Article 22 RGPD après SCHUFA vs guide ICO : où passe la ligne rouge ?

Résumé — Le 7 décembre 2023, la CJUE (aff. C‑634/21 « SCHUFA ») a qualifié le « scoring » utilisé de façon déterminante par un tiers de « décision individuelle automatisée » au sens de l’article 22 RGPD. L’ICO au Royaume‑Uni maintient une lecture plus souple dès qu’une « intervention humaine significative » intervient. Conséquences directes pour les groupes et fournisseurs transfrontaliers LU‑UK.

L’affaire

La Cour de justice de l’Union européenne a jugé que l’établissement automatisé d’une note de probabilité par une agence d’évaluation de crédit (SCHUFA) constitue une « prise de décision individuelle automatisée » au sens de l’article 22, lorsque le destinataire « se fonde fortement » sur cette note pour conclure, exécuter ou mettre fin à un contrat avec la personne concernée. Autrement dit, même si l’agence ne prend pas elle‑même la décision finale, le scoring peut tomber sous l’interdiction de principe posée par l’article 22(1), sauf exception de l’article 22(2) (contrat, droit de l’Union/État membre, consentement explicite) et sous réserve des garanties de l’article 22(3) (intervention humaine, possibilité d’exprimer son point de vue et de contester). Voir l’arrêt « SCHUFA Holding (Scoring) » C‑634/21 publié au JO via EUR‑Lex. eur-lex.europa.eu.

Dans le même temps, le régulateur britannique ICO (hors UE) rappelle que l’article 22 (version UK GDPR) « limite les circonstances » où l’on peut prendre des décisions « fondées exclusivement » sur un traitement automatisé ayant des effets juridiques ou similaires et détaille quand un examen humain rend le processus « non exclusivement automatisé ». ico.org.uk.

Le raisonnement juridique

• En droit de l’UE, l’article 22(1) RGPD pose une interdiction de principe: « la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé […] produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. » Les exceptions de l’article 22(2) sont strictes; des garanties sont requises par l’article 22(3). La CNPD reprend ce cadre dans ses pages « Chapitre III — Droits » et « Droit de contester une décision issue d’un processus automatisé ». cnpd.public.lu ; cnpd.public.lu. Pour un rappel global du cadre de l’article 22 du RGPD, voir notre page de référence.
• Les lignes directrices du G29/EDPB sur le profilage et la prise de décision automatisée (WP251 rev.01, endossées par l’EDPB) confirment l’approche « interdiction + exceptions » et exigent une intervention humaine « significative », c’est‑à‑dire réelle, informée et ayant l’autorité de changer le résultat, non une validation de pure forme. edpb.europa.eu.
• L’apport décisif de « SCHUFA » est de qualifier comme « décision automatisée » le cas où l’algorithme ne ferme pas à lui seul le processus mais détermine de fait l’issue chez un tiers. La Cour souligne l’application de l’article 22(1) si le destinataire « se fonde fortement » sur le score pour établir, maintenir ou rompre un contrat. eur-lex.europa.eu.
• Position ICO: sous UK GDPR, l’ICO décrit l’article 22 comme restreignant les cas de décisions « exclusivement » automatisées et précise qu’un « examen humain significatif » peut sortir le traitement du champ de l’article 22. L’ICO détaille des critères (compétence, pouvoir de modifier la décision, temps et information suffisants). ico.org.uk.
• Divergence pratique: après « SCHUFA », les autorités UE (EDPB et CNIL, notamment) tendent à considérer qu’un score utilisé de manière déterminante équivaut à une décision automatisée, même si une entité « humaine » en aval clique encore « accepter/refuser » sans réel pouvoir d’infléchir l’algorithme. La CNIL l’exprime dans ses pages thématiques IA et « décision entièrement automatisée ». cnil.fr.

En synthèse : côté UE/Luxembourg, post‑SCHUFA + WP251, la barre est haute pour prétendre qu’un examen humain « désautomatise » la décision. Côté UK/ICO, la porte reste ouverte si l’examen humain est réellement « meaningful ».

