteindre le but fixé. 

En l’occurrence, il est repro­ché essen­tiel­le­ment deux choses à SCHUFA : i) le fait qu’elle collecte et conserve un grand nombre des données person­nelles prove­nant de registres publics dans ses propres bases de données et qu’elle le fasse non pas à l’occasion d’un cas concret, mais au cas où elle serait saisie d’une demande d’information et ii) le fait qu’elle conserve ces données plus long­temps que leur durée de publi­ca­tion offi­cielle.  

La CJUE ne répond pas à la ques­tion de savoir si c’est à bon droit que SCHUFA collecte des données prove­nant de sources offi­cielles et les conserve, en paral­lèle, dans une base de données privées en vue d’une éven­tuelle utili­sa­tion commer­ciale future. Sur ce point, elle renvoie l’affaire au Tribunal admi­nis­tra­tif de Wiesbaden pour qu’il véri­fie si un tel trai­te­ment est limité au strict néces­saire s’agissant de la réali­sa­tion de l’intérêt légi­ti­me­ment pour­suivi et s’il respecte notam­ment le prin­cipe de mini­mi­sa­tion des données. Si tel n’est pas le cas, précise la CJUE, le trai­te­ment en paral­lèle de ces données par SCHUFA ne pour­rait pas être consi­déré comme néces­saire pendant la période où ces données sont dispo­nibles auprès des registres offi­ciels. 

Concernant le délai de conser­va­tion des données, la CJUE note que, selon le droit alle­mand, la publi­ca­tion de données rela­tives à l’octroi d’une libé­ra­tion de reli­quat de dette est limi­tée à six mois. Or les socié­tés alle­mandes de four­ni­ture de rensei­gne­ments commer­ciaux se sont dotées d’un code de conduite prévoyant un délai de conser­va­tion de trois ans. Le trai­te­ment de ces données au-delà du délai de six mois repré­sente une ingé­rence grave dans les droits fonda­men­taux des personnes concer­nées. La libé­ra­tion de reli­quat de dette doit permettre à la personne de parti­ci­per à nouveau à la vie écono­mique. Selon la CJUE, cet objec­tif serait compro­mis si ces données conti­nuaient d’être trai­tées aux fins d’évaluer la solva­bi­lité d’une personne après leur délai de conser­va­tion offi­ciel.  La personne concer­née a le droit de deman­der que ses données soient effacées.

Peu importe que le délai de trois ans soit prévu dans un code de conduite au sens de l’art. 40 RGPD et qu’il ait été approuvé par l’autorité compé­tente. Les codes de conduite sont desti­nés à contri­buer à la bonne appli­ca­tion du RGPD en tenant compte des spéci­fi­ci­tés et des besoins spéci­fiques propres à certains secteurs. Les condi­tions de licéité d’un trai­te­ment de données fixées par un tel code ne sauraient cepen­dant diffé­rer des condi­tions de trai­te­ment usuelles prévues par le RGPD, en parti­cu­lier celles énon­cées à l’art. 6 RGPD. Un code de conduite qui abou­tit à une appré­cia­tion diffé­rente de celle qui est obte­nue en appli­ca­tion du RGPD ne saurait être pris en consi­dé­ra­tion dans la mise en balance effec­tuée en vertu de cette dispo­si­tion.  

Les conclu­sions que l’avocat géné­ral avait rendues dans cette affaire avaient fait l’objet d’une précé­dente contri­bu­tion critique (cf.  www​.swiss​pri​vacy​.law/​224).  

Activité de scoring  

La deuxième affaire trai­tée par la CJUE consiste à savoir si l’établissement d’une valeur de proba­bi­lité concer­nant la capa­cité d’une personne à hono­rer un prêt consti­tue (déjà) une déci­sion indi­vi­duelle auto­ma­ti­sée au sens de l’art. 22 RGPD.  

Selon cette dispo­si­tion, toute personne a le droit de ne pas faire l’objet d’une déci­sion fondée exclu­si­ve­ment sur un trai­te­ment auto­ma­tisé, y compris le profi­lage, produi­sant des effets juri­diques la concer­nant ou l’affectant de manière signi­fi­ca­tive de façon simi­liaire. L’applicabilité de cette norme est soumise à trois condi­tions : i) il doit exis­ter une « déci­sion » ; ii) cette déci­sion doit être « fondée exclu­si­ve­ment sur un trai­te­ment auto­ma­tisé, y compris le profi­lage » ; et iii) elle doit produire « des effets juri­diques [concer­nant l’intéressé] » ou l’affecter « de manière signi­fi­ca­tive de façon simi­laire ».  

