La thématique du commentaire d'arrêt est la gestion des données personnelles numériques des individus, en l'occurrence français et plus largement de l'Union européenne.

En France, l'autorité de régulation de la communication audiovisuelle et du numérique (ARCOM) veille et protège aux droits des individus en matière de modification de leurs données personnelles, d'opposition à leur publication numérique, d'évaluation de leur niveau d'accessibilité ou encore de modification des données. Cette mission de l'Arcom est convergente avec le règlement général de protection des données (RGPD).

L'arrêt met aux prises des particuliers ayant lancé des procédures à l'encontre de Schufa, la société allemande de renseignements financiers et commerciaux.


Dans les deux cas litigieux, la source problématique était l'incompréhension entre Schufa, ses normes de gestion des données personnelles et les particuliers aspirant à faire respecter leurs droits. Outre les normes, les pratiques de la société allemande sont également ciblées par les particuliers puisque le recours à l'intelligence artificielle pour traiter ces données personnelles est avéré.  Les particuliers revendiquent à la fois le droit d'exiger la transparence sur les données que la société allemande communique à sa clientèle et le droit à connaître le modèle de traitement de leurs informations personnelles. Quant à la société Schufa, elle argue le fait que ses pratiques sont conformes aux conventions éditées par l'association des entreprises du secteur (dont elle est membre). Les juridictions locales ont en ce sens appuyées la position de Schufa, ce qui a incité les particuliers à saisir la CJUE. Cette dernière leur donnera gain de cause au nom de la primauté du RGPD sur les autres prérogatives dont la société peut juridiquement et légitimement se prévaloir (par exemple, l'importance de l'étude poussée d'un dossier de crédit à la consolation). Une telle décision constitue un précédent qui pourrait bouleverser les secteurs des établissements crédits et des sociétés de renseignements commerciaux 


 

Introduction 

La conformité au RGPD est directement impliquée dans la décision de la Cour de Justice de l'Union européenne en date du 7 décembre 2023 dit affaire Schufa (classée affaire C-634/21). Comment se manifeste cette implication dans la prise de décision des juges ?

 

Présentation de l'arrêt 

Cet arrêt porte sur la nature de de l'activité l'entreprise allemande Schufa  (de type société anonyme SA) : celle-ci collecte le maximum de données possible sur les individus et entreprises afin de fournir des services financiers à leurs clients créanciers. En fait, ces derniers sont dans le besoin d'obtention du maximum de données sur les individus et entreprises, spécifiquement des débiteurs potentiels (besoin de financement). Il s'agit donc d'étudier leur solvabilité afin de permettre à la clientèle de créanciers de décider de la pertinence de leur octroyer ou non un crédit. Cette étude de solvabilité est condensée en un score (notation) attribué à chaque personne physique ou entreprise grâce à un système algorithmique sophistiqué. Toute la problématique autour de cette activité demeure sa conformité ou non avec le règlement général européen de protection des données. C'est cette conformité que la cour de justice de l'Union européenne s'attèle à faire respecter de manière stricte à tous les opérateurs économiques effectifs ou potentiels opérant dans l'Union européenne. Au nom de cette conformité stricte à la RGPD, la CJUE a officiellement mis un terme aux activités de collecte quantique des données à des fins de notation de solvabilité des entreprises et des individus. Par mettre un terme, on entend la proclamation juridique de l'illégalité d'une telle activité. Les motifs invoqués sont le recours de Schufa à des systèmes dotés d'intelligence artificielle (automatisation) pour évaluer et décider de la fiabilité financière des individus (cela pose des problèmes éthiques), 



Explication de l'arrêt 

La décision de cour de justice de l'Union européenne fait suite à des procédures intentées par deux particuliers à l'encontre de la société allemande pour son refus de supprimer les données relatives à des dettes passées. La suppression de ces données fait suite à une décision de justice sur un effacement d'un reste  d'endettement.

Si les particuliers ne sont plus officiellement publiquement enregistrés en tant que débiteurs défaillants sur internet, l'entreprise Schufa aspirait à conserver ces informations durant trois années au cours desquelles elles sont mises à disposition de sa clientèle. SCHUFA justifie sa position en référant aux dispositions du code conduite élaboré de l’association des entreprises allemandes des services de renseignements financiers et commerciaux sur les personnes physiques ou entités.

Face aux échecs successifs amiable, puis judiciaire à l'échelle régional (équivalent allemand d'une région) de faire valoir leur droit à l’effacement des informations personnelles au nom de l'article 77 du RGPD, les particuliers ont dû saisir la cour de justice européenne pour faire valoir leurs droits ; la CJUE ayant tranché en leur faveur pour plusieurs raisons : le rejet de la position du tribunal régional, ce dernier avait rejeté la requête des deux particuliers au motif que leur démarche s'apparente à une pétition et qu'il n'est pas compétent à traiter une telle demande. Il reviendrait donc à l'autorité de contrôle agréée de traiter leurs demandes et la CJUE de s'assurer de l'évolution concrète du traitement en bonne et due forme.

La CJUE a également rejeté cet argument tout en concédant la légitimité de l'autorité de régulation locale. Néanmoins, les juridictions locales ne peuvent se dédouaner de toute responsabilité lorsqu'elles sont sollicitées au nom de l'article 77 du RGPD. Quant à la seconde affaire, elle met aux prises la même entreprise SCHUFA et un particulier. Un établissement, supposément client de SCHUFA, a refusé d'octroyer un crédit à ce dernier sur la base des informations fournies par SCHUFA.

Or, si cette dernière a consenti à communiquer à ce particulier une partie des informations (notation, paramètres d'évaluation du profil), elle a refusé de dévoiler d'autres données au nom de son droit à la confidentialité commerciale et rejette sa responsabilité quant à la décision prise par son client à l'égard du particulier (refus d'octroi du crédit). Cette décision est la responsabilité de sa clientèle et ne concerne uniquement la société allemande. La CJUE concède le rôle crucial du renseignement financier et commercial pour les sociétés de crédits de même qu'elle concède le caractère incontournable de l'analyse de la solvabilité de tout aspirant à un crédit. Elle se conforme ainsi aux directives européennes en matière de crédit.

Malgré cette double concession, la CJUE considère la transparence des données personnelles comme une condition suprême (Art 5 RGPD), ne pouvant être négligée et à ce titre, elle rejette de nouveau la position de SCHUFA au profit du particulier.

 

Analyse critique

Cet arrêt de la CJUE génère plusieurs situations périlleuses : tout d'abord, il crée un précédent qui pourrait bouleverser le fonctionnement des sociétés de crédit mais également des systèmes de sécurité sociale. Aussi, le fait de faire prévaloir un règlement européen (en l'occurrence la RGPD) sur la majorité des réglementations et normes, quitte à déstabiliser significativement tout un secteur d'activité est assez problématique. En effet, dans son argumentaire, la CJUE n'apporte aucune base juridique pour justifier la primauté de la RGPD au détriment des conventions du secteur des sociétés de crédit ou de renseignements commerciaux.

 

Article 8 directive 2008 / 48 https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32008L0048#d1e1279-66-1