Pour la CJUE, les algorithmes de notation enfreignent le RGPD
![Image [EUCS :] des entreprises européennes s’opposent à l’exclusion du critère de souveraineté](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2-2024-885x690.jpg)
![Image [DMA :] la Commission européenne va enquêter sur Alphabet, Apple et Meta](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2024-885x690.jpg)
Donner un rôle « décisif » aux algorithmes de « scoring » pour prendre une décision contractuelle est illégal.
La Cour de justice de l’Union européenne (CJUE) a rendu, le 7 décembre 2023, son premier arrêt concernant l’article du RGPD relatif à la prise de décision individuelle automatisée. Ce jugement acte ainsi l’interdiction des algorithmes de notation individuelle s’ils jouent un rôle « décisif » dans des décisions contractuelles.
Le litige concernait la SCHUFA, la plus grande agence de crédit privée d’Allemagne. Cette dernière attribuait une note à ses clients en fonction de leur solvabilité – note qui jouait un rôle crucial dans l’attribution d’un crédit. La CJUE a jugé que cet usage des données personnelles ne respecte pas le RGPD, et est donc illégal.
Le jugement précise que le RGPD n’autorise l’usage de la notation automatisée que dans trois cas : un consentement explicite des individus, une nécessité contractuelle ou une obligation légale. L’intérêt commercial ou « l’intérêt légitime » ne saurait donc justifier ces pratiques.
Cet arrêt devrait avoir d’importantes conséquences sur les nombreux services ayant recours à des algorithmes de « scoring », notamment dans l’assurance ou le crédit. En France, la Caisse nationale des allocations familiales (CNAF) utilise depuis 2010 un algorithme automatisé de ce genre : il sert notamment à déclencher des contrôles à domicile pour suspicion de fraude. La décision de la CJUE pourrait conduire à son interdiction.