Citant le consi­dé­rant 71 du RGPD et les conclu­sions de l’avocat géné­ral, la CJUE relève que la notion de déci­sion au sens du RGPD est large. Elle englobe plusieurs actes pouvant affec­ter une personne de multiples manières. Cette notion est suffi­sam­ment large pour inclure le résul­tat du calcul de la solva­bi­lité d’une personne sous la forme d’un score. Il ne fait pas non plus de doute que l’établissement de ce score corres­pond à un profi­lage au sens de l’art. 4 par. 4 RGPD. Quant aux effets d’un tel score, la CJUE note que son desti­na­taire est guidé par celui-ci « de manière déter­mi­nante ». En cas de demande de prêt, un score insuf­fi­sant entraîne, dans presque tous les cas, le refus du prêt. Cela affecte la personne de manière signi­fi­ca­tive de façon simi­laire à une déci­sion. 

Dans des circons­tances où trois acteurs sont impli­qués, pour­suit la CJUE, il exis­te­rait un risque de contour­ne­ment de l’art. 22 RGPD, si on devait rete­nir que le score repré­sente unique­ment un acte prépa­ra­toire à une déci­sion. L’établissement du score échap­pe­rait aux exigences spéci­fiques prévues à l’art. 22 RGPD, alors même qu’il résulte d’un trai­te­ment auto­ma­tisé de données et qu’il produit des effets simi­laire à une déci­sion. De plus, la personne serait privée de la possi­bi­lité d’exercer son droit d’accès aux infor­ma­tions énon­cées à l’art. 15 par. 1 let. h RGPD auprès de la société qui a établi le score, car cette dernière n’aurait pas rendu de déci­sion. Quant à l’auteur de la déci­sion propre­ment dite, il ne serait pas non plus capable de donner suite à une telle demande, car il ne dispose pas des infor­ma­tions pour ça, les infor­ma­tions en ques­tion étant proté­gées par le secret d’affaire de l’organisation ayant établi le score. 

Selon la CJUE, l’art. 22 par 1 RGPD fixe une inter­dic­tion de prin­cipe de soumettre une personne à une déci­sion indi­vi­duelle auto­ma­ti­sée. Pareille inter­dic­tion n’a pas besoin d’être invo­quée par la personne. Elle ne peut être levée qu’à condi­tion de satis­faire à un des motifs prévus à l’art. 22 par. 2 let. a à c RGPD.  Seul entre en ligne de compte ici l’existence d’une base légale dans le droit de l’État membre auquel le respon­sable du trai­te­ment est soumis. Dans ce cas, la loi doit, en plus, prévoir des mesures pour proté­ger les personnes concer­nées, comme l’obligation d’appliquer des procé­dures mathé­ma­tiques ou statis­tiques adéquates, de limi­ter les risques d’erreur, de sécu­ri­ser les données, de préve­nir les risques de discri­mi­na­tion, de permettre une inter­ven­tion humaine et de garan­tir à la personne la faculté d’exprimer son point de vue et de contes­ter la déci­sion.  

En l’espèce, le Tribunal admi­nis­tra­tif de Wiesbaden indique que seul l’art. 31 BDSG (loi fédé­rale alle­mande rela­tive à la protec­tion des données) pour­rait consti­tuer une base juri­dique natio­nale, au sens de l’art. 22 par. 2 let b RGPD. Il émet cepen­dant des doutes sur sa compa­ti­bi­lité avec le droit de l’Union. Comme dans l’affaire précé­dente, la CJUE ne répond toute­fois pas à la ques­tion, mais indique qu’il incombe au Tribunal admi­nis­tra­tif de Wiesbaden de le faire à la lumière de l’ensemble des exigences du droit de l’Union. Elle précise seule­ment qu’en cas d’incompatibilité, SCHUFA agirait non seule­ment sans base légale, mais mécon­naî­trait ipso iure l’interdiction édic­tée à l’art. 22 par. 1 RGPD. 

