Lorsque le scoring s’analyse en une décision automatisée au sens du règlement général sur la protection des données (RGPD), les personnes concernées ont droit à des explications substantielles sur sa logique et les critères sur lesquels il est fondé. Dans son arrêt du 27 février 2025, la Cour de justice de l’Union européenne vient apporter des clarifications sur l’obligation d’information des responsables de traitement à l’égard des personnes concernées lorsqu’ils utilisent un système de scoring.
La pratique du scoring, c’est-à-dire l’évaluation algorithmique du comportement d’une personne physique sur la base de ses données personnelles, s’impose de plus en plus comme un outil central dans les relations clients et prospects pour de nombreuses entreprises.
Un algorithme combine et exploite les données sur les clients afin de prédire leur comportement via l’établissement d’un « score ». On fait ainsi souvent référence au « credit scoring », par lequel les établissements bancaires analysent la solvabilité des demandeurs de crédit, en s’intéressant à leurs données budgétaires comme leurs revenus et leurs charges, et mesurent leur fiabilité, c’est-à-dire leur capacité à respecter leurs engagements futurs.
Le scoring n’est toutefois pas limité au secteur bancaire et trouve à s’appliquer dans de plus en plus de domaines. Par exemple, les entreprises peuvent mettre en place des mécanismes de scoring pour déterminer le risque de leurs clients face à des accidents, des risques d’impayés, des opportunités commerciales avec ces derniers (on parle alors de lead scoring), etc.
Si la pratique du scoring répond à un besoin d’efficacité et offre des avantages indéniables pour les entreprises, elle requiert néanmoins des précautions particulières de la part des entreprises afin de respecter leurs obligations au regard du RGPD, notamment lorsque le scoring constitue une décision automatisée au sens de l’article 22 du RGPD.
Quelques mois après l’arrêt Schufa qui était venu préciser les...