Ce que ça change concrètement

• Crédit, assurance, télécoms, e‑commerce, RH: si vous importez un « score » tiers (solvabilité, fraude, risque RH, « trust score ») et que, dans les faits, ce score dicte l’issue (contrat accepté/refusé, compte bloqué, candidature écartée), attendez‑vous à ce que l’article 22 s’applique en UE, même si un agent « revalide » mécaniquement. Il vous faudra alors une exception de l’article 22(2) et les garanties de l’article 22(3). Référence: CJUE C‑634/21; WP251 rev.01. eur-lex.europa.eu.
• Chaînes transfrontalières LU‑UK: un fournisseur UK pourra estimer qu’un « human‑in‑the‑loop » bien conçu suffit pour échapper à l’article 22. En UE/LU, la CNPD/CNIL risquent d’exiger la preuve d’une intervention humaine substantielle: pouvoir d’annuler/modifier, consignes claires, temps réel, traçabilité des revues et taux non négligeable de décisions infléchies. Référence: ICO; CNIL/EDPB. ico.org.uk.
• Information et droits: dans tous les cas, prévoyez l’information article 13/14 sur la logique, l’importance et les conséquences (art. 15(1)(h) pour l’accès), et un circuit permettant l’intervention humaine + contestation (art. 22(3)). La CNPD rappelle ces exigences côté personnes concernées. cnpd.public.lu. Pour cadrer ces usages, outillez votre gouvernance IA conforme (documentation, tests de biais, registres, AIPD).

Exemple (banque/assurance au Luxembourg) : si votre moteur de souscription applique un score de solvabilité externe et que 95 % des refus suivent le score sans réelle contre‑analyse, documentez l’article 22 : base d’exception (22(2)), garanties (22(3)), AIPD (art. 35) et tests de non‑discrimination. À défaut, le paramétrage « UK‑compliant » (simple « relecture » humaine) ne suffira pas côté UE. Pour une mise en œuvre conforme à la conformité CNPD au Luxembourg, prévoyez des contrôles attestant l’inflexion humaine effective.

Pièges fréquents

1. « Validation » humaine purement formelle. Un clic d’agent sans droit réel d’écarter le score ne « désautomatise » pas au sens CJUE/EDPB. Attendez‑vous à l’application de l’article 22(1). Réf. CJUE C‑634/21; WP251 rev.01. eur-lex.europa.eu.
2. Se fonder sur la politique du fournisseur UK. En UE, ce qui compte est l’effet déterminant du score et la réalité de l’intervention humaine, pas l’étiquette contractuelle « human‑in‑the‑loop ». Réf. ICO vs CJUE/EDPB. ico.org.uk.
3. Oublier les garanties de l’article 22(3). Même sous une exception 22(2), il faut organiser l’intervention humaine, la possibilité d’exprimer son point de vue et de contester. Réf. texte RGPD; CNPD. cnpd.public.lu.
4. Insuffisance d’information art. 13/14/15(1)(h). Les personnes doivent recevoir des « informations utiles sur la logique sous‑jacente, ainsi que l’importance et les conséquences prévues ». Réf. CNPD; EDPB/WP29. cnpd.public.lu.
5. Penser qu’un simple « contrat nécessaire » suffit. L’exception 22(2)(a) est d’interprétation stricte; une AIPD (art. 35) est souvent requise en pratique pour des décisions à effets significatifs. Réf. WP251 rev.01; CNIL. edpb.europa.eu ; cnil.fr.

Sources officielles

• Cour de justice de l’UE — Arrêt du 7 décembre 2023, C‑634/21, SCHUFA Holding (Scoring), ECLI:EU:C:2023:957 — eur-lex.europa.eu
• EDPB — Lignes directrices G29 « Prise de décision automatisée et profilage » (WP251 rev.01) — edpb.europa.eu
• ICO (UK) — Automated decision‑making and profiling (UK GDPR) — ico.org.uk
• CNPD (Luxembourg) — Chapitre III — Droits; Processus automatisé — cnpd.public.lu ; cnpd.public.lu
• CNIL (France) — Profilage et décision entièrement automatisée — cnil.fr

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.