Appréciation  

La Suisse n’est pas tenue de s’aligner sur la juris­pru­dence de la CJUE. Les tribu­naux procèdent géné­ra­le­ment à une sorte de « cherry picking ». Dans certains cas, ils s’y réfèrent expres­sé­ment (ATF 136 II 508, consid. 6) ; dans d’autres cas, non, arguant que la Suisse n’est pas liée par la légis­la­tion et la juris­pru­dence euro­péennes dans ce domaine (ATF 144 I 126, consid. 8.2.2). Il est toujours diffi­cile de prédire les consé­quences pour les respon­sables du trai­te­ment en Suisse d’un arrêt de la CJUE.   

a) Droit à un contrôle complet des décisions des autorités de protection des données 

S’agissant du droit à un contrôle judi­ciaire effec­tif et complet vis-à-vis des déci­sions des auto­ri­tés de protec­tion des données, tant le Conseil fédé­ral que le PFPDT ont toujours soutenu une posi­tion analogue à celle du HBDI. Se fondant sur les art. 49 al. 4 LPD et 52  al. 2 LPD a contra­rio, ils estiment que l’auteur d’une dénon­cia­tion a unique­ment le droit d’être informé des suites données à sa dénon­cia­tion, mais qu’il n’a pas la qualité de partie à la procé­dure (cf. FF 2017 6565, p. 6705). Sauf à consi­dé­rer que la LPD serait une loi spéciale sur ce point par rapport aux autres lois prévoyant la possi­bi­lité d’une dénon­cia­tion ou d’une plainte, il est vrai toute­fois que cette posi­tion s’écarte de la juris­pru­dence du Tribunal fédé­ral dans ce domaine. En matière de dénon­cia­tion et de plainte, le Tribunal fédé­ral recon­naît que l’auteur d’un tel acte peut avoir la qualité de partie à deux condi­tions. Il doit se trou­ver dans un rapport étroit et spécial avec la situa­tion liti­gieuse qu’il dénonce et il doit démon­trer qu’il a un inté­rêt digne de protec­tion à ce que l’autorité saisie inter­vienne (arrêt du TF 2C_​98/​2023 du 14 juin 2023, consid. 6.4). Une inter­pré­ta­tion de la LPD dans le sens de cette juris­pru­dence serait certai­ne­ment plus conforme avec le droit euro­péen tel que l’a inter­prété la CJUE.  

b) Licéité de la fourniture de renseignements commerciaux  

Bien qu’elle relève que la four­ni­ture de rensei­gne­ments commer­ciaux est prévue par le droit de l’Union et qu’elle pour­suit plusieurs inté­rêts publics (l’économie en géné­ral, la protec­tion des consom­ma­teurs, le secteur d’activité du prêt), la CJUE indique que le trai­te­ment et la conser­va­tion de données sur la solva­bi­lité dans plusieurs registres distincts (publics ou privés) pour­rait être contraire aux droits fonda­men­taux des personnes concer­nées, car elle excé­de­rait ce qui est stric­te­ment néces­saire à la réali­sa­tion des inté­rêts pour­sui­vis. Elle suggère qu’il pour­rait être possible de procé­der à l’examen de la solva­bi­lité d’une personne sur demande, dans un cas concret, plutôt que toutes ces données soient dispo­nibles en perma­nence auprès des orga­ni­sa­tions concer­nées. La CJUE n’apporte toute­fois pas de réponse à cette ques­tion, mais renvoie l’affaire au Tribunal admi­nis­tra­tif de Wiesbaden.  

On peut se deman­der dans quelle mesure ce début d’interprétation tient réel­le­ment compte du droit de l’UE dans son ensemble. Tant la direc­tive 2008/​48 concer­nant les contrats de crédit aux consom­ma­teurs (art. 9) que la direc­tive 2014/​17 sur les contrats de crédit aux consom­ma­teurs rela­tifs aux biens immo­bi­liers à usage rési­den­tiel (art. 21) énoncent expres­sé­ment que les États membres veillent à ce que les orga­ni­sa­tions qui prêtent de l’argent disposent d’un accès aux bases de données utili­sées pour l’évaluation de la solva­bi­lité des consom­ma­teurs. L’art. 21 par. 2 direc­tive 2014/​17 ajoute que l’accès dont il est ques­tion s’applique tant aux bases de données qui sont gérées par des bureaux de crédit privés ou par des socié­tés d’information finan­cière sur le crédit qu’aux registres publics en matière de crédit. Or il semble aller de soi que puisqu’il est ques­tion d’un accès à des bases de données, ces bases de données doivent néces­sai­re­ment être précons­ti­tuées. Il ne semble­rait pas conforme avec les règles citées que chaque demande d’information occa­sionne le lance­ment d’une nouvelle enquête indi­vi­duelle visant à établir la solva­bi­lité de la personne au cas par cas.  

Cela ne veut pas dire qu’il ne faut pas s’interroger sur le contenu de ces bases de données. Dans l’arrêt Moneyhouse rendu en 2017, le TAF avait signalé que des données four­nies par Moneyhouse pour évaluer la solva­bi­lité n’étaient en réalité pas perti­nentes pour cette la fina­lité (consid. 5.2.5.1). Pareille consta­ta­tion rejoint celles de la CJUE selon lesquelles les orga­ni­sa­tions four­nis­sant des rensei­gne­ments commer­ciaux doivent appli­quer le prin­cipe de mini­mi­sa­tion des données.  

c) Délai de conservation  

Dans l’hypothèse où le trai­te­ment passé sous revue est licite, la CJUE se pose alors la ques­tion de la durée de conser­va­tion des données. Elle relève qu’il existe une diffé­rence entre les registres offi­ciels dont la durée de conser­va­tion est déter­mi­née par la loi et les registres privés servant à la four­ni­ture de rensei­gne­ments commer­ciaux. Conformément à un code de conduite, ces derniers appliquent une durée de conser­va­tion supé­rieure à celle prévue par la loi. De l’avis de la CJUE, cela expose les personnes concer­nées à un risque d’atteinte non justi­fiée à leurs droits. 

À juste titre, la CJUE relève que les codes de conduite adop­tés confor­mé­ment à l’art. 40 RGPD ne sont pas contrai­gnants pour les tribu­naux. Il n’empêche que la seule diffé­rence de durée de conser­va­tion des données entre deux registres distincts ne saurait à elle seule consti­tuer une viola­tion du RGPD. La durée de conser­va­tion des données dépend de la fina­lité du trai­te­ment. Or il est tout à fait possible que plusieurs trai­te­ments a priori semblables puissent pour­suivre des fina­li­tés diffé­rentes.   

En l’espèce, la publi­ca­tion dans un registre public de données rela­tives à la situa­tion finan­cière actuelle d’une personne n’est pas compa­rable et ne pour­suit pas les mêmes objec­tifs que leur conser­va­tion et leur utili­sa­tion restreinte dans un contexte spéci­fique, tel que l’octroi d’un prêt. Une personne reve­nue à meilleure fortune (p. ex.  suite à un héri­tage) qui s’empresse de resol­li­ci­ter un nouveau prêt ne présente logi­que­ment pas le même poten­tiel de risque qu’une personne qui n’a jamais connu de diffi­cul­tés finan­cières. Il peut se justi­fier dans un tel cas de procé­der à un examen et à un suivi plus atten­tif de la personne. Pour être valable, une durée de conser­va­tion diffé­rente doit néan­moins repo­ser sur des critères objec­ti­ve­ment véri­fiables et répondre à des règles fixées en consé­quence. De ce point de vue, il peut se justi­fier de procé­der à un examen plus appro­fondi des pratiques du secteur. 

d) Activités de scoring  

La CJUE quali­fie l’attribution d’un score concer­nant la capa­cité d’une personne à hono­rer un prêt en tant que déci­sion indi­vi­duelle auto­ma­ti­sée. Peu importe que ce score soit unique­ment attri­bué par l’organisation qui four­nit des rensei­gne­ments commer­ciaux et non par l’établissement finan­cier saisi d’une demande de crédit. Ce qui est déter­mi­nant, c’est l’influence prépon­dé­rante que ce score exerce sur la déci­sion d’octroyer ou non le crédit. Il s’ensuit que l’organisation qui four­nit le score est soumise aux condi­tions prévues à l’art. 22 RGPD concer­nant les déci­sions indi­vi­duelles auto­ma­ti­sées. Mais aussi que la personne qui fait l’objet d’un tel score est habi­li­tée à exer­cer ses droits direc­te­ment auprès de l’organisation qui l’a établi, notam­ment son droit d’en avoir connais­sance et d’obtenir des infor­ma­tions utiles concer­nant sa logique et ses consé­quences (art. 15 par. 1 let. h RGPD).  

Une telle conclu­sion nous semble diffi­ci­le­ment contes­table. Comme le relève la CJUE, toute inter­pré­ta­tion contraire condui­rait à une lacune. Elle prive­rait la personne de la possi­bi­lité de connaître l’existence d’un score la concer­nant et de deman­der des infor­ma­tions sur les critères et la logique de ce score, alors que celui-ci l’affecte de manière signi­fi­ca­tive. Le problème vient du fait que l’établissement qui reçoit le score ne sait pas comment il est calculé. Les orga­ni­sa­tions qui émettent le score ne veulent pas non plus parta­ger cette infor­ma­tion, car elles estiment que cela fait partie de leur secret d’affaires. Le seul moyen pour la personne d’exercer ses droits et d’obtenir des infor­ma­tions sur le score qui lui a été attri­bué est donc de s’adresser direc­te­ment à l’organisation qui l’a établi. Certes, le proces­sus n’est pas opti­mal sous l’angle pratique, car la personne se retrouve ballot­tée entre deux orga­ni­sa­tions. Mais la seule alter­na­tive consis­te­rait à contraindre l’organisation qui a établi le score à four­nir l’ensemble des infor­ma­tions rela­tives à celui-ci à chaque desti­na­taire. Or cela pose­rait effec­ti­ve­ment un problème de protec­tion de son secret d’affaires.  

Quant au contenu exact de l’information à four­nir, il reste encore assez flou à ce jour. Néanmoins, la CJUE sera amenée à se pencher plus en détails sur cette ques­tion dans l’affaire C‑203/​22. Le degré de préci­sion de la ques­tion préju­di­cielle laisse d’ores et déjà entre­voir un arrêt d’une impor­tance majeure avec des consé­quences qu’il semble diffi­cile d’évaluer à ce stade. 

e) Bref regard sur le droit suisse  

En Suisse, toutes les orga­ni­sa­tions qui four­nissent des rensei­gne­ments commer­ciaux ne sont pas soumises au même régime.  

Selon l’art. 23 de la loi fédé­rale sur le crédit à la consom­ma­tion (LCC), il existe un centre de rensei­gne­ments commun à tous les prêteurs agis­sant par métier et les cour­tiers en crédit parti­ci­pa­tifs. L’Association pour la gestion d’une centrale d’information de crédit (Verein zur Führung einer Zentralstelle für Kreditinformation – ZEK) est consi­dé­rée comme un organe fédé­ral au sens de l’art. 5 let. i LPD et seules les orga­ni­sa­tions auto­ri­sées ont accès aux données récol­tées. L’art. 3 de l’ordonnance rela­tive à la loi fédé­rale sur le crédit à la consom­ma­tion (OLCC) précise que seules peuvent être mises à dispo­si­tion les données person­nelles dont les prêteurs et les cour­tiers ont besoin pour exami­ner la capa­cité de contrac­ter un crédit. Une annexe fixe la liste de ces données avec les droits d’accès pour chaque caté­go­rie d’utilisateurs. Il n’y est pas fait mention d’un score. La durée de conser­va­tion des données n’est pas fixée direc­te­ment dans la loi ou l’ordonnance, mais dans un règle­ment adopté par la ZEK  et qui est approuvé par le Département fédé­ral de justice et police (art. 23 al. 2 LCC). Il fixe des durées de conser­va­tion diffé­rente pour chaque caté­go­rie de données. De prime abord, les arrêts rendus par la CJUE ne devraient pas avoir un impact très grand sur ce système.  

Plus déli­cate est la situa­tion des orga­ni­sa­tions privées actives dans la four­ni­ture de rensei­gne­ments commer­ciaux. Les acti­vi­tés de ces dernières font l’objet de quelques règles à l’art. 31 al. 2 let. c LPD. Mais elles n’ont pas la même densité que celles adop­tées en vertu de la LCC, ni même que celles adop­tées par le légis­la­teur alle­mand à l’art. 31 BDSG et au sujet desquelles le Tribunal admi­nis­tra­tif de Wiesbaden a déjà exprimé des doutes. Cela pour­rait néces­si­ter un examen plus atten­tif de ces règles.